Цифровой переезд — это всегда стресс. Особенно когда речь идет о годами накопленном архиве публикаций, уникальных медиафайлах и репутации канала. В MAX мы построили систему переноса так, что единственное, что изменится после миграции, — это адрес вашей страницы. Ваши данные останутся Вашими.
Почему автоматический перенос — это зона доверия
Массовый экспорт контента — процедура сложная. И дело не только в гигабайтах трафика, но и в безопасности. Любая ошибка в цепочке обработки данных может привести к «засветке» закрытых материалов, появлению цифрового мусора или конфузам с повторами, которые моментально оттолкнут аудиторию.
Мы разработали архитектуру MaXSmart Постер, взяв за основу три фундаментальных принципа: техническая честность, абсолютный контроль и нулевое вмешательство в ваши данные.
Принцип №1: Сквозной канал без «камер хранения»
Схема работы многих агрегаторов выглядит пугающе: ваши фото и видео сначала скачиваются на их сервер, потом обрабатываются, и только потом отправляются дальше. Это означает, что ваш контент физически лежит на чужом жестком диске.
Наш алгоритм работает иначе. Мы выступаем лишь «проводником»: данные берутся из Telegram и сразу передаются в MAX. Мы не создаем промежуточных складов.
Если технически требуется буфер (например, для обработки тяжеловесных роликов), файл удаляется безвозвратно в ту же секунду, как попадает в новую ленту.
Итог: Никаких копий на левых серверах, никаких рисков утечки базы данных — только прямое соединение «источник-приемник».
Принцип №2: Белая сборка API
Некоторые инструменты экономят время, используя «серые» методы: имитируют действия человека, внедряются в недокументированные протоколы. Это дает скорость, но аккаунт после такого вторжения часто попадает в чёрные списки или бан.
Наш софт работает исключительно в рамках разрешенных протоколов Telegram и MAX.
Это не быстрее, но это честно. Мы не взламываем, не ломаем и не эмулируем.
Результат: Платформы видят в нас легитимного пользователя. Ваш аккаунт не блокируют, не тенят и не ограничивают. Мы ставим репутацию выше сиюминутной выгоды от ускорения.
Принцип №3: «Антиспам» на уровне ядра
Случайный повтор поста — катастрофа для ленты. Подписчики не любят чувствовать себя в «дне сурка», алгоритмы рано или поздно начнут душить канал за неуникальность. Человеческий фактор (случайно нажал на кнопку два раза) здесь исключен.
Наша защита работает как многоступенчатый фильтр:
Проверка «по памяти»: Система сверяется с историей уже перенесенных постов.
Цифровая сигнатура: Мы снимаем отпечаток (хеш) с каждого текста и файла. Даже если вы изменили исходник в Telegram, при повторной попытке переноса «умный» алгоритм опознает близнеца и заблокирует копию.
Ручной контроль: Вы сами задаете границы — переносить только свежее или строго определенный период, исключая старье.
Ваша репутация под цифровым колпаком
В информационном бизнесе второй попытки не дают. Если алгоритмы MAX увидят спам-активность при переезде, а подписчики — кучу мусора, былые заслуги канала уже не спасут. Мы берем на себя роль щита, который фильтрует весь трафик, оставляя в чистой ленте только уникальный и уместный контент.
Полная прозрачность сделки
Мы не любим сюрпризы. Поэтому по окончании процесса вы получаете не просто уведомление «Готово», а детальную выкладку: что уехало, что осталось, какие файлы были тяжелыми и не повредились ли данные при передаче.
Забудьте о страхе потерять наработки. Просто нажмите «Старт» в MaXSmart Постер и наблюдайте за идеально чистым переездом.
Компания Meta (через подрядчика Sama в Найроби, Кения) отправляет видео и фото с умных очков Ray-Ban (ИИ-очки с камерой, микрофоном и Meta AI) на ручную разметку данных. Это нужно, чтобы обучать ИИ лучше понимать объекты, сцены, контекст, например, распознавать "это ванная", "это кровать", "это человек раздевается" и т.д.
Работники Sama (низкооплачиваемые, получающие примерно 2 бакса в час по некоторым отчётам) видят очень интимный контент: людей справляющих нужду в туалете, раздевающихся или голых людей (выход из душа, ванной голышом), секс-сцены (иногда владельцы занимаются сексом в очках; иногда очки оставляют на прикроватной тумбочке, и камера фиксирует партнёра), случайно снятые банковские карты, документы, порно на экране, личные разговоры и т.д.
Один работник рассказал: "Я видел видео, где мужчина ставит очки на тумбочку, уходит, потом заходит жена и раздевается. Она явно не знала, что её снимают". Другой: "Мы видим всё — от гостиных до голых тел. Если бы пользователи знали, никто бы не носил эти очки".
Почему такое происходит?
Очки записывают видео, фото для ИИ-фич (например, "Hey Meta, что это за объект?"), и часть идёт на серверы Meta.
Meta использует ручную разметку (аннотацию) для улучшения моделей, то есть не всё происходит автоматически. В условиях обслуживания (которые, конечно же, никто не читает 😏) это вскользь упоминается: "данные могут отправляться подрядчикам для аннотации". Автоматическое размытие лиц, тел (для анонимизации) часто фейлит, особенно при плохом освещении, движении или углах, и конфиденциальность в таком случае идёт по одному месту.
Реакция на скандал
◾ Meta попыталась отмазаться: "Мы серьёзно относимся к приватности, данные остаются на устройстве, если владелец ими не поделится; но для ИИ-улучшений может быть использована ручная разметка. Мы постоянно улучшаем инструменты". Типичная корпоративная отмазка.
◾ UK ICO после скандала с умными очками Ray-Ban направил официальный запрос Meta. ICO просит Meta объяснить, как компания соблюдает британский закон о защите данных.
UK ICO — госорган, который следит за соблюдением законов о приватности в Великобритании.
◾ Регуляторы ЕС тоже могут прицепиться, так как очки нарушают приватность не только владельца, но и всех, кто рядом, без их ведома. Регуляторы (ICO, ЕС) видят в этом системную проблему — устройство делает скрытую съёмку нормой, а GDPR (Общий регламент по защите данных, который почти идентичен в Великобритании и ЕС) требует прозрачности и согласия даже для случайных людей.
◾ Массовая ответная реакция на X и Reddit: "извращенческие очки", "камеры наблюдения Цукерберга", мемы про "Найроби смотрит как ты какаешь". Meta хвасталась, что продала 7 млн штук своих очков в 2025 (огромный рост), но теперь в сети много постов типа "никогда не куплю".
Короче, классический кошмар о нарушении конфиденциальности с помощью носимых устройств с ИИ: крутая технология — скрытый человек в цепочке с интимным контентом — и в итоге скандал. Пользователи думали, что очки просто крутой гаджет, а на деле он оказался потенциальной скрытой камерой, данные с которой смотрят неизвестные люди в Кении. 😅
Скоро в ChatGPT появится интересная фича — пользователи смогут синхронизировать контакты из своей телефонной книги с чат-ботом.
Зачем это нужно? OpenAI уже обновила политику конфиденциальности: там указано, что синхронизация поможет находить знакомых в экосистеме компании. Опция будет добровольной, но есть нюанс. Если я даю доступ к контактам, система получает данные всех номеров из моего смартфона, даже если их владельцы не давали на это согласия.
Работать механика будет так: если алгоритм найдет совпадение по номеру, он предложит связаться. Подписываешься на человека — ему прилетает уведомление с предложением ответить взаимностью.
Разработчики пока не поделились изображениями того, как будет выглядеть этот функционал.
На самом деле, всё это делается с прицелом на будущее. Ещё весной прошлого года The Vergeписали о планах OpenAI создать собственную социальную сеть. Текущая интеграция контактов выглядит как первый шаг к масштабной эволюции платформы.
В этом году Forbesподелились инсайдом, что будущая соцсеть будет использовать биометрию для подтверждения личности, чтобы навсегда закрыть проблему ботов. Сейчас проект находится на самой ранней стадии разработки, им занимается команда из менее чем 10 человек.
Но практическая польза от грядущего нововведения будет очевидной. В ChatGPT уже работают групповые чаты до 20 человек для совместных обсуждений. Когда подтянется синхронизация контактов, собирать людей для брейнштормов станет намного быстрее и удобнее.
Что относится к персональным данным? Являются ли государственный регистрационный знак и адрес владельца персональными данными?
3 мая 2023
В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). По сути, это всевозможные сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных, что в полной мере согласуется с положениями ст. 2 Конвенции о защите физических лиц при автоматизированной обработке персональных данных, принятой Советом Европы 28.01.1981. То есть правовой защите подлежит лишь та информация о человеке, которая позволяет его персонифицировать. Как видим, Закон N 152-ФЗ определяет персональные данные достаточно широко, поэтому какого-либо перечня сведений, относящихся к персональным данным субъекта, не существует.
Суды к персональным данным относят фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы (определения Курганского облсуда от 07.09.2017 по делу N 33-2984/2017, Санкт-Петербургского горсуда от 26.03.2013 N 33-3815/13, Московского горсуда от 28.01.2014 N 33-5461/14, Саратовского облсуда от 29.01.2013 по делу N 33-500); информацию о количестве принадлежащих лицу акций (постановление Третьего ААС от 04.10.2011 N 03АП-3752/11) и др.
Однако надлежит учитывать, что не всякий из этих элементов подпадает под защиту Закона N 152-ФЗ, а только те из них, которые в отдельности или в совокупности достоверно указывают на конкретное определяемое лицо.
Сведения об автомобиле (марка, модель, тип, категория, номера агрегатов, идентификационный номер транспортного средства (VIN), мощность двигателя, пробег и др.) таковыми не являются, поскольку они позволяют идентифицировать лишь вещь в ряду схожих с ней, благодаря чему конкретный автомобиль приобретает свойство индивидуально определенной вещи, то есть вещи, единственной в своем роде. Даже государственный регистрационный знак присваивается автомобилю, а не правообладателю (п. 37 Правил государственной регистрации транспортных средств в регистрационных подразделениях Государственной инспекции безопасности дорожного движения Министерства внутренних дел Российской Федерации, утвержденных постановлением Правительства РФ от 21 декабря 2019 г. N 1764).
Соответственно, требования Закона N 152-ФЗ к транспортным средствам не применимы. Поэтому согласие владельца на передачу информации об автомобиле другим лицам не требуется.
Режим конфиденциальности информации (ст. 7 Закона N 152-ФЗ) не распространяется также на случаи обработки обезличенных персональных данных (п. 9 ст. 3 Закона N 152-ФЗ).
Полагаем, что адрес места жительства гражданина сам по себе без указания дополнительной информации о нем не позволяет идентифицировать конкретного субъекта, а потому передача этих сведений сторонней организации не может рассматриваться как нарушение законодательства в области защиты персональных данных. Схожие разъяснения приведены в информации Роскомнадзора от 15 ноября 2017 г. "О размещении личных данных потребителей коммунальных услуг на сайтах управляющих компаний", где указано, что размещение списка должников в объеме "номер квартиры" и "сумма задолженности" не содержит признаков нарушения российского законодательства в области персональных данных. Но указание дополнительных сведений (Ф.И.О. и инициалы), которые позволяют отнести их к конкретному физическому лицу, является грубым нарушением законодательства РФ. Такого же мнения придерживаются суды (смотрите, например, решение Московского районного суда г. Твери Тверской области от 18.02.2016 по делу N 12-24/2016).
Ответ подготовил: Эксперт службы Правового консалтинга ГАРАНТ Амирова Лариса
Является ли номер телефона и адрес электронной почты персональными данными?
4 октября 2024
Являются ли имя и номер телефона персональными данными гражданина? Если организация запрашивает эти данные на своем сайте "Обратная связь или оставить заявку", то подпадает ли она под действие Закона N 152-ФЗ? Если форма обратной связи не предполагает предоставления, помимо номера телефона или электронного адреса, дополнительных сведений, идентифицирующих пользователя, относится ли такая информация к персональным данным?
В соответствии со ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). По сути, это всевозможные сведения, с помощью которых можно определить (идентифицировать) субъекта персональных данных. Как видим, Закон N 152-ФЗ определяет персональные данные достаточно широко, поэтому какого-либо перечня сведений, относящихся к персональным данным субъекта, не существует.
Суды к персональным данным относят фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы (определения Курганского областного суда от 07.09.2017 по делу N 33-2984/2017, Санкт-Петербургского городского суда от 26.03.2013 N 33-3815/13, Московского городского суда от 28.01.2014 N 33-5461/14, Саратовского областного суда от 29.01.2013 по делу N 33-500) и др.
Однако надлежит учитывать, что не всякий из этих элементов подпадает под защиту Закона N 152-ФЗ, а только те из них, которые в отдельности или в совокупности достоверно указывают на конкретное определяемое лицо. Телефонный номер абонента, на наш взгляд, таким свойством не обладает. Согласно п. 2 Правил оказания услуг телефонной связи, утвержденных постановлением Правительства РФ от 09.12.2014 N 1342, абонентский номер - это телефонный номер, который однозначно определяет (идентифицирует) оконечный элемент сети связи или подключенную к сети подвижной связи абонентскую станцию (абонентское устройство) с установленным в ней (в нем) идентификационным модулем. То есть, будучи элементом сети связи, в отрыве от иной информации о физическом лице (фамилии, имени, отчестве, адресе проживания и др.) такой номер сам по себе не позволяет идентифицировать конкретного субъекта персональных данных, а потому персональными данными в терминологии Закона N 152-ФЗ не является (решение Верхнепышминского городского суда Свердловской области от 18.08.2017 по делу N 2-1628/2017, решение Черемушкинского районного суда г. Москвы от 11.10.2017 по делу N 02-5330/2017, решение Фрунзенского районного суда г. Иваново Ивановской области от 27.01.2016 по делу N 2-340/2016, апелляционное определение СК по гражданским делам Алтайского краевого суда от 14.12.2016 по делу N 33-13389/2016).
Однако в комбинации с иными идентификаторами, например именем, фамилией и т.п. гражданина совокупность сведений может быть квалифицирована в качестве персональных данных, т.к. в этом случае конкретный субъект становится узнаваемым, то есть его можно персонифицировать (смотрите определение СК по гражданским делам Второго кассационного суда общей юрисдикции от 04 августа 2020 г. по делу N 8Г-17070/2020[88-16944/2020]).
Адрес электронной почты гражданина, по мнению специалистов Роскомнадзора, относится к категории персональных данных, поскольку данный идентификатор уникален: он присваивается конкретному человеку и не может быть отнесен к другому. Даже без дополнительной информации такой идентификатор является персональными данными (из публичного семинара для операторов персональных данных (https://mediapravo.com/privacy/rkn-personal-data.html; письмо Минцифры от 17 марта 2022 г. N П25-5623-ОГ "О возможности отнесения адреса электронной почты к персональным данным"). На наш взгляд, подобное утверждение не бесспорно, т.к. не всегда по адресу электронной почты можно определить его обладателя. Например, отдельные суды не склонны относить электронный адрес гражданина к его персональным данным (смотрите решение Заельцовского районного суда г. Новосибирска Новосибирской области от 27.06.2018 по делу N 2-1770/2018, решение Свердловского районного суда г. Иркутска Иркутской области от 28.02.2018 по делу N 2-254/2018, определение Московского городского суда от 12.12.2016 N 33-42101/16).
Так, например, Арбитражный суд Московского округа отметил, что утверждение управления Роскомнадзора о том, что адрес электронной почты является персональными данными лица, его зарегистрировавшего, так как обладает двумя важными свойствами: неизменностью при присвоении и уникальностью, обоснованно признано судами несостоятельным, поскольку по аналогии с номером телефона, без наличия дополнительных идентификаторов, невозможно по одному лишь адресу электронной почты определить конкретное физическое лицо, которому он принадлежит.
Более того, суды обоснованно указали, что адрес электронной почты фактически не обладает свойством абсолютной неизменности, потому как в случае расторжения пользовательского соглашения с электронным почтовым сервисом, удаления электронного почтового ящика с сервера (по любым причинам) в том же домене может быть зарегистрирован точно такой же адрес электронной почты за новым пользователем, так же как в случае расторжения договора с оператором телефонной связи телефонный номер может быть передан новому абоненту (смотрите постановление Арбитражного суда Московского округа от 30 марта 2023 г. N Ф05-4354/23 по делу N А40-139096/2022). Верховный Суд РФ согласился с данными выводами и отказал Роскомнадзору в пересмотре дела (смотрите определение Верховного Суда РФ от 21 июля 2023 г. N 305-ЭС23-12160 по делу N А40-139096/2022).
Таким образом, признание той или иной информации персональными данными зависит от ее объема и от того, можно ли с ее помощью идентифицировать конкретного гражданина или нет.
Полагаем, что во избежание претензий со стороны контролирующих органов форма обратной связи, используемая организацией, должна содержать интерфейс на предоставление субъектом персональных данных согласия на обработку персональных данных в соответствии с политикой оператора в отношении обработки и защиты персональных данных субъектов, т.к. в любом случае для обратной связи одного номера телефона и адреса электронной почты будет недостаточно, необходимо также и имя гражданина, который пожелает воспользоваться подобной формой и, возможно, сам оставит свои данные.
Так, например, в одном из дел суд отметил, что внутренняя воля при передаче персональных данных оператору в целях обработки может выражаться не только в прямой (непосредственной) форме, но и в форме конклюдентных действий, когда субъект, намеревающийся передать свои персональные данные, совершает требующиеся от него действия без предварительного уведомления оператора о своем решении (решение Сысертского райсуда Свердловской области от 14 мая 2012 г. по делу N 2-526/2012).
Однако оператору в любом случае необходимо обеспечить возможность подтвердить факт получения такого согласия, поскольку на него возлагается обязанность доказывать факт обработки персональных данных с согласия субъекта (ч. 3 ст. 9 Закона N 152-ФЗ).
Рекомендуем также ознакомиться с материалами:
- Вопрос: Согласие субъекта на обработку персональных данных должно содержать подпись субъекта персональных данных. Как быть в тех случаях, когда персональные данные предоставляются оператором через телекоммуникационные сети Интернет и личной встречи между оператором и субъектом не происходит? Достаточно ли в этом случае выражения согласия субъекта персональных данных на обработку его данных путем проставления отметки в согласии в электронном виде? (Например, при представлении по электронной почте анкет соискателей на вакансии работодателей, предоставление данных организатору конкурса, проводимого в Интернете.) (ответ Управления Роскомнадзора по Орловской области, ноябрь 2017 г.)
- информация Роскомнадзора от 8 ноября 2017 г. "Должны ли интернет-магазины требовать согласие покупателя на обработку персональных данных - ответы на часто поступающие вопросы граждан".
Ответ подготовил: Эксперт службы Правового консалтинга ГАРАНТ Амирова Лариса
С 30 мая 2025 года штрафы за нарушения в сфере персональных данных выросли до 300–700 тысяч рублей — за то, что раньше стоило 5 тысяч. Разберём требования и что можно сделать, чтобы работать спокойно.
Материал проверен экспертом по персональным данным — Алешковой Натальей.
Что изменилось
С 30 мая вступили в силу поправки в Кодекс об административных правонарушениях — Федеральный закон № 420-ФЗ от 30 ноября 2024 года. Вот как изменились штрафы:
Для самозанятых штрафы ниже — они квалифицируются как физлица, поэтому за неуведомление РКН им грозит 5–10 тысяч, а не 300. Но требования закона для них абсолютно те же.
Для небольшого магазина с выручкой 2–3 миллиона в год штраф в 300 тысяч — это месячная выручка или больше. Даже когда документы просто не оформлены, но никаких утечек не было, сумма составляет сотни тысяч рублей.
По данным Роскомнадзора, за 2024 год в России зафиксировано 135 утечек персональных данных.
Большинство из них произошло в торговле и сфере услуг — там, где работает малый и средний бизнес.
Кого это касается
Закон о персональных данных (152-ФЗ) распространяется на тех, кто собирает информацию о клиентах или сотрудниках. Юридически это называется быть «оператором персональных данных».
Если у вас есть форма на сайте, где клиенты оставляют телефон, или вы ведёте базу в Excel, или принимаете заказы через мессенджеры — вы работаете с персональными данными. ИП и ООО подпадают под полную ответственность по закону. Самозанятые тоже операторы, хотя штрафы для них как для физлиц пониже (5–100 тысяч в зависимости от нарушения).
Интернет-магазины с формой заказа, где клиент указывает телефон или email. Салоны красоты, если ведут записную книжку с контактами клиентов. Кафе и рестораны, если собирают данные для программы лояльности.
Многие думают: «У меня не банк, просто телефоны клиентов в Excel или в блокноте». Но по закону телефон + имя = персональные данные.
Что считается персональными данными
По закону персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку.
ФИО, телефон, email, адрес (в том числе адрес доставки), паспортные данные, ИНН, номер банковской карты — это всё однозначно персональные данные.
Но есть менее очевидные вещи. Ник в Telegram, WhatsApp или MAX — если известно, чей это ник, то это тоже персональные данные. История заказов клиента, переписка с ним (даже без имени, если можно идентифицировать человека), фотография, геолокация, IP-адрес (если используется для идентификации) — всё это может быть персональными данными.
Есть пограничные случаи. Cookies на сайте или IP-адрес — это технические идентификаторы, но суды и Роскомнадзор рассматривают их как персональные данные, если они связаны с конкретным пользователем.
Простое правило: если информацию можно связать с конкретным человеком — это персональные данные.
Типичные нарушения малого бизнеса
Нет уведомления в Роскомнадзор
Самое частое нарушение. Бизнес собирает данные клиентов через форму на сайте или в CRM, но не подал уведомление в Роскомнадзор о том, что является оператором персональных данных.
Штраф: до 300 тысяч рублей для ИП и ООО (ч. 10 ст. 13.11 КоАП), для самозанятых — 5–10 тысяч.
Сайт без политики конфиденциальности
На сайте есть форма обратной связи или заказа, но нет политики конфиденциальности. Штраф: от 30 до 60 тысяч рублей для ООО, от 10 до 20 тысяч для ИП (ч. 3 ст. 13.11 КоАП).
Рассылка без согласия
Собрали базу email на выставке, в магазине или через форму на сайте и начали использовать эти данные без оформленного согласия на их обработку. Штраф — до 300 тысяч рублей (ч. 1 ст. 13.11 КоАП РФ).
Базы клиентов в общих чатах
Таблица с телефонами и именами клиентов лежит в общем чате Telegram или WhatsApp, куда имеют доступ все сотрудники или даже подрядчики.
Роскомнадзор может расценить это либо как нарушение требований к защите персональных данных — штраф от 150 до 300 тысяч рублей (ч. 1 ст. 13.11 КоАП). Либо как передачу данных третьим лицам без согласия — там последствия серьёзнее, штрафы до 700 тысяч рублей (ч. 2 ст. 13.11 КоАП).
Одно из решений — перенести данные в учётную систему с разграничением доступов. Например, в МоемСкладе можно настроить, кто что видит: курьер видит только адреса доставки, менеджер — заказы, а финансовые отчёты доступны только владельцу. Система фиксирует все действия сотрудников — видно, кто и когда смотрел или менял данные. При этом данные хранятся на российских серверах.
Хранение данных в зарубежных сервисах
Используете Google-таблицы, Dropbox или другие зарубежные облачные сервисы для хранения клиентских баз. Данные автоматически сохраняются на серверах за рубежом, что нарушает требование о первичной записи персональных данных на территории России.
Штраф: от 1 до 3 млн рублей (ч. 8 ст. 13.11 КоАП).
Формы на сайте без согласия
На сайте есть форма для сбора заявок (обратная связь, запись на услугу, оформление заказа), но нет чекбокса с согласием на обработку персональных данных и ссылки на политику конфиденциальности.
Штраф: от 150 до 300 тысяч рублей (ч. 1 ст. 13.11 КоАП).
Откуда берутся проверки
Проверки Роскомнадзора запускаются по трём основным причинам.
Самый частый триггер — жалоба клиента. Клиент недоволен: ему звонят с рекламой после покупки, хотя он не давал согласия. Он подаёт жалобу в Роскомнадзор. Приходит проверка, и смотрят не только на этот случай — проверяют всё: есть ли компания в реестре операторов, есть ли политика конфиденциальности, получали ли согласие на рассылки, как хранятся данные.
Один предприниматель после жалобы клиентки получил штраф 280 тысяч рублей. Клиентка пожаловалась, что ей звонят без согласия. При проверке нашли ещё целый букет нарушений: нет уведомления в РКН, нет политики на сайте.
Вторая причина — утечки данных. Если произошла утечка (взлом сайта, потеря базы, случайная публикация данных), Роскомнадзор проверяет: были ли приняты меры защиты, уведомил ли оператор РКН в течение 24 часов, уведомил ли пострадавших клиентов.
Третья причина — плановые проверки. Роскомнадзор может провести плановую проверку любого оператора из реестра. Для малого бизнеса такие проверки редки, но они есть.
Что делать, чтобы не попасть на штраф
Для малого бизнеса достаточно выполнить несколько шагов. Разберём каждый.
Подать уведомление в Роскомнадзор
Уведомление — это сообщение Роскомнадзору о том, что вы обрабатываете персональные данные. После подачи вы попадаете в реестр операторов. Без уведомления штраф до 300 тысяч рублей.
Подать уведомление можно через сайт Роскомнадзора rkn.gov.ru в разделе уведомлений операторов, заполнить форму «Уведомление о намерении осуществлять обработку персональных данных» (какие данные обрабатываете, цели обработки, где хранятся данные) и отправить через систему.
Это нужно сделать до начала обработки данных. Если вы уже собираете данные, но не подали уведомление — можно подать как можно скорее. При изменении названия компании, организационно-правовой формы, адреса или состава данных подаются изменения в уведомление.
Уведомление НЕ требуется только в трёх редких случаях: обработка для государственной безопасности, обработка ТОЛЬКО на бумаге без компьютера, обработка в рамках транспортной безопасности. Для 99% бизнеса эти исключения не работают.
Разместить политику конфиденциальности
Политика конфиденциальности — это документ на сайте, который объясняет: какие данные вы собираете, для чего используете, как защищаете, куда передаёте (если передаёте), как субъект может запросить информацию об обработке.
Отсутствие политики — штраф 30–60 тысяч рублей для ООО, 10–20 тысяч для ИП (ч. 3 ст. 13.11 КоАП).
Не стоит просто скачивать шаблон из интернета. Роскомнадзор знает все типовые тексты — они не защитят при проверке. Политика описывает именно вашу деятельность. Если собираете телефоны для записи — пишите об этом. Если передаёте данные в CRM систему — укажите это. Если используете Яндекс.Метрику — тоже укажите.
Разместите политику конфиденциальности отдельной страницей на сайте (например, site.ru/privacy) и добавьте ссылку на неё в подвале каждой страницы сайта. В формах сбора данных добавьте чекбокс: «Я ознакомлен с политикой конфиденциальности» со ссылкой на политику.
С сайтом всё понятно — поставил чекбокс и ссылку на политику. А если заказы приходят через соцсети или мессенджеры? Клиент пишет «хочу заказать», ты собираешь телефон и имя — а согласия нет. Каждому отправлять PDF нереально.
В сервисе «МойСклад Онлайн-заказ» согласие на обработку данных уже встроено. Покупатель переходит по ссылке на каталог, оформляет заказ — и видит форму с реквизитами твоего юрлица. Главное — заранее заполнить название компании и ИНН в настройках.
Это самый частый вопрос: когда согласие нужно, а когда нет?
Согласие НЕ нужно, если вы обрабатываете данные для исполнения договора. Клиент заказал товар, указал телефон для доставки — согласие не требуется. Обработка происходит для выполнения договора купли-продажи (П. 5 ч. 1 ст. 6 закона 152-ФЗ).
В одном магазине клиент подал заявление на возврат товара, указал свои данные и потребовал отдельное согласие на обработку. Продавец растерялся, начал искать, какую форму дать. Но в таком случае согласие не требуется, потому что обработка идёт в рамках закона о защите прав потребителей.
Согласие также не нужно для выполнения обязанностей по закону. Например, передача данных в налоговую, пенсионный фонд — это обязанность работодателя.
Согласие НУЖНО для маркетинга и рекламных рассылок. Хотите отправлять SMS, email, звонить с предложениями — получите согласие (достаточно активной галочки в чекбоксе на сайте). Для передачи данных третьим лицам, если это не часть договора с клиентом. Для биометрии: фотографии лица, отпечатки пальцев, голос — всегда требуется отдельное письменное согласие.
Как оформить согласие правильно? Формулируйте конкретную цель. Не просто «Согласие на обработку персональных данных» (слишком общо), а конкретно: «в целях осуществления рекламных рассылок» или «для направления информации о новых товарах и акциях». Укажите, какие данные обрабатываете: ФИО, телефон, email. Способ получения: чекбокс на сайте (обязательно активная галочка, не предустановленная!) или бумажное согласие с подписью клиента.
Согласие должно быть добровольным. Нельзя отказать в услуге только потому, что клиент не дал согласие на маркетинг.
Обеспечить защиту данных
Закон требует принимать меры для защиты персональных данных от утечек, взломов, несанкционированного доступа.
Минимальные технические меры: ограничьте доступ к данным. Пароли на компьютеры и файлы с данными, доступ только у тех, кому это нужно для работы. Не храните данные в открытых местах — не в общих чатах Telegram, не в облачных папках с доступом по ссылке. Используйте CRM-систему с доступами по ролям или защищённые паролем файлы. Делайте резервные копии регулярно. Установите антивирус и регулярно обновляйте программное обеспечение.
Организационные меры: назначьте ответственного за обработку персональных данных. Это может быть руководитель, бухгалтер или любой другой сотрудник — просто оформите приказом по компании. Разработайте внутренние документы: положение об обработке персональных данных, обязательства о неразглашении для сотрудников, которые работают с данными. Ознакомьте сотрудников: они должны знать, что такое персональные данные, как с ними работать, что нельзя делать (передавать третьим лицам, выносить на флешках).
Знать, что делать при утечке
Утечка — это когда данные стали доступны тем, кому не должны были быть доступны. Взлом сайта или базы данных, случайная публикация файла с контактами, сотрудник слил базу конкурентам, потеря ноутбука или флешки с данными — всё это утечки.
В течение 24 часов уведомите Роскомнадзор. Форма уведомления есть на сайте РКН. Укажите: какие данные утекли, сколько человек пострадало, какие меры приняты. Если не уведомите в срок — штраф от 1 до 3 миллионов рублей (ч. 11 ст. 13.11 КоАП).
Уведомите пострадавших — тех, чьи данные пострадали. Примите меры по устранению: закройте уязвимость, смените пароли, проведите расследование.
Штрафы за утечки зависят от масштаба. Если утечка затронула от 1000 до 10000 записей (идентификаторов) персональных данных — штраф для ИП и ООО от 3 до 5 миллионов рублей. От 10000 до 100000 записей — от 5 до 10 миллионов. Свыше 100000 записей — от 10 до 15 миллионов. Повторная крупная утечка грозит оборотным штрафом: от 1 до 3% годовой выручки, но не менее 20 миллионов и не более 500 миллионов рублей.
Особые случаи
Для самозанятых
Самозанятые — это физические лица-операторы по закону о персональных данных. Штрафы для них ниже, чем для ИП и ООО, потому что они квалифицируются как физлица. За неуведомление РКН самозанятому грозит 5–10 тысяч рублей вместо 300 тысяч. За обработку без согласия — до 50 тысяч рублей вместо 700 тысяч.
Но требования закона абсолютно те же! Нужно подать уведомление в Роскомнадзор, иметь политику конфиденциальности (если есть сайт или собираете данные через формы), получать согласия для маркетинга и рассылок, защищать данные.
Для продавцов на маркетплейсах
Не все маркетплейсы передают данные покупателя продавцу. Но когда вы получаете от маркетплейса данные покупателя (имя, телефон, адрес доставки), вы становитесь оператором этих данных на своей стороне. Маркетплейс отвечает за свою часть обработки (на своих серверах), вы отвечаете за свою — как храните, кто имеет доступ, используете ли эти данные для чего-то ещё.
Что делать: ограничьте доступ к данным покупателей (только те, кто упаковывает и отправляет заказы), не используйте контакты для рассылок без согласия клиентов, не передавайте базу третьим лицам. Данные по заказам храните минимум три года — это требование закона. Если клиент отказался от рекламной рассылки — его данные для маркетинга нужно удалить сразу. Если получаете данные от маркетплейса и обрабатываете их, лучше подать уведомление в Роскомнадзор.
Итого: что делать
Один раз навести порядок — и работать спокойно, не опасаясь штрафов в сотни тысяч рублей. С новыми размерами штрафов игнорировать требования закона стало по-настоящему дорого.
Мы ведем блог для малого бизнеса. Рассказываем новости для предпринимателей, ошибки и лайфхаки в учете, инструменты продвижения, обновления сервиса МойСклад.
Реклама ООО «Логнекс». ИНН: 7736570901. Erid: 2SDnje8ggT2
Понятие современной исследовательской гимназии представляет собой сложное, многогранное явление, включающее как минимум четыре взаимосвязанных компонента:
служебное (официальное) исследование;
невластное профессиональное объединение;
независимое аналитическое исследование;
рынок исследовательских продуктов.
Эти элементы призваны функционировать в единой системе, взаимно дополняя друг друга.
Служебное исследование обладает расширенным доступом к информации и официальным данным, однако его деятельность ограничена рамками установленных полномочий и требованиями прозрачности. В силу этого оно нередко вынуждено придерживаться позиций, ожидаемых от него вышестоящими инстанциями.
Невластное исследование, напротив, сталкивается с дефицитом доступа к официальной информации, но при этом сохраняет большую свободу в выражении собственных выводов и оценок.
Исследовательская деятельность в медиа‑сфере ориентирована на работу с общественным мнением и предполагает взаимодействие как с официальными, так и с независимыми экспертами.
Рынок исследовательских продуктов обеспечивает финансовую и организационную устойчивость всей системы, позволяя оптимизировать государственные расходы.
В идеальном случае руководство, располагая результатами служебного анализа, независимыми экспертизами и материалами исследовательской журналистики, получает возможность выбирать наиболее эффективные подходы и принимать взвешенные решения с учётом национальных интересов.
Сведения об истории создания и реальном функционировании «Международного сообщества» остаются ограниченными. Его директивные органы тщательно охраняют конфиденциальность своей деятельности.
Был я счастливым владельцем автомобиля Ford Mondeo 2010гв. Как законопослушный гражданин страховал свою гражданскую ответственность посредством ОСАГО (масло масленное). Конечно же указывал свои и автомобиля данные, в тч эл. почту.
Но вот уже года 4 как я продал авто иногда с тихой грустью вспоминая о нём.
Намедни, впервые за много лет, приходит мне письмо из АльфаСтрахования с напоминаем о необходимости продлить полис ОСАГО на давно проданный автомобиль. Только почему-то называют меня не моим именем.
Само письмо
И главное, для удобства побыстрее заполучить столь выгодное предложение, есть ссылка, перейдя по которой мы видим следующее.
Данные по авто. Если VIN я и так могу в договоре купли - продажи узнать, так ещё и новые ГРЗ есть.
А ещё и данные страхователя, которые отличаются от данных в письме.
Я, конечно, понимаю, что все данные и так есть в интернете, но епвашумамашу!
Это как надо пролюбить базу данных, чтобы левому человеку (то бишь мне) присылать письма с возможностью просмотра персональных данных новых владельцев.
