Привет! Меня зовут Андрей, я разрабатываю Telegram-ботов в конструкторе «Бот в блокноте» и веду Телеграм-канал, где делюсь кейсами и советами по работе с ботами. Сегодня речь пойдёт в основном о сайтах — точнее, о том, что многие их владельцы даже не подозревают : с 30 мая 2025 года за нарушение правил обработки персональных данных можно получить штраф от 100 000 до 700 000 рублей .
Я часто общаюсь с предпринимателями и вижу: даже те, кто давно в бизнесе, не знают, что если на сайте есть форма с запросом имени или телефона — они уже считаются оператором ПД и обязаны соблюдать требования закона.
Многие думают, что формальная политика конфиденциальности, скачанная из интернета, спасёт. Это глубокое заблуждение. Кстати, эти правила касаются не только сайтов — Telegram-ботов тоже , если они собирают данные пользователей.
Кто попадает под закон?
Вы уже являетесь оператором ПД, если:
Собираете данные сотрудников
Есть форма на сайте (например, заявка, подписка, обратная связь);
Обрабатываете email-адреса или номера телефонов;
Ведёте учет клиентов, контрагентов или посетителей сайта.
Даже если у вас нет сайта, но есть отдел кадров — вы всё равно обязаны соблюдать требования закона.
Основные обязательства
1. Уведомление в Роскомнадзор
Если вы собираете персональные данные — до 30 мая 2025 года необходимо подать уведомление в Роскомнадзор о начале обработки персональных данных. Если вы этого не сделали еще есть время проскочить без штрафа. А штрафы очень весомые:
? Штраф за просроченное или отсутствующее уведомление: от 100 000 до 300 000 рублей.
2. Политика конфиденциальности
Обязательно разместите на сайте Политику обработки персональных данных. Если сайта нет — опубликуйте её на информационном стенде в офисе.
? Штраф за отсутствие политики: от 30 000 до 60 000 рублей.
3. Согласия на обработку данных
Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие. Без него любая обработка становится нарушением.
? Штраф за отсутствие согласия: от 300 000 до 700 000 рублей.
Примечание: для сотрудников согласие не требуется при исполнении трудовых обязанностей, но хранение копий личных документов (паспорта, военный билет) требует согласия.
4. Правила безопасности и инструкции
Вам нужно внедрить меры защиты персональных данных, а также разработать внутренний регламент действий в случае утечки.
? Штраф за утечку ПД может достигать 15 миллионов рублей и выше.
7 самых частых ошибок на сайте
Сбор данных без согласия пользователя Добавьте чек-боксы с ссылкой на политику и текст согласия.
Хранение данных за пределами РФ Переведите серверы в Россию или получите разрешение на трансграничную передачу.
Неактуальная или шаблонная политика конфиденциальности Она должна точно соответствовать вашим процессам.
Избыточный сбор данных Не запрашивайте лишнее — только то, что действительно нужно.
Использование cookies без уведомления Установите pop-up с запросом согласия на использование файлов.
Отправка уведомления в Роскомнадзор после начала обработки Это будет нарушением с 30 мая.
Отсутствие мер безопасности и регламента при утечке Подготовьтесь заранее — проверьте защиту и составьте план действий.
Что делать уже сейчас?
✅ Проверьте, подали ли вы уведомление в Роскомнадзор
✅ Обновите Политику конфиденциальности под реальные процессы ✅ Настройте формы с согласием на сайте
✅ Уберите лишние поля в формах
✅ Убедитесь, что данные хранятся в России или оформлено разрешение
✅ Обеспечьте безопасность персональных данных по требованиям 152-ФЗ
✅ Разработайте инструкции по защите ПД и действиям при утечке
Важно помнить
Эти требования касаются не только крупных компаний, но и малого бизнеса, ИП и даже самозанятых и физлиц. Чем больше вы собираете данных — тем больше ответственности.
До 30 мая осталось 10 дней. Не игнорируйте изменения — они затронут почти всех. Лучше подготовиться заранее, чем платить штрафы.
Комментарии (212)
noker81
19.05.2025 12:38Можно ли не ставить галку, а просто написать, "Нажимая кнопку Оправить, вы соглашаетесь..."?
Lev3250
19.05.2025 12:38С нас требовали галку, как более явное согласие
noker81
19.05.2025 12:38Чекбокс может быть сразу быть активным или нужно чтобы клиент его активировал?
Lev3250
19.05.2025 12:38Мы его не активировали по умолчанию. Если не отметить и продолжить, то сайт ругается.
ifap
19.05.2025 12:38Может, но правоприменитель может признать это ненадлежащим согласием, так что лучше оставить его снятым.
Lirm
19.05.2025 12:38Кто с вас требовал галку? Клиент поставивший галку под каким-то договором на сайте не защитит вас в суде от жалобы в ФАС за спам и т. д. Только живая подпись клиента.
tim_saf
19.05.2025 12:38скорее нет, чем да. Так как тут могут придраться, что одно действие подменяется другим. Согласие же должно иметь критерии того, что оно дано свободно, однозначно, своей волей и вот это всё. А тут по сути согласие хитро впихнуто в иной процесс отправки формы. А может я отправить то хочу, но соглашаться не хочу. И вот если бы была отдельная галка, я бы опомнился и не стал этого делать. А так я нажал Отправить и не понял, что еще и неявно выразил согласие.
Короче, РКН раскалупает легко такую конструкцию если захочет
orlov_aleksei
19.05.2025 12:38Нет. Пользователь может сказать что не видел. Должно быть явное действие
linux-over
19.05.2025 12:38если я делаю следующий сайт:
люди регистрируются и покупают на нём какие-то услуги
люди видят части сайта в зависимости от оплаченного
То мне придётся держать
email/телефон - потому что логин/авторизация
список оплаченных услуг
И вот как правильно что мне делать?
Carbonium
19.05.2025 12:38Скорее всего, вы будете запрашивать и имя, раз там услуги. Это однозначно требует регистрации, как оператора ПДн. Если память мне не изменяет, то почта с телефоном -- уже совокупность данных, так что туда же.
Мы делали MVP небольшого сервиса и чтобы не сталкиваться с 152-ФЗ оставили из всех данных пользователя строго email. Ни ника, ни имени, ни телефона.
ITShchen
19.05.2025 12:38Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие.
Так и вижу вместо уже ставшего классическим чекбоксом "Согласен" - поле для загрузки листа ознакомления подписанного КЭЦП. Ну или как минимум кнопку инициации запроса к криптопровайдеру или плагину для подтверждения действия с использованием СКЗИ. Кстати у MetaMask неплохо реализован запрос на подпись контракта криптокошельком, но как-то всё это не для бабушек, которые хотят подписаться на невинный гороскоп или узнать наличие валокордина в ближайшей аптеке.
Очень жаль, что при настолько прогрессирующей уже почти ПД-шизе, мы всё равно регулярно слышим о грандиозных сливах.. И отдельно хотелось возмутиться отсутствием прогрессивной шкалы исчисления размера штрафа. Всё-таки довольно сложно ставить в один ряд многомиллиардный ресурс и местечковый форум или сайт-визитку
select26
19.05.2025 12:38Не на прогрессивные, а на оборотные, наверное вы хотели сказать - зависящие от оборота компании.
ITShchen
19.05.2025 12:38Да, можно и так сказать. В целом я думаю там достаточно большая свобода действия. Просто не всегда за большими оборотами прячется большая прибыль, а в идеале-то хочется универсальный инструмент.
nivorbud
19.05.2025 12:38И отдельно хотелось возмутиться отсутствием прогрессивной шкалы исчисления размера штрафа. Всё-таки довольно сложно ставить в один ряд многомиллиардный ресурс и местечковый форум или сайт-визитку
Так уже... ввели прогрессивную шкалу за утечку, начиная с 1000 единиц утекших данных. Только там есть нюанс - минимальный порог штрафа, который огромен. И если для крупной компании оборотный штраф в несколько процентов не смертелен, то для мелочи этот минимальный порог во многих случаях означает мгновенное закрытие и вероятно банкротство. А 1000 аккаунтов - это например, мелкий интернет магазинчик или форум/блог небольшой.
ITShchen
19.05.2025 12:38Да! В том и суть, что ввести-то ввели, только снова малышей придушили.. Вы всё правильно пишете. И согласитесь, разный эффект, когда это 1000 банковских карт и кредитных договоров или 1000 корзин с мини-магазина бижутерии. И то и то - ПД, но как-бы... эх, даа
itstranger
19.05.2025 12:38Или слитые 1000 email с формы обратной связи, причём 999 из них принадлежит рекламным ботам, но штраф придётся платить.
Так же, я не совсем понимаю, как они будут отслеживать, как именно были слиты данные? Что если вскрыли сам хостинг например и получили все данные с моего сайта. Выходит виновен всё-равно я? Так же, как они определяют слитые данные?
Вот банально, конкурент может нагенерировать 1000 аккаунтов на том-же небольшом интернет-магазине или форуме, после чего их же оформить в базу и выложить, на какой-нибудь хакерский форум, после чего подать обращение в ркн, что его личные данные были слиты.
По факту, так можно шантажом заниматься и спасибо ркн за новый вид скама.
igors
19.05.2025 12:38Оборотный штраф в несколько процентов смертелен именно для крупных компаний - и мотивирует их дробить. Вроде очевидно почему. :-)
А вот нижний порог смертелен для мелочи - ну так и лоббирует такие законы крупный бизнес, задача которого консолидировать рынок. Маркетплейсы, конечно, имеют все необходимые ресурсы, чтобы соблюдать любой набор регуляций. И департаменты юристов на зарплате для судебной работы.
Abyss777
19.05.2025 12:38Значит мелким компаниям не нужны персональные данные! А то каждый захудалый магазинчик норовит выманить телефон, чтоб самим спам рассылать, и перепродавать другим.
Не нужны ни телефоны ни ФИО для коммерции, email и договора с платёжным шлюзом достаточно.
Нету денег на ИТ безопасность, значит ПД вам не нужны!
nivorbud
19.05.2025 12:38Телефон и адрес объективно нужны для доставки товара. Иначе как товар доставить?
Ну, и расширенная нечеткая трактовка персональных данных, не позволяет однозначно определить, что относится к ПД, а что не относится. Например, относится ли email/телефон/ip/cookie/логин к ПД, сами по себе или в совокупности с чем-то? Всё это, как я понимаю, отдается на откуп проверяющим.
Да и выходят законы, обязывающие идентифицировать личность при аутентификации (но здесь я не уверен в деталях).
AuroraBorealis
19.05.2025 12:38Специальными крупными сервисами, у которых ИБ есть, например
nivorbud
19.05.2025 12:38Специальными крупными сервисами, у которых ИБ есть, например
Как можно доставить товар (кем угодно), не зная адреса клиента?
uuger
19.05.2025 12:38крупными сервисами, у которых ИБ есть
Это такими, как СДЭК, Почта России и Яндекс.Go, да?
riv9231
19.05.2025 12:38Что-то мне подсказывает, что должно быть требования обязательной идентификации физ лиц по номеру телефона. Обратите внимание, не осталось сервисов, которые бы не вводили номер телефона как идентификатор. Все едйствия показывают, что власти стремятся сделать так, чтобы в любом случае, если что, личность любого можно было установить. По этому сейчас вы не зарегистрируетесь ни на mail.ru ни на яндексе без номера телефона.
Но с другой стороны, если почитать каменты в целом, создается впечатление, что можно просто не запрашивать ПД и идентифицировать клиентов без них, например просто по логину.
Уверен, это ошибочное понимание закона. Моя интуиция подсказывает, что если просто не пытаться идентифицировать клиента по номеру телефона, то если кто-то где-то как-то, то крайним назначат вас. А если сделать нормально, то попадаете сразу на весь комплекс мер по обработке ПД, и при согласовании их, кроме кучи денег, будет ещё момент, что от вас могут потребовать произвольного набора мер, например, если клиенты могут общаться (оставлять отзывы) почему - бы не записывать весь трафик?
По сути получается, что если предполагать строгое следование закону, малый, да думаю и средний бизнес у нас стал запрещен. Но как всегда, суровость законов компенсируется тем, что фактически их никто не выполняет, а те кто должен следить за этим и не интересуются всякой мелочью, нападая пока только на крупняк.
pavelsha
19.05.2025 12:38What is "КЭЦП"?
Мой Чатлано-Пацакский словарь вероятно не полон:
З. Ы. С 2011 года термин звучит как "Электронная Подпись". Поэтому
ПЭП, КЭП, НЭП, УНЭП, УКЭП
З. З. Ы. "Ц" в терминологии до 2010 года появилась наверное из-за того, что импортный лектор, который читал лекции авторам термина Элетронно-цифровая Подпись несколько заикался, и в конспект слушателей попало что-то вроде
"Ди-Дитжитал Сайгн" / "Дидж-Дидж Сайгс"
Ну а при переводе этих конспектов пришлось выкручиваться и плодить "масляное масло".
ITShchen
19.05.2025 12:38What is "КЭЦП"?
Квалифицированная Электронная Цифровая Подпись, же)
Просто к "Электронным Подписям" относят и персональные/личные подписи работающие например через СМС или через УЗ на порталах, но такие подписи имеют свои ограничения и не для всего подходят. КЭЦП была приведена в качестве гиперболизации образа.
pavelsha
19.05.2025 12:38Не надо гиперболизировать так...
Вот ссылка на закон. Первая редакция вышла в 2011 году
https://www.consultant.ru/document/cons_doc_LAW_112701/
Да. До 2010 года в русском была неопределенность как называть Электронные подписи. Но с тех пор прошло 15 лет.
Если хотите выделиться, и использовать не меньше ТРëХ букв для обозначения электронных подписей, то можете взять сочетание computer generated signature (CGS). Оно Имхо тоже устарело, но хотя бы не содержит тафтологию
badangel
19.05.2025 12:38Не уверен, что email, номер телефона, ip или логин являются пд.
select26
19.05.2025 12:38А это совершенно не важно. Важно в чем уверен суд. Ссылку выше уже привели.
Komrus
19.05.2025 12:38Ну давайте приведём статистику погибших в автопроишествиях за прошлый год, испугаемся и перестанем пользоваться автотранспортом...
Или примем этот риск как фоновый и неизбежный. И продолжим спокойно ездить на авто и админить одностраничные сайты...
ALapinskas
19.05.2025 12:38Форма на сайте еще не означает, что данные как-то обрабатываются или хранятся в отрытом виде. Или в законе есть прямое указание на обратное?
Carbonium
19.05.2025 12:38Им и не нужно храниться в открытом виде. Вы, как компания, используете данные из формы для деятельности. А значит уже обрабатываете ПДн.
ifap
19.05.2025 12:38если на сайте есть форма с запросом имени или телефона — они уже считаются оператором ПД
Судебная практика говорит, что это не так - есть позиции ВС и КС, по которым одно имя или телефон - не ПД.
ITShchen
19.05.2025 12:38Я с трудом представляю себе форму с одним лишь email (или телефоном). Равно как и ценность
такихтакого объекта данных для бизнеса.Ну в плане, ок, но это очень нишевое применение. В голову приходит например какой-то бесполезный калькулятор подсчёта символов в строке - вообще без сохранения куда либо. А из более подходящего для бизнеса - единственное что приходит на ум: подписка на спам от компании. Причём максимально бесполезный, т.к. нельзя его обогатить другими уточняющими данными не переведя данные в статус ПД. Т.е. если юзер ввел свой мэйл - нужно просто добавить его в лист рассылки. При этом нельзя собрать данные с какой страницы он подписался, предположить на основе данных сайта какая информация ему более интересна, использовать пиксель или сервисы сквозной аналитики для получения uid юзера, его интересов, откуда пришёл, реквест, айпи или фингерпринт и пр.. Даже нельзя запомнить такого юзера и состояние поля ввода на форме, потому что если мы привяжем его мэйл хотябы к сессии - это уже ПД. В общем это как-то очень сомнительный кейс, а главное - бесполезный для бизнеса. Проще уж всё сделать по правилам и иметь полный карт-бланш.
И кстати, а что делать с .log? Если сервис логирует всё достаточно подробно, то хранение логов - также хранение ПД, ведь там и реферрер, и айпи и точное время запроса и данные браузера могут быть. А в некоторых плохо спроектированных системах там даже чувствительные данные гуляют порой (и повезёт если не пароли).
В общем всё это на словах хорошо, но по факту любое использование сервиса сложнее голого html - почти гарантированно генерирует ПД.
ifap
19.05.2025 12:38Я с трудом представляю себе форму с одним лишь email (или телефоном). Равно как и ценность таких такого объекта данных для бизнеса.
Это уже вопрос к автору, который утверждает, что сбор одного лишь номера телефона или одного лишь имени (даже не ФИО) - это обработка ПД.
unreal_undead2
19.05.2025 12:38форму с одним лишь email (или телефоном)
Стандартная современная формочка для логина (после ввода появляется другая форма для ввода кода, пришедшего на почту или в SMS).
TakeshiDev
19.05.2025 12:38Или классическое "заказать звонок" где кроме номера и нет ничего. Ну или есть выбор продукта. В обоих случаях это не ПД.
Также выше говорили, что данные с какой страницы был запрос не собрать - почему? Это как-то идентифицирует человека? Нет. У вас Метрика вообще может запись экрана делать и это тоже человека не раскрывает.
RulenBagdasis
19.05.2025 12:38Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие. Без него любая обработка становится нарушением.
Вроде бы разрешено обрабатывать данные, необходимые для оказания услуги, безо всяких согласий. Вы, например, можете отозвать согласие у банка, но продолжать оставаться его клиентом. Все эти согласия давно стали фарсом.
iRedds
19.05.2025 12:38Если не ошибаюсь, то это работает только в том случае, когда законами обязывается обрабатывать ПД для оказания услуги.
Вы не сможете отозвать разрешение на обработку ПД у банка, так как он обязан обрабатывать эти данные при обслуживании. Да еще и хранить 5 лет после расторжения договора (115 ФЗ)RulenBagdasis
19.05.2025 12:38Вы не сможете отозвать разрешение на обработку ПД у банка
Делал это неоднократно. После этого банк имеет право использовать ПД только для целей исполнения договора. Для всего остального запрещено. Так должно быть по умолчанию везде. А сейчас вас заставляют подписывать согласие, к котором понаписано всякого и только потом с вами заключают договор. Поэтому схема следующая: подписываете согласие, заключаете договор и сразу же, не вставая со стула, пишите отзыв согласия на обработку ПД. Дальше, по закону, организация может обрабатывать ПД только для целей исполнения договора и других целей, положеных по закону.
vis_inet
19.05.2025 12:38и сразу же, не вставая со стула, пишите отзыв согласия на обработку ПД
Подскажите, для этого заявления есть какая-то утверждённая форма?
RulenBagdasis
19.05.2025 12:38Нет, можно загуглить. Тут на хабре образцы выкладывали. Я уже не в РФ, под рукой нет сейчас образца.
ALapinskas
19.05.2025 12:38Эти требования касаются не только крупных компаний, но и малого бизнеса, ИП и даже самозанятых и физлиц. Чем больше вы собираете данных — тем больше ответственности.
Каждый хранит в своем телефоне ФИО и телефоны, знакомых, родственников, контрагентов, каждый получается оператор ПД.
Carbonium
19.05.2025 12:38С юридической точки зрения нет, ибо эти данные вы используете в личных целях. Однако, мы уже сталкиваемся с законодательной практикой, когда всевозможных исследователей, осинтеров и "пробивщиков" на вольных хлебах, обкладывают ограничениями и ответственностью, за использование таких данных.
PereslavlFoto
19.05.2025 12:38эти данные вы используете в личных целях
Обычно эти данные используют для служебных переговоров, для составления списков приглашённых лиц, для включения в рабочие чаты...
Tumroc
19.05.2025 12:38Нет, закон самоустранился от регулирования в этой плоскости нормой в статье 1:
2 Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
edogs
19.05.2025 12:38если при этом не нарушаются права субъектов персональных данных;
Записная книжка в телефоне нередко привязана к гугл.аккаунту, с которым свое соглашение. По сути человек не "обрабатывает ПД в личных целях", а "передает их трансгранично иноагенту для очень многих целей". Нарушаются ли при этом права этих субъектов?
Tumroc
19.05.2025 12:38Пользователь телефона никому ничего не передает. Передачу осуществляет администратор операционной системы, а это другое лицо, с последним идут тяжбы без блокировок. Этим вопросом РКН усиленно занимается - у Google в активне запретительные решения суда (многомиллиардные штрафы в т.ч. за неисполнение требований о трансграничности) и развернуть коммерческую деятельность на территории РФ он пока не может.
mmxplorer
19.05.2025 12:38Отправка уведомления в Роскомнадзор после начала обработки Это будет нарушением с 30 мая.
А если до 30 мая успеть уведомить, что давно обрабатываешь, то не будет нарушением? )
BrazilMaterializator
19.05.2025 12:38Считаю РКН выдающейся в своей бесполезности шайкой паразитов. Это не эмоционально, это фактически.
В далёком году приезжали паразиты на завод и задали "коронный" вопрос. Получаем разрешение на обработку персданных, используем их, они уходят в архив, субъект отзывает разрешение. Наши действия с ПДн отозвавшего в архивах?
scarab
19.05.2025 12:38Уничтожить или обезличить, если законодательством явно не установлена невозможность этого действия.
Скажем, кадровое законодательство требует от работодателя хранить данные работника, даже уволившегося, в течение 75 лет, поэтому тут хоть сотню отзывов напиши.
RankMyPet
19.05.2025 12:38полностью поддерживаю. Но по факту, это всего лишь очередная попытка покошмарить народ. У озвученной инстанции нет нормальных алгоритмов и процессов для того чтобы отслеживать работу сайтов в части ПД. И расчет как раз на тех кто подаст это самое уведомление и засветится в РКН)))
mrMazai Автор
19.05.2025 12:38Не знаю как тут будет, но с блокировкой незаконного контента было нормально, у меня была доска объявлений, регнулся в РКН, они присылали требования удалить нарушающий закон контент, давали несколько дней. Удалил, ответил на письмо, получил ответ с подтверждением того, что претензии сняты. В принципе - нормальная работа по чистке рунета. В законе о ПД штрафы жуткие, действительно, и это для большинства мелких фирм будет не подъемно
Okeu
19.05.2025 12:38нормальная работа по чистке рунета
Видимо чистят не от того, от чего следовало бы
arbalet42
19.05.2025 12:38В далёком году приезжали паразиты на завод и задали "коронный" вопрос. Получаем разрешение на обработку персданных, используем их, они уходят в архив, субъект отзывает разрешение. Наши действия с ПДн отозвавшего в архивах?
Какой нетривиальный вопрос, ведь 152-ФЗ не распространяет своё действие на "отношения, возникающие при [...] организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации" (ч. 2 ст. 1)
Что Вы им ответили, какой ответ они хотели услышать? Предоставить письменный отказ в отзыве персональных данных?
BrazilMaterializator
19.05.2025 12:38Уверенно сказал, что у нас такие отличные железо (соврал), сотрудники (польстил), процедуры (кто это вообще?), что предприятие не использует архивных копий БД.
Паразиты сказали, что это удивительная практика. А ответ на вопрос они сами не знают.
Ответившим "Мы удаляем данные из архивов по такому пустячному поводу" скажу, что так можно и рабочее место создать, тем более что про логи приложения никто не вспомнит, но при клонировании одинэсной базы обычно и логи клонируются.
helmm
19.05.2025 12:38Вроде бы очень простой вопрос. Ответ - данные субъекта ПДн организацией не обрабатываются, хранятся в соответствии с требованием закона об архивном хранении. Никакие действия не требуются, кроме ответа субъекту ПДн о статусе его данных.
PereslavlFoto
19.05.2025 12:38хранятся в соответствии с требованием закона об архивном хранении
Сейчас не обрабатываются, а хранятся на компьютере в базе данных под названием "архив". Возможно, завтра они уже будут обрабатываться.
koltykov
19.05.2025 12:38Если это форум, где 4 поля: логин, мыло и пароль 2 раза, то нужно ли все это?
sasmoney
19.05.2025 12:38Обязательно нужно, ещё кучу всего нужно, и ещё нужно нужно сделать иначе штраф!!!!!!
ITShchen
19.05.2025 12:38Ну так только кажется, что их всего 4. А внутри дальше нет полей для кастомизации? Ник, аватарка, город, год рождения и пр.? Это помимо того, что каждому юзеру присваивается уникальный айдишник, по которому можно найти все его посты (которые могут содержать также персональную информацию), историю сессий/входов, данные о лайках, просмотренных страницах, иногда даже об устройствах с которых происходил доступ, данные операционных систем и браузеров. Так что тут даже сомнений нет в том, что форум - рассадник ПД
lagudal
19.05.2025 12:38Чтобы понять всю глубину проблемы, нужно почитать, как внедрение GDPR происходило в Европе. В Германии, скажем, за малейшее несоблюдение правил (например, сайт пропускает какие-то кукисы без согласия пользователя) может прилететь такой штраф, что мама не горюй. Прецеденты были с миллионными штрафами, можно найти в интернете, началось ещё в доковидные времена.
Маленькие фирмы и частные сайты мало кого интересуют, а вот сайты и шопы весомых компаний проверяли под микроскопом. Специально для этих целей создавались фирмы-"паразиты" - шакалы, подобно "адвокатским" фирмам, нацеленным на поиски контента, который можно было подвести под нарушение авторского права.
То, что будет что-то подобное и в РФ, можно было и не сомневаться. Но это не выдумка РКН.
А вот в Америке, кстати говоря, не знаю, как сейчас, но раньше всеобщего такого закона не было, был вроде в некоторых штатах только, и первый вроде как в Калифорнии больше всего был похож на GDPR, и как-то я не слышал, чтобы там как-то сильно кошмарили за несоблюдение. Как раз где-то в 20 или 21 году мне товарищ что в теме рассказывал, что после принятия закона был дан один год на приведение своих ресурсов в соответствие.
RTFM13
19.05.2025 12:38Маленькие фирмы и частные сайты мало кого интересуют, а вот сайты и шопы весомых компаний проверяли под микроскопом
То, что будет что-то подобное и в РФ, можно было и не сомневаться
Я вот, кака раз, сомневаюсь. В рф будут кошмарить именно мелочь, чтобы ззагнать в маркетплейсы, которые кого надо маркетплейсы. Вся идея состоит в том, чтобы поднять стоимость входа в бизнес.
Да и в европе всё регулирование за редким исключением де факто способствует монополизации.
Sulpher
19.05.2025 12:38А как они проверят, что на сайте не было аналитики и форм? Сайт же развивается, не было и появилось. Появилось - подал заявку. Или через вебархив проверяют?
ecabps
19.05.2025 12:38а кто им помешает проверить через вебархив? проверили, выписали штраф, ты подаешь в суд и утверждаешь что форма новая, а они в суд приходят с вебархивом и всё
Vadiok
19.05.2025 12:387 самых частых ошибок на сайте
...5. Использование cookies без уведомления. Установите pop-up с запросом согласия на использование файлов.
Разве в РФ требуется уведомлять о куках?
KonstantinTokar
19.05.2025 12:38Телефонные мошенники, которые мне звонят, знают мои персональные данные - телефон, фио, прописку. Какой смысл в этом законе тогда? Кого и от кого он защищает?
scarab
19.05.2025 12:38Вот как раз для противодействия таким случаям. Сейчас вообще практически полная безнаказанность и бесконтроль в этом вопросе - если посмотреть профильные рассылки, то чуть ли не каждый день "утекла база страховой компании", "утекла база сети магазинов", "пароли хранились в открытом виде" и так далее.
Организации, начиная с директора, должны чувствовать свою ответственность за хранение ПД. Нанимать адекватных разработчиков, проводить независимые аудиты, вести контроль доступа. Иначе наши данные так и будут ежедневно утекать к мошенникам.
inkelyad
19.05.2025 12:38Вот как раз для противодействия таким случаям.
А так же создают ошибочное мнение, что "раз кто-то этими данными оперирует - значит он законно их получил и является представителем государства/компании, которой я их сообщал" итд.
Для сильно части этих данных полезней было бы вот прямо заявить "защитить невозможно и поэтому все их знают. Вот у нас даже сайт сделан, где можно посмотреть. Поэтому по ФИО и номеру телефона к вам может обращаться кто угодно:"
KonstantinTokar
19.05.2025 12:38Всё это обеспечить практически невозможно. Например, код моего домофона я взял из утёкшей базы Яндекс.Еда - у яндекса нет ни денег ни разработчиков? Небольшие компании нанять или заплатить не могут - денег нет, компетенции понять кто аадекватный нет, сопровождать систему некому. Разработчика адекватного найти сложно даже если есть деньги - вот Яндекс не смог, как и все остальные крупные компании с утечками (то есть все). Так какое практическое значение имеет этот закон? Прослушка через телефоны и всё что возможно сообщает яндексу.
scarab
19.05.2025 12:38Я не интересовался, какое яндекс понёс наказание за этот случай. Насколько я помню, в те времена штрафы были фиксированные и довольно гуманные, что-то в районе нескольких десятков тысяч рублей.
Сейчас штраф будет составлять уже многие миллионы и зависеть от оборота. Соответственно, меняются и риски и для организаций будет повод регулярно проводить, например, аудиты инфраструктуры и заранее закладывать механизмы защиты - скажем, автоматическое уведомление СБ, если пользователь делает выборку по пользователям.
KonstantinTokar
19.05.2025 12:38В телеграм-каналах регулярно появляются утечки, часто из госорганов. Кого там штрафовать на миллионы?
Если мои пд утекли, значит нарушены мои права. Каков механизм получения компенсации? А если нету его то зачем это всё? Напомню, пд всего взрослого населения уже слиты.
scarab
19.05.2025 12:38Не путайте штрафы и компенсации.
Штраф - это наказание и он взимается в пользу государства. А на компенсацию Вы можете подать иск.
Что касается госорганов - там своя специфика, но штрафы и к ним очень даже применяются, пусть это и выглядит как перекладывание денег из одного кармана в другой.
KonstantinTokar
19.05.2025 12:38Если государство действует в моих интересах, поддерживая этот закон, то оно является прокси между мной и организацией, выложившей мои данные. То есть иск я должен государству заявить? Или к организации, с которой, возможно, у меня вообще нет отношений?
scarab
19.05.2025 12:38Не очень понял логику насчёт прокси. Если государство разрабатывает правила дорожного движения - то, по Вашей логике, если кто-то въехал Вам в зад на дороге, то иск Вы тоже будете предъявлять государству?
Нет, государство является не прокси, а регулятором, устанавливающим правила игры. Если некто эти правила нарушает - он уплачивает штраф, причём неважно, чьи именно интересы нарушены: штраф налагается не за нарушение интересов, а за невыполнение требований законодательства.
Если же Вы полагаете, что некое физическое или юридическое лицо нарушило Ваши права - Вы вправе обратиться в суд и потребовать взыскать с этого лица компенсацию. Для этого Вам не нужно иметь никаких отношений (ну примерно как если некто украл у Вас сто рублей, то Вы вправе требовать, чтобы он их вернул, даже если Вы этого человека и в глаза никогда не видели).
KonstantinTokar
19.05.2025 12:38В случае с автомобилями есть два события несвязанных между собой - нарушение правил и въехал в зад. За то что кто то въехал мне в зад государство ничего не требует с въехавшего, требует только если он при этом нарушил правила. И требуемая компенсация при этом вполне рассчитывается и более-менее адекватная.
А вот в случае с нарушением в сфере хранения персональных данных я даже не знаю каков механизм обращения за компенсациями от отдельных граждан - интуиция подсказывает, что получить компенсацию если и можно то затратив несопоставимые усилия, хотя права и есть - но сколько можно потребовать у того кто слил мои данные? Слил миллион записей, потребовать 10.000 и он должен будет заплатить 10 миллиардов? Не заплатит. При этом эффект от слива будет действовать долгие годы и никто ничего сделать не сможет.
Я не про то что ПД надо всем раздать. Я про то, что они раздавались и раздаются, несмотря на все усилия. Войти в область, связанную с ПД стоит слишком дорого.
rybkin_kotik
19.05.2025 12:38Аа, вот почему на каждом втором сайте начали спрашивать согласие на куки.
Причем самое забавное: когда почти никто никакого согласия не спрашивал - меня эти куки не беспокоили. Серфишь себе, чистишь изредка кеш, тихо материшь прогресс последних лет, из-за которого старые девайсы на современном интернете становятся тормознутыми.
А как начали спрашивать - первая эмоциональная реакция - "Ааа, они своих куков на мой телефон запустить хотят! Не дам! У меня и так памяти мало!"
Вместо спонтанного начала общения со средой - предоставление разрешения на манипуляцию. Желание заходить на сайт сразу куда-то девается.linux-over
19.05.2025 12:38А знаете, что самое весёлое?
если сайт вместо кук положит токены (и что ему ещё надо) в local_storage браузера, то никакого вопроса пользователю задавать не будет требоваться.
Такие дела
zartarn
19.05.2025 12:38Аа, вот почему на каждом втором сайте начали спрашивать согласие на куки.
С пробуждением, это активно началось с GDRP, и там так же, могут посчитать что вашим ресурсам пользуются граждане ЕС, а значит вы должны всё соблюдать.
vikarti
19.05.2025 12:38Ну с другой стороны - допустим мне как владельцу сайта - плевать на граждан ЕС (и визу в ЕС я получать не планирую и нахожусь в России)(ну или наоборот - на граждан России и визу России получать не планирую и нахожусь в ЕС).
Что они мне сделают?
isden
19.05.2025 12:38Будут гневно осуждать и ругаться (возможно матом).
alex8079
19.05.2025 12:38Они пойдут в свой суд. Там вынесут решение. Вам придёт уведомление на адрес, который они смогут найти или на мыло.
Т.е. в EU странах формально отработают, насколько это возможно.
Усиленно искать, конечно, никто не будет.
Но вот проблемы у персонажей с тем ФИО, которое там, в стране EU, посчитают виновным, могут возникнуть, например, при прохождении пограничного контроля в любой стране EU.
P.S.: Такие кейсы имели место быть с сайтами то ли в US, то ли в Канаде. Некоторые владельцы сайтов в Северной Америке даже пытались банить диапазоны IP EU стран, чтобы не иметь с персонажами оттуда проблем.
edogs
19.05.2025 12:38Чисто теоретически... Доменные зоны регулируются icann, зарубежной организацией, со своими правилами. Выполнит ли координатор зоны ru требование вышестоящего icann если тот по решению суда предъявит требование отключить Ваш домен? Или встанет грудью на Вашу защиту?
vikarti
19.05.2025 12:38Чисто теоретически...получит иск в российский суд (подразумеваем что российских законов сайт не нарушает).
А вообще - вот конкретно этот способ против всяких kremlin.ru не использовали хотя уж получить решение какого надо суда что там сплошная запрещенка и терроризм - не проблема была явно. (С сетями была попытка - RIPE внятно объяснила желающим почему это - очень плохая идея и чем это может кончится, такие вот организации - не регулируют а координируют).
tim_saf
19.05.2025 12:38Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие.
Ну "письменное согласие" тут может смутить. На самом деле можно получить согласие и электронным способом. Важно учитывать другое. У нас в РФ до сих пор нет внятного и утвержденного перечня доказательств для согласий собранных электронным способом. То есть нужно самому решать, что вы собираете и как будете доказывать, что согласие получили, а не выдумали. Это могут быть лог-файлы, проверочные коды и т.д.
p-oleg
19.05.2025 12:38Так все же, если на сайте висит форма запроса на услуги и данные отправляются мне на email (имя, компания, email, телефон - опционально) - это подходит под сбор ПД? Чем это отличается от того, если пользователь пишет запрос напрямую на email ?
ITShchen
19.05.2025 12:38на сайте висит форма запроса на услуги и данные отправляются мне на email
По описанию - у вас всё-таки сайт, а не почтовый клиент. Т.е. пользователь именно что передаёт свои ПД на обработку сайту/сервису, который уже в свою очередь инициирует отправку письма на почту. Пользователь не может быть уверен в том, что вводимые им данные нигде не оседают в системе или не используются ещё каким-либо образом, да и мне в это верится с трудом, если честно. В конце-концов опять же - логи.
Чем это отличается от того, если пользователь пишет запрос напрямую на email
Тем, что принимая пользовательские ПД на вашем сайте - именно вы отвечаете за хранение и обработку ПД, а если пользователь делает это через сайт почты - за ПД отвечает почтовик. Логично же.
На самом деле я прекрасно понимаю природу вашего вопроса. Это сложная палитра различных чувств с нотками негодования и надежды на то, что хоть какие-то исключения из этого существуют. Огорчу - может они и имеются, но готовиться всегда стоит по полной.
p-oleg
19.05.2025 12:38Вообще форма рассчитана на запрос от юридических лиц (есть поле Компания). Закон ведь про физических лиц? (конечно технически может написать и физическое лицо).
scarab
19.05.2025 12:38Ничем. Если Вы собираете эти запросы по email - Вы тоже являетесь оператором персональных данных и тоже должны уведомить РКН.
Rohan66
19.05.2025 12:38IP, куки, ФИО, № телефона.....
Какой толк это обсуждать - если нигде не определено конкретно с какого возраста субъект может подписывать лично согласие на обработку ПДн! А это очень принципиальный момент. Обрабатывать "биометрию" (а это просто фото на пропуске и в СКУДе) можно только с личного согласия субъекта. А если подписали согласие представители субъекта (за детей чаще всего) - всё! Пропуск без фото и в СКУДе белый экран!
Б - безопасность!
sergeyssv
19.05.2025 12:38Замечательная статья, основанная на желании сделать что-то хорошо и привлечь внимание.
Однако, к сожалению, она оторвана от реальной судебной практики и актуальных прецедентов.
mrMazai, рекомендую ознакомиться с доступными прецедентами по делам о нарушениях в сфере персональных данных, чтобы не вводить читателей в заблуждение и опираться на проверенные факты.
mrMazai Автор
19.05.2025 12:38я, действительно не юрист, а разработчик, просто тема на Хабре, в явном виде не поднималась (под другим углом были публикации). Как обычно на Хабре, ценность не в статье, а в комментариях. Если у вас есть правки, я с удовольствием внесу их в текст, если есть альтернативная статья, дам на нее ссылку. Т.к. сам до конца не понимаю, что правильно в данной ситуации, а что нет =(
TooBigBigs
19.05.2025 12:38Вы, @mrMazai, потрудились дать ссылку на свой телеграм-канал, но не потрудились дать ссылку на официальный документ, из-за которого подняли кипишь. Я вот уже минут 5 потратил, чтобы понять, стОит ваша статья моего внимания или просто толчете воду в ступе, не понимая, о чем пишете.
Вот вам правки, как просили:
добавьте ссылки на официальные документы
напишите вначале статьи: "я, действительно не юрист, а разработчик, просто тема на Хабре, в явном виде не поднималась", поэтому набросал что-то, сам не знаю и не понимаю что, факты не проверял
zxlxqngs
19.05.2025 12:38Если не трудно, не могли бы вы поделиться какими-то ссылками, если есть?
Я тоже разработчик, не юрист, и не очень понимаю, насколько все описанные в статье угрозы реальны. Хотелось бы разобраться и отделить зерна от плевел.
KrainovSD
19.05.2025 12:38А как, интересно, будет рассматриваться ситуация с регистрацией через oauth гугла, например? Чисто технически на твоём сайте никаких форм нет, только редирект. Но при этом в последствии ты получаешь все необходимые персональные данные.
alexnik197
19.05.2025 12:38Создал для себя свадебный сайт, куда гости будут вписывать свои имя/фамилию, присутствие и предпочтения по напиткам - мне теперь об этом ещё РКН уведомлять?)
exTvr
19.05.2025 12:38Конечно. И приглашение персональное им не забудь отправить, на неопределённое количество персон.
Tumroc
19.05.2025 12:383. Согласия на обработку данных
Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие. Без него любая обработка становится нарушением"
С чего бы это вдруг? Согласие в подавляющем большинстве случаев вообще не требуется. Условия обработки персональных данных определены Статьей 6 ФЗ-152. И если, например, персональные данные обрабатываются при исполнении или заключении договора (пункт 5 части первой статьи 6), то никакое согласие не нужно. Согласие всегда можно отозвать, а если исполняется договор, то как отзывать? Я пришел в салон, заключил договор, купил автомобиль. Вышел из салона, написал отзыв и салон должен по вашей логике удалить мои данные из договора и акта передачи автомобиля? Не надо впадать в крайности. Или если законодательство требует от оператора обработки ПДн (пункт 2 части первой статьи 6), то согласие также не требуется - пример с военным билетом, работодатель обязан вести учет военнообязанных, это требование к нему со стороны государства, никакое согласия не нужны.
Письменное согласие необходимо в обязательном порядке для обработки биометрических ПДн или ПДн спрециальной категории (в отношении расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), для прочих ПДн такого требования нет - согласие можно получить любым удобным способом, позволяющим доказать получение согласия (усное согласие, согласие при свидетелях, пустой чек-бокс на сайте с логом времени и IP и прочее)
alex-dev2
19.05.2025 12:38Если вы собираете данные клиентов, соискателей, партнёров и других лиц — нужно получить их письменное согласие. Без него любая обработка становится нарушением
Как это вообще возможно? Ни один сайт соискателей вакансий, письменно, не собирает согласия ? У меня мысль была сделать аналог hh, но офигел от требований по защите ПД. Получается просто вся страна положила болт и рисует на страх и риск галочки с согласиями?
shanker
19.05.2025 12:38Статья выглядит так, будто её написал человек без юридического опыта. Никаких ссылок на КоАП. Никакого обоснования: что именно (какие действия приводят к наличию и составу правонарушения) является правонарушением, приводящим к штрафу и чем это обосновывается. Я лишь подскажу, что речь про ответственность по ст 13.11 КоАП РФ и её дополнение согласно Федеральный закон от 30.11.2024 N 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях".
P.S. Проблема затрагивания юридических вопросов людьми без юридического опыта - не редкость. Мне в багбаунти программах часто представители компании отвечают что-то вроде "телефон клиента не является персональными данными". Вот что бывает, когда юридические вопросы остаются в зоне отвественности технических специалистов.
KonstantinTokar
19.05.2025 12:38Я тоже обратил внимание на это. Но когда-то пытался разобраться,Ю оказалось что даже определение что такое персональные данные очень расплывчатое и в законе его нет, есть только в толкованиях. Когда закон модет понять только юрист - ставить ссылки на КоАП бессмысленно. Этих ссылок надо миллион и то останется какое-то интервью кого то где будет прямо противоположное другому разъяснению.
Wesha
19.05.2025 12:38Проблема затрагивания юридических вопросов людьми без юридического опыта - не редкость.
Проблема написания законов людьми без технического опыта - ну вот вообще ни полраза не редкость.
IgorMaster
19.05.2025 12:38Вот чисто гипотетически рассужу. Количество ПД в условно свободном доступе со временем всегда будет увеличиваться. Прогресс однако. Причины этого могут быть разными, речь не об этом, а о самом факте. Уверен, что утекшие однажды мои ПД, пусть много лет назад, со временем раскочевались на просторах инета многократно. Следуя по линии этого тренда, да ещё и с учётом цифровизации всего и вся, через N лет этой информации будет пруд-пруди. Не зависимо нашего нежелания этого. Это есть факт. Так будет. И может нужно оставить эти абсурдные попытки закошмара, а начать продумывать - как жить/быть/защищаться в условиях всеобъемлющего свободного наличия этих данных?
funca
19.05.2025 12:38Защищаться от чего? Технически, любой умный браслет сейчас знает про вас больше, чем вы сами и все ваши родственники вместе взятые. Законы больше про то, чтобы консолидировать ПД в нужных руках - кто владеет информацией, тот правит миром. Просто продвигаются под такими лозунгами, что население потеряло всякое ощущение реальности.
Wesha
19.05.2025 12:38как жить/быть/защищаться в условиях всеобъемлющего свободного наличия этих данных?
Ввести жОсткие наказания для абьюзеров. Расстрел через повешение с конфискацией.
Sap_ru
19.05.2025 12:38... но хранение личных документов (паспорта, военный билет) требует согласия.
Очень интересно, что будет если НЕ ДАТЬ согласие работодателю на хранение военного билета. Закон запрещает обуславливать предоставление любых дополнительных услуг сбором персональных данных, а согласие для обработки, связанной с основной деятельностью и так не нужно.
Но в любом случае текущие законы относительно ПД, как и их трактовки, как судебная практика - полнейшая неработающая туфта.
serafims
19.05.2025 12:38Была бы полезной подборка практики, где признавались бы данные не как ПД.
Например, если человек регистрируется на сайте и придумывает логин и пароль - по нему не идентифицировать гарантированно конкретного человека. Они же не подтверждаются. Даже подтверждение через смс не гарантирует именно того человека, что владеет номером. Вот в этом проблема, что в случаях, когда пользователь волен вводить любые данные, их пытаются трактовать как персональные.
Кстати, про честный знак - когда я покупаю банковской карточкой продукты с этой маркировкой, магазин передает в систему же данные о покупке кефира. Как только я купил кефир, данные на нем становятся персональными., так как они уникальны (иначе не продать) и связаны с платежным средством. Особенно в случае биометрической оплаты
JBFW
19.05.2025 12:38Если Государство (а это именно государство в лице РКН при поддержке со стороны заинтересованных "операторов отечественных ЦОД" и "разработчиков отечественных решений") захочет вас обуть - оно вас обует.
Особенно если обуваемый сам прибежал с просьбами.
KonstantinTokar
19.05.2025 12:38Самый простой случай, который видели все, но мало кто расценивает как нарушение закона о ПД.
Пишем в службу поддержки. Моё письмо пересылается между специалистами, я пересылаю им, в письмах подпись с email телефоном телеграммом и всем чем угодно. Кто в этой переписке объект персональных данных, кто что должен хранить и не показывать никому? Почему моё ФИО со всеми данными видят все, я вижу то же от других людей? Нас всех надо посадить по 274 статье?
PereslavlFoto
19.05.2025 12:38Нас всех надо посадить по 274 статье?
Вы уже депутат или ещё только баллотируетесь?
Wesha
19.05.2025 12:38Почему моё ФИО со всеми данными видят все,
Позвольте поинтересоваться, а почему там Ваше ФИО с Вашими данными?
KonstantinTokar
19.05.2025 12:38Потому что подпись email содержит такие данные как правило.
Wesha
19.05.2025 12:38подпись email содержит такие данные
«— А сейчас мы проезжаем мимо публичного дома...
— Но почему???» ©
itstranger
19.05.2025 12:38Что значит брать письменное согласие для работы с ДП? Т.е. когда я собираю email для регистрации, например мне высылать акт на почту? И ещё я должен подавать заявку для этого в РКН?
Так же, очень странный запрет, на хранение ДП на иностранных серверах. А если у меня сервис в целом ориентирован на забугор? Тогда выходит проще блокировать доступ к сервисам, чтобы в России он был недоступен и не было таких проблем с РКН.
arshanskiyav
19.05.2025 12:38И тут мы открываем сайт ФСС по СПб и Ло, переходим в контакты, и там есть незаметная ссылка на телеграмм группу технической поддержки, где кол-во участников исчисляется тысячами и все видят передаваемые данные...
Других способов связи с поддержкой нету...
nivorbud
19.05.2025 12:38Использование cookies без уведомления Установите pop-up с запросом согласия на использование файлов.
Само такое уведомление УЖЕ будет нарушением, при такой широкой трактовке кук как ПД. Так как куку вы засунули в браузер посетителя еще до его согласия. То же самое и с ip: вы не можете получить согласие на использование ip, не получив этот ip предварительно до согласия. Таким образом, невозможно получить такое согласие без нарушения.
Также эта техническая информация неизбежно передается при использовании например гугл-шрифтов, а это уже означает трансграничную передачу и многомиллионные штрафы. Т.е. при такой широкой трактовке мы приходим к абсурду.
Baahubali
19.05.2025 12:38я верно понимаю, что теперь если я добавлю ФИО и номер телефона с почтой в контакты на смартфоне без разрешения владельца, то это штраф? А с учетом, что сделаю это с помощью зарубежного софта и серверов гугл, то еще и считается трансграничной передачей персданных?
Ghovard
19.05.2025 12:38Можно написать сервис обратной авторизации.
Хранить персональные данные в виде SSH+GUID на клиенте, !не на сервере!.
Сервер авторизации держать в Финляндии|Норвегии|Вирджинских островах|штаб квартире НАТО. Любой клиентоориентированный бизнес в России, запрашивает OpenSSH key слепок или fingerprint от GUID клиента, и хранит этот слепок на своём сервере. Слепок без GUID не может однозначно идентифицировать клиента, оставляя вариативность, но с GUID(UEFI) который хранится у клиента на компьютере это можно сделать в моменте.
Это примерная дилетантская схемка, тут надо продумать ещё, с юристами и специалистами по ключам, но мне кажется, это правильное направление.
51oma
19.05.2025 12:38Как быть фрилансерам, работающим с иностранными заказчиками?
Есть ИП без сотрудников, работа по контракту и инвойсам с зарубежной компанией. В контракте со стороны клиента указаны имя, почта и телефон руководителя, он не гражданин РФ. Со стороны ИП - только фио и адрес.
Своего сайта нет. Контракт передается в банк для осуществления ВЭД, более никак не используется, нигда не публикуется.
Является ли в данном случае наш ИП/фрилансер оператором ПД и нужно ли ему подавать уведомление в РКН?
OlgaVivanova
19.05.2025 12:38Подскажите, пожалуйста, насколько обязательно для Оператора персональных данных не из субъектов КИИ иметь инструкции по защите ПД и действиям при утечке?
Какой закон обязывает их иметь?
sse
> если на сайте есть форма с запросом имени или телефона — они уже считаются оператором ПД и обязаны соблюдать требования закона.
Довольно сильное утверждение, хотелось бы увидеть обоснование. Номер телефона в отрыве от ФИО или номера паспорта, или иных идентифицирующих сведений ("+7-905-909-99-99 Миша К.") не является персональными данными, т.к. нет лица, которое он однозначно идентифицирует
ialexander
Классическое определение персональных данных - это информация которая может идентифицировать человека прямо или косвенно с помощью других данных. Номер телефона определенно является персональными данными так как он позволяет уникально идентифицировать человека при наличии доступа к базе данных телефонных номеров.
При этом не так и важно есть у оператора доступ к этой базе данных или нет, важна сама возможность.
То же самое касается и IP адреса. Даже при динамических адресах, зная время и имея доступ к данным интернет провайдера теоретически можно идентифицировать человека.
Otard
Вряд ли это будет идентификация человека. Максимум компьютер, который был в сети, а вот кто им пользовался останется неизвестным.
ialexander
Я согласен, что это спорный момент и далеко не всегда компьютер == человек.
Тем не менее, к примеру, GDPR явно относит IP адреса к PII, формулировка в российском ФЗ-152 тоже позволяет отнести их к персональным данным
Это весьма широкой определение под которое могут попасть много неожиданных данных, даже данные геолокации (местоположение человека в рабочее время и местоположение в ночное часто позволяет практически однозначно определить человека).
Это не я сам придумал - научили на тренингах по PII. И хотя они были ориентированны в основном на западное законодательство GDPR, CCPA, HIPPA и тп, они точно так же широко формулируют персональные данные и общая рекомендация подходить к этому осторожно - даже если явно не сказано, что что-то это PII, относиться к ним так, если есть хоть какой-то способ идентифицировать человека с их помощью. И они могут быть персональными данными не в одном законе, так в другом, не сегодня так завтра.
riv9231
ip-адреса остаются в логах сервера, значит и без ФИО, всеравно оператор ПД?
Вот с этого пункта и начнутся ваши приключения. Вне зависимости от того, что вы делаете, государство поступает по принципу "коготок увяз - всей птичке конец", у вас будут запрашивать дополнительную информацию, например серийные номер оборудования на котором вы обрабатываете ПД (вы же сами признали, что бы это не значило), оно, разумеется должно быть сертифицировано, и пошло поехало...
А зачем вообще уведомлять Роскомнадзор, если по их же определениям не возможно быть юр лицом и не обрабатывать ПД? Но зачем-то это нужно и если не уведомлять Роскомнадзор, то и спрашивать о сертифицированном оборудовании у вас не будет.
Выглядит так: У вас есть лишние деньги? Нет, ну ладно, пока гуляйте.
vyatkh1
Не.Не совсем: У вас есть лишние деньги? Нет. А если пошарим?
Ну вот же - 300000. Продолжим искать?
Guestishe
Не, ну врядли кто-то будет штрафовать сантехника-шабашника за наличие к него телефонной книги в смартфоне. Не тот уровень.
nApoBo3
А почему собственно нет? Берём реестр юр.лиц, проверяем кто не уведомил, рассылаем всем штрафы. Если что можете обжаловать.
Не уведомление, само по себе образует состав.
unreal_undead2
А если добавить отпечатки пальцев, показания родственников и т.п. ?
Otard
Если есть отпечатки пальцев, то для чего IP?
unreal_undead2
Чтобы найти клавиатуру, по которой стучали.
Otard
Если у Вас есть отпечатки, значит клавиатура уже у Вас. Зачем IP?
unreal_undead2
Сначала по IP и данным провайдера идентифицируем девайс, потом снимаем с него отпечатки для идентификации пользователя.
Otard
Так пользователя Вы будете идентифицировать по отпечаткам, а не по IP. Из чего следует что IP не является персональными данными. Если известно, что правонарушитель уехал на трамвае №4, это же не говорит о том, что номер маршрута трамвая это ПД конкретного человека.
unreal_undead2
Если, как сказано выше, "определение персональных данных - это информация которая может идентифицировать человека прямо или косвенно с помощью других данных " - то маршрут трамвая тоже ПД. Да, в действующем законодательстве определение другое.
Otard
В законе написано по другому.
Okeu
по логике вашего диалога выглядит так, что по IP вычислили компьютер, а имея доступ к самому компьютеру уже опознали кто им пользовался. Тут вместо отпечатка можно взять логи системы\историю браузера и так далее.
Поэтому в таком сценарии выглядит так, что IP адрес выступил первичным идентификатором по которому был найден пользователь)
упд: но я все-равно не считаю, что он является персональными данными
Otard
По логике вещей, данные потому и называются персональными, что они указывают на конкретного человека. Например - паспорт или иной документ, имеющие индивидуальный признак, отпечатки пальцев, радужная оболочка. IP, как и адрес жительства не могут быть персональными данными, так как не имеют признаков индивидуальности, а могут одномоментно быть связанными с разными людьми. И придавать результатам следственных мероприятий признаки персональных данных не правильно.
Okeu
логика все же иная. Например как можно считать адрес электронной почты персональными данными? Или сумму месячного дохода?
Но это все может являться персональными данными, если может быть использовано для идентификации. Полагаю, что с IP адресом может быть так же - если он используется в совокупности с чем-то, то может попасть в эту категорию
unreal_undead2
Да, имено такой сценарий
Конечно.
Законодательство с вами согласно, но автор коммента, которого началась дискуссия - нет.
Okeu
Я это не утверждал, а скорее рассуждал) у меня у самого двоякое отношение к этому, и какого-то единого мнения я не выработал)
Wesha
Да, в нынешнее время появилась возможность стучать по электронной почте...
sse
> Классическое определение персональных данных - это информация которая может идентифицировать человека прямо или косвенно с помощью других данных
Нет, в 152-ФЗ (раз мы в его контексте рассуждаем) дано другое определение, подменять его не следует.
А раз определение другое, то и рассуждения про IP тоже сомнительны
ialexander
И тем не менее Верховный суд в 2020 посчитал IP адрес персональными данными https://www.law.ru/question/163895-otnositsya-li-ip-adres-k-personalnym-dannym
nivorbud
Ведь по вашей ссылке четко сказано, что:
Так что практика неоднозначна.
Постановление 225-АПУ19-4 в открытом доступе не нашел, но, судя по ссылкам на него, там вообще уголовное дело рассматривается.
Но я видел и другое дело, на которое часто ссылаются относительно ip и куков. Однако, там речь шла о совокупности данных, в число которых входили и куки и ip, и... чуть ли не паспортные данные.
dartraiden
То есть, если я сейчас за 5 минут напишу скрипт, который по шаблону +7 495 xxx xx xx генерирует все возможные сочетания цифр (от 000 00 00 до 999 99 99), то это будут персональные данные? Ведь среди них неизбежно окажутся действующие номера москвичей, а при наличии доступа к базе...
ialexander
Ну вы так же можете нагенерить номера паспортов, имена и так далее.
Персональными данными они считаются только связаны с конкретным пользователем. Например, если вы требуете для регистрации на сайте номер телефона, то должны следовать законодательству о персональных данных.
nivorbud
Здесь важна точность формулировок. Если подразумевать совокупность данных, то вопросов нет - легко можно придумать ситуации, когда ip дополняет идентификацию конкретного физлица. Но сам по себе ip (в отрыве от прочих данных) идентифицирует только узел и в большинстве случаев - промежуточный узел. По ip нельзя даже определить, человек открывает страницу или бот.
scarab
Тут зависит от контекста.
Скажем комбинация "Иванов Иван Иванович получает 100 тыщ рублей" сама по себе не является ПД, потому что таких Иванов Ивановичей в стране - пруд пруди.
Но та же комбинация, вывешенная на стенде в организации, где такой Иван Иванович только один - уже позволяет идентифицировать конкретного человека, следовательно - является ПД.
То же самое с IP. Пока это просто GET-запрос с адреса 1.2.3.4 - это ещё не ПД. Но как только мы можем связать этот адрес с логином конкретного пользователя, который заполнил анкету у нас на сайте - IP становится частью ПД.
JBFW
Необходимо доказать что этот IP выделен и зафиксирован для оборудования абонента - вот ТОГДА он его идентифицирует.
Если это IP шлюза с NAT, да еще один из десятков шлюзов - кого он идентифицирует?
vikarti
Ну вот допустим IP-адрес статический.
Только...за роутером с NAT интернетом совсем не один человек пользуется. И куча всякой автоматики которая в том числе может в некоторых ограниченных ситуациях дернуть ресурс по внешнему запросу в том числе не особо авторизованному(ну там - превьшки сгенерить на сервере Matrix если кто-то ссылку в канал на который кто-то с этого сервера подписан прислать да и у Peertube и прочих Activitypub-систем федерация есть)
При этом подключено два провайдера и от обоих статика и куда пойдет запрос - а вообщем то куда роутер захочет (там еще и несколько VPN'ов есть)
И кого тогда это идентифицирует? :)
unreal_undead2
Только не абонента, а оборудование. Мало ли кто заходил с компа в квартире, если пароль на вход не выставлен.
JBFW
А тут можно по аналогии с банковской картой: на кого договор - тот и отвечает )
Wesha
Riddle me this, Batman: являются ли ПД:
комбинация «Иванов Иван Иванович получает 300 млн рублей» (при условии, что реально он получает 100 тыщ»
комбинация «Иванов Иван Иванович НЕ получает 101 тыщ рублей»?
vikarti
Вот в этом контексте вспоминается мне одна художественная серия на АТ.
Сделано как серия рассказов о своей жизни и определенных событиях от толпы народа, в основном попаданцы, тексты проходят редактору и потом цензуру местных спецслужб. Мир с одной стороны не наш а с другой стороны - доступ в наш интернет оттуда есть (как и серьезное наказание за попытку установить связь с близкими и "оригиналом"(попадает копия, ну или иногда копия улетает в наш мир)).
По куче персонажей прям полное ФИО и возраст (несовершеннолетние тоже есть), данные про сексуальной ориентации тоже есть.
Себя автор тоже вывел :).
Есть ли разглашение ПД ? :)
FreemanIsAlive
Дико извиняюсь, а можно ссылочку или название? Заинтересовало.
nivorbud
Ну если уж доводить до абсурда, то тогда можно утверждать, что почти каждый сайт занимается трансграничной передачей данных (а там штрафы уже исчисляются миллионами). Ведь почти каждый сайт использует гугл-шрифты, скрипты и прочее, загружаемое в браузер посетителя с серверов зарубежных компаний. А при загрузке эти сервера фиксируют ip посетителей сайта. На этом фоне (с миллионными штрафами) штрафы за форму выглядят копеечными. Но может быть, просто не надо доводить до абсурда?
Uporoty
Это вы чиновникам из роскомнадзора скажите, которые в какой-то момент могут захотеть легких штрафов нарубить.
nivorbud
Смотрите, ипэшников и юрлиц у нас под десяток миллионов. Сайтов наверно еще значительно больше. Каждый штраф надо оформить, собрать хоть какие то доказательства, зафиксировать и пр. Сколько человек работает там? Сколько они осилят наложить штрафов? Чисто теоретически. Можно посчитать вероятность попадания под этот домоклов меч.
unclejocker
Хороший повод расширить штат!
И увеличить бюджет.
/сарказм только отчасти
anshdo
Не надо им подсказывать!
ilyamodder
Достаточно пары показательных штрафов. И нет гарантий, что среди этих случаев вы не окажетесь.
nivorbud
Посмотрите на фасады домов... А ведь до недавнего времени было запрещено без сложного согласования вешать кондиционеры, остеклять балконы...
Кстати, только в 2000-х годах (насколько помню) отменили советское требование регистрировать цветные принтеры, вести журнал доступа в помещение к принтеру и пр. Это кого-то беспокоило? А ведь и по этим случаям единичные процессы были.
didenis
Простите, а Домокл это кто?
MountainGoat
Отец Домоклика
Wesha
Дамокл, которого изуродовали двоечники.
nApoBo3
Не надо. Всё эти данные есть в информационных системах. Штраф нужно только эцп подписать и все. Налоговая за просрочку подачи любых документов именно так штрафуюет, автоматом. Если что не так, можете обжаловать, у них такой процесс.
Metotron0
А имя челловека — это персональные данные? Если я выйду на улицу в футболке со своим именем, должен ли каждый грамотный встречный идти платить штраф?
Carbonium
Ну если вы выходите на прогулку в мета-вселенной, то ПДн). К описываему вами кейсу, тема обсуждения имеет слабое отношение.
ifap
Нет, так как Вы (субъект ПД) сами обнародовали свое имя (ПД).
kainMS
Если данные получены из открытых источников они все равно являются персональными.
ifap
Открытый источник тут ни при чем: это ПД, разрешенные субъектом ПД для распространения.
Metotron0
Если я у кого-то на спине напишу его, то всё?
Wesha
Да их таких полно!
coolmiha
Просто телефон не является ПД. Вот вам номер - +79999999999 - идентифицируйте
KonstantinTokar
Скажите это сервисам, вход в которые по номеру телефона с подтверждением через SMS.
AlexKMK
Слава богу РКН не вкурсе про биомеханику.
А то - сайт получает события от мыши? Регистрируйся как ПДшник.
Скоро чтоб запустить сайт нужно будет собрать лицензий больше и дороже чем для открытия нефтяной вышки.
Форма реги есть? Делай кучу бумаги и решайся в сотне органов.
Чатик на сайте есть? Ооо. Красава, ставь сорм и регайся как ОРИ, и да, не забудь установить оборудование для сорм на 3+ миллиона.
Малый бизнес убили. Следующими на очереди сайтики на 3 человека. Додавим до визга.
germanetz
В форме на сайте кто угодно может вбить чьи угодно данные, это еще не обработка и не сбор пд. а #тел. может уже сменить нескольких владельцев. Особенность в том что это уже в суде скорее всего только примут к сведению. И не забывайте что сайт это все таки ИСПДн, т.е. ответвление от 152фз
ialexander
Согласен, я и не утверждал, что именно является обработкой и сбором персональных данных.
К примеру, тот же GDPR хоть и определяет IP адреса как персональные данные, но не требует согласия на это так как это считается "legitimate interest" в целях обеспечения безопасности.
Но надо помнить, что хранение адресов в логах не равно продаже IP адресов и ассоциированных с ним действий третьим лицам. Это явно не legitimate interest.
Alex5Anc
Ага, ага... "уникально идентифицировать человека"... Как минимум на этом глобусе существует чуть больше чем дофига оборудования использующего сотовую сеть для передачи данных. Какого "уникального человека" вы там идентифицируете?
Такая же хня с корп номерами которые используются группами сотрудников, т.е. не один номер в одни руки. Формально подобный номер закреплен за конкретным сотрудником, но вот "уникально идентифицировать" кто и в какое время пользовался этим номером, уже неполучится.
Дальше. Телефоны оформленные на умерших людей. ИМХО ещё не существует закона обязывающего морги незамедлительно сообщать всем ОПСОСов о смерти человека.
Даже теоретически он этого сделать не может. Домашний интернет: Даже если человек живет один, к нему в гости может кто-то приехать и попользовать его инет. Корп. интернет: Ну вы поняли...
isden
Номер оформлен на паспорт. Операторы периодически проверяют валидность паспортных данных через сервис МВД.
Alex5Anc
Вот-вот, "периодически" и промежутки между этими периодами ну совсем не маленькие. Пример из жизни: Где-то лет через 7-8 стукнулись. Причем это явно не было связано с "периодической проверкой", их тогда вздрючили на тему "пересчитать всех по головам", в тот же год и ввели требование по корп. номерам о предоставлении информации за кем конкретно закреплен номер.
Второй пример, человека нет уже 2.5 года, пока нэтребуют.
ЗЫ Да и по первому случаю дополнение, явно считали не по людям, а по номерам. На человеке было два активных номера у его жены и у его мамы, но требования о предоставлении актуальной информации на эти номера прилетели с разницей где-то в полгода-год.
isden
Пример из жизни. В прошлом году перевыпускал паспорт. Операторы возбудились что мол данные не валидные и нужно обновить на 2-3 день. Банки на 5-7.
dartraiden
Проблема в том, что определение персональных данных и того, что с ними связано, трактуется государством так, как государству выгодно в конкретный момент.
Можно вспомнить случай с одним из сайтов Навального, где была форма обратной связи. Стандартная форма вида "Имя и что вы хотели нам написать". Прокуратура решила, что в форму человек может ввести свои персональные данные (например, паспортные - ведь технически может же), а значит, тут осуществляется их сбор и обработка.
Таким образом, если стоит цель вас закошмарить - вас закошмарят за простую форму из двух полей.
select26
Наверное, даже так:
если стоит цель вас закошмарить - вас закошмарят.
Akuma
А ещё можно в браузере в дев тулс из дива сделать форму и…поля нам больше не нужны. И никак не докажешь, что на твоей сайте этого вообще не было.
vervolk
Все sim карты в РФ обязаны быть привязаны к паспортным данным. Так что должны идентифицировать.
funca
Номер телефона не обязательно мобильный. Как и емейл. Он может принадлежать организации - тогда это публичные данные. На каком-то сайте попадалась приписка в такой форме регистрации с запретом вводить личные.
VanishingPoint
Это все равно что броситься на пешеходном переходе под машину несущуюся со скоростью 100 км/ч, потому что ты как бы прав.
Вы просто получите штраф и всё.
KalitaIvan
Это ты будешь в суде выяснять когда пени за неоплаченный штраф(в) будут капать каждый день:)
PPRT_E
Нет, здесь это однозначно идентифицирует пользователя сайта.