С развитием цифровых технологий сбор персональных данных через интернет стал неотъемлемой частью бизнеса, маркетинга и государственного управления. Однако вместе с удобством приходят и серьезные риски: утечки данных, мошенничество, нарушение конфиденциальности.
Закон по защите персональных данных в РФ датирован 2006 годом, но многие относились к этому несерьезно, так как наказание было несущественным.
Всех всколыхнул рост штрафов, произошедший в мае 2025 года, когда добавили уголовную ответственность за некоторые нарушения, связанные с персональными данными, а штрафы увеличились до 15 млн р.
В этой статье мы разберем:
— Какие данные считаются персональными?
— Законные и незаконные способы сбора информации.
— Основные риски для пользователей и компаний.
— Правила обработки персональных данных в соответствии с законодательством.
Что относится к персональным данным?
Персональные данные (ПДн) — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу.
Поскольку законодательство не содержит конкретного перечня персональных данных, к таковым может быть отнесена любая информация о гражданах:
— ФИО, дата рождения, паспортные данные.
— Пол, возраст ( и даже образование).
— Адрес проживания, email, номер телефона.
— IP-адрес, cookie, геолокация.
— Биометрические данные (отпечатки пальцев, сканы лица).
— Финансовая информация (банковские карты, история покупок).
В разных странах определение ПДн может отличаться. Например, в ЕС действует GDPR (General Data Protection Regulation), в России — ФЗ-152 «О персональных данных».
Как собирают персональные данные в интернете?
Законные способы:
— Добровольное предоставление (регистрация на сайте, подписка на рассылку).
— Cookies и метрики (анализ поведения пользователей через Google Analytics, «Яндекс Метрику»).
— Публичные источники (соцсети, если профиль открыт).
— Данные от партнеров (если дано согласие пользователя).
Незаконные методы:
— Фишинг (поддельные сайты, письма с запросом данных).
— Взлом баз данных (утечки из соцсетей, интернет-магазинов).
— Спам-боты (автоматический сбор контактов).
— Шпионское ПО (вирусы, перехватывающие ввод паролей).
При сборе персональных данных оператор должен собирать только те данные, которые необходимы для конкретной цели.
Например, если вам требуется информация для оповещения, достаточно запросить: ФИО, телефон, электронный адрес. Паспортные данные и адрес прописки в этом случае не нужны, следовательно, собирать их дополнительно нельзя, т. к. это не соответствует цели обработки персональных данных.
Основные риски сбора персональных данных
Для пользователей:
— Кража личных данных (мошенники могут оформить кредит или совершить покупку).
— Финансовые потери (взлом банковских аккаунтов).
— Шантаж и кибербуллинг (утечка переписок, фото).
— Спам и таргетированная реклама (навязчивые предложения).
Для компаний:
— Штрафы и суды (до 15 млн р. за нарушение).
— Репутационные потери (утечки подрывают доверие клиентов).
— Блокировка сайта (Роскомнадзор может запретить сбор данных без согласия).
Правила сбора и обработки персональных данных
Право сбора, хранения персональных данных основано на выдачи Согласия лицом, которому эти данные принадлежат.
В России (ФЗ-152):
– Согласие пользователя — должно быть информированным и конкретным.
– Цель сбора — нельзя использовать данные не по назначению.
– Защита информации — шифрование, ограничение доступа.
– Право на удаление — пользователь может отозвать согласие и необходимо тут же удалить все данные. Согласие должно быть подписано собственноручно или электронной цифровой подписью.
Получать согласия должны все, кто использует автоматизированный сбор, хранение данных: самозанятые, ИП, компании, госорганы.
В РФ организация сбора, обработки и хранения персональных данных — это система. В каждой компании она должна быть создана индивидуально. Практика показывает, что в данный момент невозможно для всех компаний подходить шаблонно.
Например, для производственной компании необходимо оформлять пропуски с фотографией — это уже сбор биометрических данных.
Для онлайн-школы записываются видео, отзывы, выкладываются фото — и все это тоже может быть при определенных условиях отнесено к сбору биометрических данных. В компаниях же, где не используется электронная обработка ПДн, не нужно создавать систему.
Рекомендации для тех, кто собирает персональные данные через интернет
Если вы собираете данные через интернет, — вы оператор персональных данных. До начала сбора данных вам необходимо заполнить уведомление на сайте Роскомнадзора, пройти проверку и получить регистрационный номер.
Случаи, когда уведомление не требуется (ст. 22 п. 2 № 152-ФЗ)
Оператор освобождается от обязанности уведомлять Роскомнадзор, если персональные данные обрабатываются:
— В рамках договора с физическим лицом (например, трудовой договор, договор оказания услуг) и не передаются третьим лицам без согласия субъекта.
— Из общедоступных источников (справочники, открытые соцсети, реестры ЕГРЮЛ/ЕГРИП и т. д.).
— Без использования автоматизированных средств (например, только бумажные носители).
— Только для однократного пропуска на территорию (например, разовый пропуск в офис).
— Членами религиозных/общественных организаций при условии, что данные не распространяются без согласия.
— В журналистских, научных, литературных или иных творческих целях (если не нарушаются права субъекта).
— В обезличенном виде (так, что человека нельзя идентифицировать).
Cookies и персональные данные в России
Отдельное внимание при сборе данных через интернет следует уделить правилам сбора данных через cookie. Согласно ФЗ-152 и разъяснениям Роскомнадзора, cookies могут быть персональными данными, если:
— Позволяют идентифицировать пользователя (логины, ID сессии, email).
— Содержат данные о поведении (история посещений, геолокация).
— Используются для таргетинга (рекламные идентификаторы).
— Не являются ПДн: технические cookies (настройки языка, корзина покупок).
К cookie-баннеру сейчас предъявляются строгие требования
Например:
— Текст должен объяснять, какие cookies используются (например: «Мы используем файлы cookie для аналитики и рекламы»).
— Указать ссылку на Политику конфиденциальности.
Кнопки выбора должны быть равнозначны:
«Принять» — согласие на все cookies.
«Отклонить» — полный отказ от необязательных cookies.
«Настроить»— выбор отдельных категорий (аналитика, реклама, функциональные).
Отказ должен быть не сложнее, чем согласие. Если пользователь нажал «Отклонить», сайт не должен блокировать контент (это нарушение).
В общем, cookie-баннер в 2025 году должен:
— Давать выбор («Принять», «Отклонить», «Настроить»).
— Быть прозрачным (без скрытых согласий).
— Фиксировать действия пользователя.
— Соответствовать ФЗ-152 и требованиям РКН.
Заключение
Сбор персональных данных через интернет — мощный инструмент, но с высокими рисками. Компании должны строго соблюдать законы, а пользователи — внимательно относиться к своей цифровой безопасности.
Оператор персональных данных сейчас несет существенную материальную ответственность. Штрафы кратно увеличили в мае 2025 года, и теперь к ситуации с ПДн халатно относиться не рекомендуется.
Соблюдение правил защиты данных поможет избежать финансовых потерь, судебных исков и потери репутации. Будьте осторожны в сети!
Ольга Малкова
Основатель группы компаний в сфере финансов,
оптимизации налогов и юридической защиты бизнеса
