Как защитить персональные данные клиентов и избежать миллионных штрафов в 2025 году

С 30 мая 2025 года в России вступают в силу новые требования к обработке персональных данных от Роскомнадзора. Если пренебречь ими, можно получить штраф до 15 млн рублей.

Эти изменения касаются всех компаний, которые работают с клиентскими данными: онлайн-школ, интернет-магазинов, сервисов доставки, фитнес-клубов, салонов красоты и многих других.

Если у вас есть база клиентов или учеников, если вы принимаете заказы, ведете учет покупателей или просто запрашиваете контакты — вам важно разобраться, как избежать штрафов.

Эксперты маркетинговой компании и учебного центра ДПО «ИВЦ 8 Бит» — Вадим Твердохлеб и Алена Герасимова — рассказали, что нужно сделать, чтобы защитить данные пользователей и не лишиться миллионов рублей.

Все компании, которые обрабатывают персональные данные, обязаны зарегистрироваться в Роскомнадзоре.

Регистрация требуется, даже если у вас всего 100 клиентов, а данные хранятся в таблице Excel — это уже считается обработкой персональных данных. Под категорию сбора персональных данных в электронном формате попадают даже PDF-сканы документов, которые могут храниться на флешке, а не в облаке.

^{Правило касается всех данных в любом электронном формате.}

Важно: теперь компании должны подать заявление об обработке данных до того, как начнут эти данные собирать. До изменений вы могли подать заявление уже после старта школы и набора новых учеников, а теперь зарегистрироваться нужно до начала продаж.

Нужно уведомлять Роскомнадзор, если у оператора, то есть онлайн-школы, меняются данные: например, ИП Иванова вышла замуж и сменила фамилию, теперь это ИП Петрова.

Также стоит уведомить надзорный орган, если вы собираетесь изменить перечень собираемых данных: например, раньше вы собирали только ФИО студентов, но в будущем планируете хранить их паспортные данные.

Новое наказание, которое вводит Роскомнадзор, связано именно с несвоевременным уведомлением надзорного органа: за проступок появился штраф от 30 до 50 тыс рублей для должностных лиц и от 100 до 300 тыс рублей для организаций.

• Обязательная регистрация в Роскомнадзоре до начала деятельности;

• Увеличиваются штрафы за утечку информации;

• Если случилась утечка данных, важно уведомить Роскомнадзор в течение 24 часов.

Если ваш бизнес собирает и хранит персональные данные, регистрация обязательна. Многие предприниматели думают, что это касается только крупных проектов, но это не так.

Вы попадаете под закон, если:

• собираете телефоны и email клиентов для рассылки,

• принимаете заказы онлайн или по телефону,

• у вас есть клиентская база,

• ваш сайт имеет форму обратной связи,

• вы ведете учет участников бонусных программ.

• Если персональные данные используются исключительно в личных целях. Например, телефонный справочник сотрудников, список контактов друзей или близких.

• Если обработка ведется без автоматизированных систем. То есть, если данные хранятся только на бумажных носителях, без переноса в электронные базы. Например, вы заносите все данные о клиентах в большую амбарную книгу, а не заполняете таблицы в Excel.

Многие компании используют Яндекс.Диск, Google Drive, Dropbox, «Облако Mail.ru» или другие облачные сервисы для хранения клиентских данных.

✅ Можно хранить данные в российских облачных сервисах, например, на «Яндекс Диске» или в «Облаке Mail».

❌ Нельзя использовать иностранные облачные хранилища без уведомления Роскомнадзора. Если вы передаете данные за границу (например, при работе с международными CRM-системами), необходимо уведомить Роскомнадзор.

Раньше нарушения в обработке данных могли остаться без последствий. Теперь штрафы для ИП и компаний стали гораздо жестче:

Если у вас не оформлена регистрация, и вы, например, отправили рассылку клиентам, а кто-то пожаловался в Роскомнадзор — ждите штраф. Если данные утекли из-за ошибки сотрудника или взлома, штраф может достигать миллионов рублей.

Многие компании недооценивают последствия утечки данных. Давайте разберем, что реально может случиться.

Для пользователей:

• их данные попадают в руки мошенников,

• те оформляют кредиты на имя пользователей,

• клиенты получают сотни звонков с мошенническими предложениями.

Для бизнеса:

• крупные штрафы от Роскомнадзора,

• доверие клиентов падает — они боятся передавать вам данные,

• конкуренты используют утечку против вас.

Реальный случай: В 2022 году произошла утечка данных клиентов сервиса «Яндекс.Еда». В открытом доступе оказались адреса, телефоны и заказы пользователей. Результатом утечки стали мошеннические звонки клиентам, утрата доверия пользователей и штраф для компании.

Закон звучит страшно, но на деле избежать штрафов не так сложно, если соблюдать базовые правила:

1. Зарегистрироваться в Роскомнадзоре — первый шаг, который обязаны сделать все компании.

2. Ограничить доступ к данным — данные клиентов не должны быть доступны всем подряд. Сотрудники видят только то, что им необходимо.

3. Настроить защиту — пароли, антивирусы, двухфакторная аутентификация, шифрование.

4. Обучить персонал — большинство утечек происходит по ошибке сотрудников.

5. Проводить аудит безопасности — регулярно проверять, нет ли уязвимостей.

🔲 Зарегистрироваться в Роскомнадзоре:

• Если вы собираете, храните или обрабатываете персональные данные клиентов (телефоны, email, адреса), вам нужно официально уведомить Роскомнадзор. Если школа еще не ведет продажи, уведомите Роскомнадзор до начала обработки данных.

• Без регистрации вас могут оштрафовать, даже если база небольшая.

🔲 Разобраться, какие персональные данные вы обрабатываете:

• Определите, какие данные клиентов у вас хранятся: номера телефонов, email, адреса доставки, паспортные данные и т.д.

• Проверьте, как и где они хранятся — в CRM-системе, в таблице Excel, в блокноте?

• Если информация хранится на зарубежных серверах (Google Drive, Dropbox), важно перенести ее в российские облачные сервисы.

🔲 Настроить защиту данных:

• Проверьте, есть ли у вас сложные пароли и двухфакторная аутентификация на всех устройствах и сервисах, где хранятся данные клиентов.

• Установите антивирусные программы и фаерволы.

• Настройте разграничение доступа: менеджеры должны видеть только нужные данные, а не всю базу.

🔲 Разработать и обновить внутренние документы по защите данных:

• Политика конфиденциальности должна быть доступна для клиентов (на сайте, в договоре и т.д.).

• Подготовьте регламент работы с персональными данными для сотрудников.

• Если данные передаются третьим лицам (например, курьерским службам), заключите с ними договор о защите информации.

🔲 Провести аудит, выявить слабые места:

• Определите, какие процессы в вашей компании могут привести к утечке данных.

• Проверьте, кто из сотрудников имеет доступ к клиентской информации и действительно ли он нужен.

• Попробуйте найти уязвимости в защите данных: слабые пароли, незащищенные файлы, устаревшие программы.

🔲 Настроить систему уведомлений Роскомнадзора в случае утечки:

• Если произошла утечка данных, у вас будет 24 часа, чтобы уведомить Роскомнадзор.

• Назначьте ответственного сотрудника, который будет отслеживать безопасность и реагировать на возможные инциденты.

• Подготовьте готовый план действий на случай утечки, чтобы не паниковать в экстренной ситуации.

Не стоит откладывать эти шаги — закон вступает в силу уже скоро, а штрафы могут применяться без предупреждения.

18 февраля 2025 года