Изменения в законе о персональных данных: вопрос-ответ с юристом
С 30 мая 2025 года действуют новые правила для обработки персональных данных. Штрафы выросли, а Роскомнадзор будет проверять компании чаще и строже. Подробнее мы писали в нашей предыдущей статье. В ней рассказали самое важное: про виды нарушений, размеры штрафов, а главное — что делать бизнесу.
👉 Читать «Новые штрафы за персональные данные и как их избежать»
В этом тексте Анна Бессмертная — юрист Callibri и эксперт IT’s LEGAL.pro — отвечает на вопросы о законе. Их оставили участники вебинара «Как digital-агентству избежать штрафов в новых юридических реалиях». Мы послушали запись и отобрали самые интересные ответы для вас.
Что делать с розыгрышами в чат-ботах Telegram? Они собирают персональные данные, а после окончания бот публикует ник победителя.
Розыгрыши в Telegram-ботах — это обработка персональных данных, и на неё нужно получить согласие участников. Согласие можно оформить в правилах конкурса. Укажите, что вы обрабатываете данные и можете раскрыть ник победителя. Это защитит от претензий.
Можно собирать данные в Google Таблицах?
Первичный сбор данных в Google Таблицах недопустим с 1 июля 2025 — это считается трансграничной передачей при сборе. Можно сначала собирать данные на российский сервер (например, через Яндекс.Формы), а затем переносить в Google Таблицы для внутренней обработки. При этом оператор должен уведомить о трансграничной передаче.
Как правильно собирать согласие на cookie?
Закон не требует сложных баннеров с выбором типов cookie. Достаточно уведомить посетителя о сборе данных, дать ссылку на правила их обработки или на политику конфиденциальности — в ней нужно описать, какие данные собираются.
Считается ли сайт на домене .com иностранной площадкой?
Сам по себе домен (.com, .ru, .eu) не определяет, является ли сайт иностранной площадкой. Важно, какая компания является оператором данных, куда физически собираются данные или на какую территорию размещается реклама.
Если сайт на домене .com собирает данные на сервер в России (например, Яндекс Cloud), это не трансграничная передача. Если реклама ориентирована на российскую аудиторию, её нужно маркировать токенами и оплатить 3% сбора, независимо от домена.
Нужно ли заявлять самописную платформу как центр обработки данных?
Если самописная платформа собирает данные и хранится на вашем сервере (например, в офисе), её нужно заявить как отдельный центр обработки данных в уведомлении РКН. В форме на сайте ведомства можно указать несколько центров, включая ваш сервер, с адресом офиса или регистрации компании.
Законны ли холодные звонки и рассылки без согласия?
Холодные звонки и рассылки без согласия на обработку персональных данных — нарушение. Если база для звонков или рассылок получена от партнера, убедитесь, что:
- партнёр собрал данные легально,
- получил согласие на рекламную коммуникацию и передачу данных третьим лицам (то есть вам) именно для рекламной коммуникации.
В договоре с партнёром укажите условие, что он гарантирует легальность сбора данных и компенсирует возможные штрафы в случае нарушений. Если база собрана без согласия и не оформлена, использовать её — риск.
Можно использовать WhatsApp Business в косметологии?
Если компания оказывает медицинские услуги, для которых нужна лицензия на медицинскую деятельность — ей нельзя использовать иностранные мессенджеры. Дело в том, что таким компаниям передают чувствительные данные — например, медицинский анамнез — через переписку. Это может быть признано трансграничной передачей данных.
Для косметологии ситуация сложнее: если услуги требуют медицинской лицензии (например, некоторые виды лазерной эпиляции), использовать WhatsApp для общения с клиентами запрещено. Если услуги не лицензируются как медицинские, запрета нет.
В любом случае при передаче персональных данных через WhatsApp Business нужно уведомить РКН о трансграничной передаче.
Сервисы Callibri
Автоматизируем работу с лидами на всех этапах воронки
Помогаем понять, какая реклама приводит платящих клиентов
Делаем работу маркетинга прозрачной и эффективной
На какие вопросы пока нет ответа
Есть темы, по которым позиция РКН пока не ясна. Здесь бизнесу придётся следить за практикой и ждать разъяснений:
Использование Google Tag Manager: Google указывает, что Tag Manager не собирает персональные данные, но нам пока неизвестно, будет ли РКН считать его использование сбором персональных данных (и соответственно, их трансграничной передачей). Это оставляет инструмент в серой зоне: его использование может быть признано нарушением, если РКН решит, что данные все же передаются за пределы страны. О российском аналоге — Яндекс Тег Менеджер рассказали в этой статье: Яндекс Тег Менеджер: как маркетологу настроить веб-аналитику
Статус Telegram как платформы для обработки данных: Telegram официально не заявлял о наличии серверов в России. Можно предположить, что общение через боты или чаты — это трансграничная информация.
Работа с CRM: существуют разные мнения, нужно ли заявлять CRM как отдельный центр обработки данных в РКН. Считается, что статус заявления зависит от способа установки CRM и обработки данных в системе. Сам РКН ещё не уточнил свою позицию.
У Callibri есть телеграм-канал — присоединяйтесь, чтобы не пропустить свежие кейсы, материалы блога и обновления сервисов.
Опубликуйте статью в блоге Callibri
Подойдут материалы про маркетинг, продажи и клиентский сервис