Чтобы полноценно делегировать работу маркетологу, заказчик открывает ему доступ в CRM или выгружает базу контактов. Подрядчик делает рассылку, настраивает рекламу, проводит аналитику. В этот момент он работает с персональными данными клиентов.
Разберем, как устроено законодательство о персональных данных в 2026-м: что можно делать без риска, что нужно зафиксировать, и где чаще прилетают санкции. Этот текст пригодится тем, кто нанимает подрядчиков, собирает лиды, хранит контакты клиентов и запускает коммуникации через почту, мессенджеры и CRM.
Что относится к персональным данным
Под персональным данным (ПД) понимают любые данные, по которым можно прямо или косвенно определить человека. Это не только паспорт или ИНН. В проектах чаще понимают более «приземленные» вещи: телефон, email, ник в мессенджере, IP-адрес, история заказов, записи звонков.
Если информация позволяет связать действия, покупки или коммуникации с конкретным человеком — это уже зона ПД. Формат хранения роли не играет. Таблица, CRM, чат, облачная папка — требования одинаковые.
Scott Graham
Кто такой оператор персональных данных
Оператор — тот, кто определяет цель и способ работы с данными. В типовом проекте им чаще становится заказчик. Он решил собрать базу, запустить рассылку или передать доступ подрядчику.
Исполнитель в этом случае обрабатывает данные по поручению. Но это не «иммунитет». Ответственности распределяются так:
- заказчик отвечает за законность сбора и передачу;
- исполнитель — за соблюдение инструкций, режим доступа и безопасность;
- при нарушениях проверка смотрит на действия обеих сторон.
Если фрилансер использует данные «по своему усмотрению» или хранит их дольше проекта, он легко становится самостоятельным оператором со всеми последствиями.
Что такое биометрия
Отдельная зона риска — биометрии и близкие к ним данные. Это фото и видео людей, записи голоса, отпечатки, а также все, что используется для распознавания личности.
В проектах такие случаи возникают неожиданно:
- запись звонков с клиентами;
- видеособеседования с кандидатами;
- фото пользователей в личных кабинетах;
- голосовые сообщения, которые сохраняют и анализируют.
Для таких данных требования строже. Часто нужно отдельное согласие и более жесткие меры защиты. Если вы не уверены, относится ли формат к биометрии, безопаснее считать, что да, и действовать осторожнее.
Короткое правило: если данные можно использовать для узнавания человека без дополнительных сведений — это уже повышенный уровень ответственности.
Romain Dancre
Какие законы регулируют работу с персональными данными
Основа регулирования — федеральный закон № 152-ФЗ. Он отвечает на главный вопрос: кто, зачем и как может работать с данными людей. Все, что касается штрафов и проверок, вынесено в КоАП. Разъяснения и практику применения дает регулятор. На них смотрят при спорах и жалобах.
Что важно помнить фрилансеру и заказчику:
- Цель использования данных. Она должна быть конкретной и понятной. «Для работы над проектом» — плохая формулировка. «Для настройки и отправки email-рассылки в период действия договора» — уже точнее.
- Основание. Часто это согласие клиента или выполнение договора. Без одного из них обработке данных не на что опереться.
- Сроки хранения. Данные нельзя держать «на всякий случай». Как только цель достигнута, информация должна быть удалена или обезличена.
- Права субъекта. Человек может запросить доступ к своим данным, потребовать исправление или удаление. Эти запросы обязаны обрабатывать в разумные сроки.
В связке «заказчик — фрилансер» действует правило. Заказчик задает цель и инструкции. Исполнитель соблюдает режим и не выходит за рамки задания. Если подрядчик начинает использовать данные по своему усмотрению, он берет на себя отдельную зону ответственности.
Что должно быть в договоре:
- цель обработки данных;
- состав данных (что передается);
- срок хранения и момент удаления;
- кто имеет доступ и в каком объеме.
Arisa Chattasa
Порядок обработки: шаги и документы
Если упростить, процесс всегда одинаковый: сбор → хранение → использование → передача → удаление. Ошибки начинаются там, где нет понятных правил «кто, что и зачем делает» и где лежат файлы.
Мини-чек-лист: что сделать за день до старта обработки
- зафиксировать цель и состав данных в ТЗ;
- ограничить доступы по ролям (кому реально нужно);
- выдать доступы только через корпоративные аккаунты, без «общих паролей»;
- определить, где хранится база и кто админ;
- договориться, можно ли выгружать данные в файлы и куда;
- настроить срок хранения и момент удаления или возврата;
- подготовить короткую инструкцию подрядчику;
- проверить, есть ли основание: договор или согласие.
Согласие и договоренности: как фиксировать
Согласие — это конкретное разрешение человека на работу с его данными. Договор или оферта — это рамка отношений между вами и клиентом/подрядчиком, которая обозначает цель, обязанности, сроки, доступы. С 01.09.2025 требования к оформлению согласия ужесточились: безопаснее использовать отдельный документ/форму и хранить подтверждение.
Мини-шаблон пункта ТЗ/договора (4 строки):
- цель обработки и результат (например, рассылка/аналитика);
- состав данных (телефон, email, история заказов);
- срок хранения и момент удаления;
- кто имеет доступ и запрет на копирование или выгрузку без согласования.
Быстро проверить формулировки и собрать комплект документов под ваш процесс помогут юристы на Work24.
Van Tay Media
Когда нужно уведомление в Роскомнадзор
Уведомление Роскомнадзора при работе с персональными данными требуется большинству организаций, ИП и физлиц, которые начинают использовать сведения о клиентах или сотрудниках. Его подают заранее, ещё до начала обработки, через портал РКН либо в бумажном формате.
В документе фиксируют статус оператора, цели работы с данными и правовые основания. Используется стандартная форма на сайте Роскомнадзора: указывают реквизиты компании (ИНН, ОГРН), категории обрабатываемых сведений и основания для их использования. При любых изменениях эти данные обновляют — регулятора уведомляют отдельным сообщением.
Безопасность и локализация: как закрыть риски
Большинство проблем возникает не из-за «сложных хакерских атак», а из-за базовых ошибок в безопасности. Общие пароли, лишние доступы, файлы «на всякий случай» и отсутствие контроля после сдачи проекта — это стандартные причины утечек.
Минимальный рабочий уровень защиты: доступы выдаются по ролям, включена двухфакторная авторизация, данные хранятся в одном месте. Есть резервные копии. Все остальное — надстройка, а не база.
Подрядчики, доступы и хранение
Передача данных подрядчику — отдельная зона риска. Здесь важно не только подписать NDA или поручение, но и технически ограничить возможности. Исполнитель должен видеть ровно то, что нужно для задачи, и не больше.
На практике проверяют такие настройки доступа:
- отдельные аккаунты для каждого исполнителя;
- запрет передачи логинов третьим лицам;
- ограничения на выгрузку данных в файлы;
- доступ только с доверенных устройств или IP;
- журнал действий и входов;
- автоматическое отключение доступа по сроку;
- запрет копирования данных в личные хранилища.
Контроль не заканчивается сдачей работы. По контролю доступа смотрят и на финальный этап: удалены ли локальные копии, закрыты ли аккаунты, отозваны ли токены и ключи.
Отдельный вопрос — локализации данных. Нужно понимать, где физически хранятся базы, формы и CRM. Если сервис зарубежный, проверьте:
- есть ли серверы на территории РФ;
- где лежат резервные копии;
- кто имеет к ним доступ со стороны сервиса;
- можно ли выбрать регион хранения.
Если выбрать регион нельзя, риск повышается. В таких случаях стоит либо менять инструмент, либо минимизировать объем данных, которые туда попадают.
Удаление данных после сдачи проекта — такой же элемент защиты, как и ограничение доступов. Без этого вся система безопасности теряет смысл.
Anastassia Anufrieva
Санкции и ответственность в 2026 году
С 30 мая 2025 года в России вводят новые и более жесткие санкции за нарушения, связанные с персональными данными. Это часть обновленных норм, усиливающих ответственность за ошибки в обработке и защиту информации людей.
Главное изменение — рост вилок по административным составам. С 30 мая 2025 года действуют обновленные санкции по статье 13.11 КоАП. Штрафы стали выше, а составы — детальнее. Теперь отдельно выделяют нарушения по согласию, уведомлениям и режиму доступа.
Часто штрафуют за:
- отсутствие законного основания для обработки;
- формальные или «скрытые» согласия;
- неподачу или несвоевременную подачу уведомления;
- передачу данных подрядчикам без ограничений;
- нарушения при утечках и доступе третьих лиц.
Tingey Injury Law Firm
Изменился и подход к последствиям утечек. За них все чаще наступает отдельная ответственность, а в ряде случаев применяются оборотные штрафам — в зависимости от масштаба и последствий нарушения. Чем больше данных и выше риск для людей, тем серьезнее санкции.
Если данные о людях утекут из вашей системы, штрафы будут серьёзными. Например, при незаконной передаче информации о 1 000–100 000 человек компании могут получить многомиллионные штрафы. Должностных лиц тоже привлекают к ответственности, но суммы для них ниже, чем для бизнеса.
Отдельные наказания появятся за утечку чувствительных данных — например, данных специальных категорий. За такие нарушения штрафы ещё выше. Ранее подобных составов в Кодексе об административных правонарушениях не было.
Кроме утечек, теперь жёстче смотрят на уведомления в Роскомнадзор. За несообщение или опоздание с уведомлением о плане обработки или произошедшей утечке тоже предусмотрены отдельные штрафы для компаний и ИП. Раньше за это могли применять общие правила с значительно меньшими санкциями.
Появились и штрафы за отказ обслуживать клиента из-за того, что он отказался пройти идентификацию с использованием, например, биометрии. Такие случаи раньше не были оформлены отдельным административным составом.
Заключение
Работа с персональной информацией — это часть рабочего процесса. Согласия, уведомления, доступы и сроки хранения должны совпадать с тем, как проект устроен на практике, а не существовать отдельно от него.
При таком подходе требования к обработке данных встраиваются в обычный рабочий ритм. Контроль становится предсказуемым и понятным, а ответственность — распределенной и управляемой. Это позволяет спокойно работать с подрядчиками и клиентами.
Комментарии