16 января 2026 г.
В ИТ-сфере работа с информацией — каждодневная реальность. Компании управляют пользовательскими аккаунтами, настраивают аналитику и проводят коммуникацию через различные каналы. Однако именно в этих рутинных процессах часто скрываются нарушения закона о персональных данных
Персональные данные (ПД) — любая информация, прямо или косвенно позволяющая установить личность. Подчеркиваю — любая. А то что она может определять человека косвенно означает, что мы можем и не знать что это за конкретный человек, не знать его ФИО, но зная какой-то объем его данных «выделить его из толпы» и нацелить на него действие, а раз можем нацелить действие, значит потенциально можем задеть и его права.
ФИО, паспортные данные, ИНН/СНИЛС, отпечаток пальца, сведения из резюме — тут все просто — мы можем однозначно установить конкретного человека, нет сомнений, что это ПДн, но бывают ситуации сложнее — где бизнес допускает ошибки.
1. Почему адрес электронной почты часто оказывается «неочевидным» ПД
Многие компании ошибочно полагают, что электронная почта — это всего лишь контакт для связи или технический логин. Однако позиция регулятора однозначна.
Даже если адрес не содержит имени (например, support12345@domain.com), он становится персональным данным в момент его связи с другими сведениями в вашей системе. Например, когда этот e-mail:
-
Привязан к личному кабинету с историей заказов
-
Используется для входа в сервис
-
Находится в вашей CRM-системе вместе с номером телефона или данными о посещениях сайта
Таким образом, абстрактный на первый взгляд ящик превращается в устойчивый идентификатор, позволяющий отслеживать активность конкретного человека.
Типичные ошибки и их последствия:
-
Смешение целей обработки. Самая распространенная ошибка — сбор e-mail «для регистрации на вебинар» или «для отправки счета» с последующим использованием этого же адреса для маркетинговых рассылок без получения отдельного, явного и информированного согласия. Для маркетинга необходимо именно такое согласие (ст. 6, 9
152-ФЗ). -
Игнорирование «публичных» адресов. E-mail, взятый с публичной страницы конференции или из открытого источника, не становится «общим имуществом». Его сбор и занесение в вашу базу для рассылок квалифицируется как обработка ПДн, требующая законного основания, которого в данном случае нет.
Чем грозит: Жалоба пользователя в РКН на спам → внеплановая проверка → штраф по ч. 1 ст. 13.11 КоАП РФ (обработка без правового основания) для юрлиц — от 150 000 до 300 000 ₽. При доказательстве иных нарушений штрафы суммируются.
2. Номер телефона — почему это тоже ПД и где бизнес ошибается
С номером телефона ситуация стала ярким примером правовой неопределённости. РКН в своих разъяснениях ранее указывал, что абонентский номер без иных данных не является ПДн. Однако судебная практика радикально расходится с этой позицией: существует множество решений, где суды, напротив, признают номер телефона персональными данными (например, Решение Черемушкинского районного суда г. Москвы от 18 июня 2019 г. по делу № 12-973_2019).
Почему это критично? Суды исходят из реального идентифицирующего потенциала номера: он жёстко привязан к физическому лицу через договор с оператором, является основным инструментом двухфакторной аутентификации (2FA) и служит ключом к аккаунтам в социальных сетях и банковских сервисах. Его знания достаточно для целевого воздействия (спам, фишинг) или сбора дополнительной информации о человеке.
В связи с этим полагаем, что для операторов менее рисковым будет подход признания номера телефона персональными данными и осуществлять обработку такой информации только при наличии правового основания.
Где ИТ-компании допускают критичные промахи:
-
Подмена целей обработки. Клиент оставляет номер для «связи по поводу технической проблемы» или «уточнения деталей заказа». Основанием здесь является исполнение договора (п. 5 ч. 1 ст. 6
152-ФЗ). Однако этот же номер попадает в общий пул для рассылки SMS о старте продаж нового продукта или о специальных акциях. Это уже иная, маркетинговая цель, требующая отдельного согласия. Автоматическая подписка по умолчанию — прямое нарушение. -
Некорректная передача данных подрядчикам. Компания пользуется услугами внешнего call-центра для подтверждения лидов или сервисом SMS-рассылок. Передача базы телефонных номеров такому подрядчику — это передача ПДн третьему лицу. Это действие требует не просто коммерческого договора, а обязательного заключения с подрядчиком поручения на обработку ПДн (ч. 3 ст. 6
152-ФЗ). В таком поручении должны быть детально прописаны цели, состав данных, обязанность подрядчика соблюдать конфиденциальность и требования152-ФЗ, включая защиту данных.
Последствия и риски: Массовые жалобы на спам-звонки и SMS могут привести к проверке не только РКН, но и Федеральной антимонопольной службы (ФАС) по закону «О рекламе». Санкции накладываются по совокупности. От РКН — штрафы за отсутствие согласия (ч. 1 ст. 13.11 КоАП) и за отсутствие поручения обработки данных (ч. 1 ст. 13.11 КоАП). Общая сумма может легко превысить миллион рублей.
3. Еще менее очевидно — cookie и идентификаторы: «невидимые» персональные данные
Это, пожалуй, самая сложная и «дорогая» для IT-компаний область. Заблуждение «мы не собираем через сайт ФИО, значит, закон о ПДн к нам не относится» здесь особенно опасно.
Однако сомневаться в том, что cookie и идентификаторы устройств являются ПДн, более не приходится. Позиция Роскомнадзора сформулирована предельно чётко. В своих публичных выступлениях (например, на Дне открытых дверей РКН в 2022 году) начальник Управления по защите прав субъектов ПДн Контемиров Ю.Е. прямо указывает на это. Более того, в ответах на запросы операторов РКН официально подтверждает данный подход.
Судебная практика полностью поддерживает регулятора. В 2022 году Мировым судьёй судебного участка № 422 Таганского района г. Москвы было вынесено серия постановлений по делам в отношении крупных международных сервисов (Speedtest, Likee, Airbnb, UPS, Spotify). В каждом из них суд, анализируя обрабатываемые данные, отдельно и однозначно указывает: «файлы cookie... являются информацией, относящейся к прямо или косвенно определенному физическому лицу... что в соответствии с п. 1 ст. 3 Закона является персональными данными» (например, Постановление по делу № 5-1297/422/2022).
Где ИТ-компании допускают критичные и дорогостоящие ошибки:
- Отсутствие корректного механизма получения согласия (cookie-баннера). Если ваш сайт устанавливает любые cookie, кроме строго необходимых для его функционирования (например, для корзины покупок или авторизации), до того как пользователь дал на это согласие, вы нарушаете принцип законности обработки (п. 1 ст. 6
152-ФЗ). Баннер с единственной кнопкой «Хорошо, я согласен» формально может считаться достаточным, однако важно не только получить, но и зафиксировать факт согласия в логах, чтобы подтвердить его в случае проверки.
Современный подход, соответствующий лучшим практикам (best practice) и всё чаще ожидаемый регулятором, — это предоставление пользователю чёткого, равнозначного выбора: «Принять все», «Отклонить все» или «Настроить» категории cookie. Такая реализация не только повышает прозрачность и доверие, но и минимизирует риски претензий о несвободном и неинформированном согласии.
- Игнорирование требований трансграничной передачи и локализации при использовании зарубежных сервисов. Это главный финансовый риск для IT-компании. РКН не только декларирует позицию, но и активно выявляет нарушения. Ещё в октябре 2022 года в ходе мероприятий по контролю без взаимодействия региональные управления РКН (например, в Марий Эл и ДФО) фиксировали нарушения, напрямую связанные с использованием Google Analytics: отсутствие согласия пользователей на такую обработку и трансграничную передачу данных, а также отсутствие сведений об этом в документации оператора.
Использование Google Analytics, Meta Pixel и других зарубежных сервисов без обеспечения локализации обработки данных граждан РФ на территории России напрямую нарушает требование ч. 5 ст. 18
Источник: Елизавета Воронова, консультант по защите персональных данных компании Б-152
