Что должен знать таргетолог: РКН ужесточает контроль над персональными данными
⠀
С 30 мая 2025 года вступают в силу поправки в 152-ФЗ «О персональных данных» и КоАП РФ, которые ужесточают ответственность за нарушения при обработке ПДн.
Разбираем, что изменилось и как избежать штрафов.
⠀
➡ Что изменилось с 30 мая:
1. Увеличились штрафы за незаконный сбор персональных данных:
• Физлица (в том числе СМЗ): 10 000 – 15 000 ₽
• ИП и юрлица: 150 000 – 300 000 ₽
2. Начали действовать новые штрафы:
— За неуведомление Роскомнадзора о начале обработки ПДн (ст. 13.11 ч. 10 КоАП РФ):
• Физлица (в том числе СМЗ): 5 000 – 10 000 ₽
• ИП и юрлица: 100 000 – 300 000 ₽
— За неуведомление об утечке в течение 24 часов (ст. 13.11 ч. 11 КоАП РФ):
• Физлица (в том числе СМЗ): 50 000 – 100 000 ₽
• ИП и юрлица: 1-3 млн ₽
— За утечку персональных данных (ст. 13.11 ч. 12-14 КоАП РФ):
• Физлица (в том числе СМЗ): 100 000 – 400 000 ₽
• ИП и юрлица: 3-15 млн ₽
⠀
❗Важно: На нарушения законодательства о ПДн распространяется ч.1. ст. 4.1.1 КоАП. Если нарушение обнаружат впервые — штраф заменят на предупреждение.
⠀
Ниже, разбираем, что нужно знать, чтобы не нарваться на штрафы.
1⃣ Что считается персональными данными?
— ФИО, Телефон, Email;
— Пол, дата/место рождения (в сочетании с другими данными);
— IP-адрес, cookie-файлы (если они позволяют идентифицировать пользователя);
— Платежные данные, паспортные данные, ИНН;
— Профессиональные данные (должность, образование);
— Другая информация, которую вы собираете для идентификации пользователя или выполнения своих задач.
Как проверить?
Задайте вопрос: «Можно ли по этим данным точно идентифицировать человека?»
⠀
2⃣ Кто обязан уведомлять Роскомнадзор?
Уведомление подает оператор ПДн — тот, кто самостоятельно определяет цели и способы обработки данных.
Это требуется если вы взаимодействуете с ФИО, телефонами, email-адресами, данными о геопозиции или другими сведениями, позволяющими идентифицировать физическое лицо.
Например:
— Клиент передаёт вам базу для ретаргетинга (например, email/телефоны клиентов);
— Вы собираете данные через свои формы (например, Лид-формы);
— Вы анализируете данные из CRM клиента (и они содержат ФИО, телефоны и т. д.).
Все эти действия делают вас оператором персональных данных. А значит, вы обязаны уведомить Роскомнадзор.
Исключения:
— Вы используете только рекламные кабинеты (Яндекс Директ, ВК и др.) - оператор платформа;
— Вы работаете с обезличенными данными.
❗Вывод: Если вы не загружаете в рекламные системы базы с телефонами/email и не храните у себя ПДн клиентов, то формально вы не оператор ПДн.
⠀
3⃣ Что делать, если вы оператор ПДн ?
1. Подайте уведомление в РКН (если ещё не сделали).
2. Опубликуйте политику конфиденциальности (если есть сайт).
3. Добавьте уведомление о cookies и согласие на обработку ПДн на посадках.
4. Подготовить процедуру реагирования на утечки (уведомлять РКН в течение 24 часов).
5. Уберите иностранные метрики (Google Analytics)
Использование Google Analytics, Google Forms и других зарубежных сервисов требует уведомления о трансграничной передаче данных.
С 1 июля 2025 года вводится дополнительное требование: персональные данные россиян должны первоначально собираться на сервере в России. Только после этого их можно передавать за рубеж.
⠀
С 30 мая 2025 года вступают в силу поправки в 152-ФЗ «О персональных данных» и КоАП РФ, которые ужесточают ответственность за нарушения при обработке ПДн.
Разбираем, что изменилось и как избежать штрафов.
⠀
➡ Что изменилось с 30 мая:
1. Увеличились штрафы за незаконный сбор персональных данных:
• Физлица (в том числе СМЗ): 10 000 – 15 000 ₽
• ИП и юрлица: 150 000 – 300 000 ₽
2. Начали действовать новые штрафы:
— За неуведомление Роскомнадзора о начале обработки ПДн (ст. 13.11 ч. 10 КоАП РФ):
• Физлица (в том числе СМЗ): 5 000 – 10 000 ₽
• ИП и юрлица: 100 000 – 300 000 ₽
— За неуведомление об утечке в течение 24 часов (ст. 13.11 ч. 11 КоАП РФ):
• Физлица (в том числе СМЗ): 50 000 – 100 000 ₽
• ИП и юрлица: 1-3 млн ₽
— За утечку персональных данных (ст. 13.11 ч. 12-14 КоАП РФ):
• Физлица (в том числе СМЗ): 100 000 – 400 000 ₽
• ИП и юрлица: 3-15 млн ₽
⠀
❗Важно: На нарушения законодательства о ПДн распространяется ч.1. ст. 4.1.1 КоАП. Если нарушение обнаружат впервые — штраф заменят на предупреждение.
⠀
Ниже, разбираем, что нужно знать, чтобы не нарваться на штрафы.
1⃣ Что считается персональными данными?
— ФИО, Телефон, Email;
— Пол, дата/место рождения (в сочетании с другими данными);
— IP-адрес, cookie-файлы (если они позволяют идентифицировать пользователя);
— Платежные данные, паспортные данные, ИНН;
— Профессиональные данные (должность, образование);
— Другая информация, которую вы собираете для идентификации пользователя или выполнения своих задач.
Как проверить?
Задайте вопрос: «Можно ли по этим данным точно идентифицировать человека?»
⠀
2⃣ Кто обязан уведомлять Роскомнадзор?
Уведомление подает оператор ПДн — тот, кто самостоятельно определяет цели и способы обработки данных.
Это требуется если вы взаимодействуете с ФИО, телефонами, email-адресами, данными о геопозиции или другими сведениями, позволяющими идентифицировать физическое лицо.
Например:
— Клиент передаёт вам базу для ретаргетинга (например, email/телефоны клиентов);
— Вы собираете данные через свои формы (например, Лид-формы);
— Вы анализируете данные из CRM клиента (и они содержат ФИО, телефоны и т. д.).
Все эти действия делают вас оператором персональных данных. А значит, вы обязаны уведомить Роскомнадзор.
Исключения:
— Вы используете только рекламные кабинеты (Яндекс Директ, ВК и др.) - оператор платформа;
— Вы работаете с обезличенными данными.
❗Вывод: Если вы не загружаете в рекламные системы базы с телефонами/email и не храните у себя ПДн клиентов, то формально вы не оператор ПДн.
⠀
3⃣ Что делать, если вы оператор ПДн ?
1. Подайте уведомление в РКН (если ещё не сделали).
2. Опубликуйте политику конфиденциальности (если есть сайт).
3. Добавьте уведомление о cookies и согласие на обработку ПДн на посадках.
4. Подготовить процедуру реагирования на утечки (уведомлять РКН в течение 24 часов).
5. Уберите иностранные метрики (Google Analytics)
Использование Google Analytics, Google Forms и других зарубежных сервисов требует уведомления о трансграничной передаче данных.
С 1 июля 2025 года вводится дополнительное требование: персональные данные россиян должны первоначально собираться на сервере в России. Только после этого их можно передавать за рубеж.
Никита Валерьевич
— Вы используете только рекламные кабинеты (Яндекс Директ, ВК и др.) - оператор платформа;
Вот тут бы пояснения более подробно... Все п осути понятно, плашку на сайт итд, но если работает кабинет клиента с лид формой вк, просто форма для обратной связи без срм и бе зпередачи?
Михаил Шоринов
1) Персональные данные, это не только для таргетологов. Касается каждой организации, кто их собирает, независимо от места (реклама, вк, сайт, анкеты на бумажках). Если ваша организация работает с номерами или именами клиентов или чем-то другим. Значит вы оператор. С полным списком ПД рекомендую ознакомиться. Да фактически под это попадают все.
2) Даже если вы ИП с одним сотрудником. ВЫ оператор. Закон распространяется и на кадровый документооборот. Мы же собираем данные трудоустроенных.
3) Если таргетолог(агентство) работает с компанией в цепочке, тобишь через себя размещает рекламу. То оператором в данном случае является таргетолог (агентрство). Передачу ПД лучше обозначить в договоре и в политике обработки, добавить информацию о передаче третьим лицам.
4) Если работа идет из кабинетов и с площадок заказчиков. Операторами являются они. В договоре со стороны заказчика обозначить предоставление доступа к ПД
Алина Лямзина
Сергей Вагнер
Амир Исламов
Антон Вольский
Мария Лесневская
Ваш Маркетолог
Мария Сухогузова-Олейник
Михаил Шоринов
Мария Лесневская
Михаил Шоринов
Мария Лесневская
Анастасия Кантимирова
Админ паблика
Сергей Алфёров
Мария Лесневская
Анастасия Кантимирова
Админ паблика
Надежда Варлачева
Михаил Шоринов
Александр Давыдов
Анжелика Бондина
Например, у нас свое приложение, где есть регистрация. Но эти номера у нас лишь в базе приложения, мы ими пользуемся только, чтобы начислить скидочные баллы.
Надо регистрироваться, не надо?
Или надо регистрироваться в любом случае, потому что потом будут новые обновления законов 😂😂
Анжелика Бондина
Михаил Шоринов
Анастасия Новичкова
или подает только рекламодатель по поводу моих пд, потому что он составляет договор и маркирует рекламу? помогите 🥲
Алина Лямзина
Антон Вольский
Сергей Кашковский
Если я зарегистрируюсь как оператор и у меня указаны реквизиты на своем сайте, то на меня смогут пожаловаться конкуренты и ркн узнает что я нарушаю.
А докопаться можно до 100% сайтов сейчас.
Но если меня нет в базе или я есть в базе и на меня пожалуются конкуренты, но у меня нет реквизитов на сайте, то и ругать не кого. (Допустим у вас есть лендинги под рекламу)
На практике из 400+ проектов был только 1 случай, когда какой то обиженный написал заявление об отсутствии ссылки на политику конфиденциальности в 1 форме заявки.
Он по факту крысой сидел и был озадачен сделать плохо, искал проблемы на сайте для РКН.
Пока это просто большой глаз, который хочет больше вариантов на монетизацию. Сыро, глупо, не отточено на практике.
Любой ваш конкурент может зайти в реестр операторов и не увидев вас - пожаловаться.
Любой ваш конкурент может зайти в реестр операторов и увидев вас найти недочет за который вас вы*бут.
Но если на вашем сайте нет инфы на кого жаловаться, то не на кого жаловаться.
Сергей Кашковский
Мария Сухогузова-Олейник