Связаться со мной:

Помощь по вашему проекту или 2 бесплатных курса по SEO

смайлик

Связаться со мной:

  1. Главная /
  2. Блог /
  3. Этика и законность: как собирать и хранить пользовательские данные в соответствии с GDPR и ФЗ‑152

Этика и законность: как собирать и хранить пользовательские данные в соответствии с GDPR и ФЗ‑152

автор

статья от

Алексей Лазутин

Специалист по поисковому маркетингу

В современном цифровом мире данные — это новая нефть. Каждый клик, каждое посещение сайта, каждый введённый email или номер телефона — это ценная информация, которую бизнес использует для персонализации рекламы, улучшения продуктов и повышения конверсии. Но с этой мощью приходит огромная ответственность. Если вы собираете данные пользователей — вы становитесь их хранителем. И если вы нарушите правила, последствия могут быть катастрофическими: штрафы в миллионы рублей, репутационные потери, блокировки сервисов и даже уголовная ответственность. В этой статье мы разберём, как собирать и хранить персональные данные так, чтобы соответствовать двум ключевым законам: Европейскому регламенту о защите данных (GDPR) и российскому ФЗ-152. Вы узнаете, как избежать ошибок, которые ломают бизнесы, и построить систему сбора данных, которая будет не только легальной, но и этичной — то есть уважающей пользователя.

Почему это важно для владельцев бизнеса и маркетологов

Многие владельцы малого и среднего бизнеса считают, что законы о защите данных касаются только крупных корпораций. Это опасное заблуждение. ФЗ-152 и GDPR действуют независимо от размера компании. Даже если у вас сайт с формой обратной связи, база клиентов в Excel или рекламная кампания через Яндекс.Директ — вы уже обрабатываете персональные данные. И если кто-то из пользователей подаст жалобу в Роскомнадзор или европейский регулятор, ваш бизнес может быть оштрафован. В 2023 году в России было вынесено более 180 штрафов за нарушения ФЗ-152 — в среднем от 300 до 800 тысяч рублей за одно нарушение. А по GDPR штрафы достигают 20 миллионов евро или 4% от глобального оборота компании — это может уничтожить даже крупный стартап.

Но проблема не только в штрафах. Гораздо страшнее — потеря доверия клиентов. Сегодня пользователь знает свои права. Он видит, как его данные используются. Если вы собрали email без явного согласия, отправили рассылку «на всякий случай» или храните данные в незащищённом виде — это не просто нарушение закона. Это предательство доверия. И чем больше вы игнорируете этические нормы, тем быстрее ваши клиенты уходят к конкурентам, которые честно объясняют, зачем им нужна их информация и как они её используют.

Вот почему этика и законность — не дополнительная нагрузка, а стратегический актив. Компании, которые строят прозрачные системы сбора данных, получают:

  • Более высокую лояльность клиентов
  • Понижение риска юридических санкций
  • Улучшение качества данных (пользователи дают более точную информацию, если понимают цель)
  • Повышение конверсии в долгосрочной перспективе
  • Возможность работать с европейскими рынками без ограничений

Если вы занимаетесь SEO, контекстной рекламой или email-маркетингом — вы ежедневно взаимодействуете с персональными данными. Без понимания законов вы рискуете потерять не только деньги, но и репутацию. А это гораздо дороже.

Что такое персональные данные и зачем они нужны?

Перед тем как начать собирать данные, важно чётко понимать: что именно вы собираете? Не все данные одинаковы. В законодательстве их делят на обычные и биометрические, а также на те, которые требуют особой защиты.

Персональные данные — это любая информация, позволяющая установить личность человека. Это не только имя и фамилия. Сюда относятся:

  • ФИО, дата рождения
  • Номер телефона, адрес электронной почты
  • Адрес регистрации или фактического проживания
  • ИПН, СНИЛС (в России)
  • Фотографии и аудиозаписи
  • IP-адрес, cookie, устройства (если могут быть связаны с личностью)
  • История покупок, поведение на сайте (если используется для идентификации)

Важно понимать: даже если вы не спрашиваете имя напрямую — IP-адрес, идентификаторы устройства или cookie в сочетании с другими данными (например, городом и временем посещения) уже могут быть квалифицированы как персональные. Это значит, что даже если вы не видите имя пользователя, но знаете, кто он — данные считаются персональными и подлежат защите.

Почему бизнес собирает эти данные? Основные причины:

  1. Персонализация. Вы хотите показывать пользователю не случайную рекламу, а ту, которая ему действительно интересна — например, курсы по SEO для тех, кто искал «как улучшить позиции сайта».
  2. Улучшение продуктов. Анализируя поведение пользователей, вы понимаете, где они застревают, какие кнопки игнорируют, что вызывает недовольство.
  3. Коммуникация. Рассылки, уведомления, персональные предложения — всё это работает только при наличии контактов.
  4. Финансовые операции. Оплата, доставка, гарантии — всё требует данных для идентификации клиента.
  5. Маркетинговая аналитика. Понимание источников трафика, эффективности рекламных кампаний, ROI — невозможно без сбора данных о пользователях.

Но есть и обратная сторона. Если вы собираете данные без прозрачности — пользователь чувствует, что его «шпионят». Он блокирует cookie, использует VPN, пишет жалобы, уходит к конкурентам. И в итоге вы получаете не только юридические риски, но и низкую конверсию — потому что люди не доверяют вашему сайту.

GDPR и ФЗ-152: в чём разница?

Говоря о защите данных, часто путают два законодательных акта: GDPR и ФЗ-152. Они похожи, но не одинаковы. И если вы работаете с европейскими клиентами — вам нужно соблюдать оба.

GDPR (General Data Protection Regulation) — это регламент Европейского Союза, вступивший в силу в 2018 году. Он действует для всех компаний, которые обрабатывают данные граждан ЕС — даже если компания находится за пределами Европы. Это значит: если ваш сайт посещают пользователи из Германии, Франции или Италии — вы обязаны соблюдать GDPR.

ФЗ-152 «О персональных данных» — российский закон, принятый в 2006 году и неоднократно обновлявшийся. Он регулирует сбор, хранение и использование персональных данных на территории России. В 2021 году он был усилен: теперь все операторы, обрабатывающие данные российских граждан, обязаны хранить их на серверах в России.

Сравнительная таблица ключевых различий:

Критерий GDPR (ЕС) ФЗ-152 (Россия)
Область действия Любая компания, обрабатывающая данные граждан ЕС (даже вне ЕС) Любая компания, обрабатывающая данные граждан РФ (даже если сервер за рубежом)
Требование к хранению данных Данные можно хранить в любой стране, если есть адекватная защита Обязательно хранение на серверах в России (ст. 24)
Согласие пользователя Должно быть явным, добровольным, конкретным и отзываемым Тоже должно быть явным, но допускает «подразумеваемое» согласие в некоторых случаях
Право на забвение Пользователь может потребовать удалить все свои данные без исключений Право на удаление есть, но не всегда может быть реализовано (например, при налоговых обязательствах)
Уведомление регулятора Требуется в случае обработки высокого риска Обязательная регистрация оператора в Роскомнадзоре
Штрафы До 20 млн € или 4% от глобального оборота До 6 млн руб. для юрлиц, до 200 тыс. руб. для ИП

Важный момент: ФЗ-152 требует регистрации оператора персональных данных в Роскомнадзоре. Это не просто формальность — это обязательное условие для легальной работы. Если вы собираете ФИО или телефоны россиян — вы обязаны зарегистрироваться как оператор. Невыполнение влечёт штраф до 200 тысяч рублей и административную ответственность.

Что делать, если вы работаете с клиентами из ЕС и РФ?

Если ваш бизнес охватывает оба рынка — вы должны соблюдать и GDPR, и ФЗ-152. Это значит:

  • Все данные российских пользователей храните только на серверах в России
  • Данные европейских пользователей — на серверах в ЕС или в странах с «адекватным уровнем защиты» (например, Япония, Канада)
  • Для всех пользователей — явное согласие на обработку данных
  • Для всех пользователей — возможность удалить данные (право на забвение)
  • Проведите аудит всех источников сбора данных
  • Подпишитесь с каждым подрядчиком (например, CRM-системой) на договор обработки данных

Это не просто техническая задача — это стратегический проект. И если вы не готовы к нему, лучше отказаться от сбора данных, которые вам не критичны. Например: зачем собирать телефон клиента, если он оформляет заказ через платёжную систему? Зачем хранить его адрес, если доставка происходит по координатам в приложении? Иногда меньше данных — это больше безопасности и доверия.

Как собирать данные правильно: пошаговая инструкция

Теперь перейдём к практике. Как именно собирать данные, чтобы не нарушить ни GDPR, ни ФЗ-152? Ниже — пошаговая инструкция для владельцев бизнеса и маркетологов.

Шаг 1: Определите цели сбора данных

Первый вопрос, который нужно задать: зачем нам это данные? Если вы не можете чётко ответить — значит, собирать их не нужно. Это правило из GDPR: обработка данных допустима только при наличии конкретной, законной цели.

Примеры допустимых целей:

  • Обработка заказа
  • Отправка информационной рассылки (с согласия)
  • Улучшение пользовательского опыта на сайте
  • Проведение маркетингового исследования с анонимизацией

Примеры неприемлемых целей:

  • Хранение данных «на всякий случай»
  • Продажа базы контактов третьим лицам
  • Слежение за поведением пользователей без их ведома
  • Сбор данных для целевой рекламы вне рамок согласия

Практический совет: создайте документ «Цели обработки персональных данных». Он должен содержать список всех типов собираемых данных и для какой именно цели они нужны. Этот документ — ваша защита в случае проверки.

Шаг 2: Получите явное согласие

Согласие — это краеугольный камень законодательства. Ни в коем случае не используйте галочку по умолчанию, поп-апы с текстом «Продолжая, вы соглашаетесь…» или скрытые условия. Это нарушение.

Правильный способ получения согласия:

  1. Чётко объясните, какие данные вы собираете (ФИО, email, телефон, IP-адрес и т.д.)
  2. Укажите цели обработки: «Мы используем ваш email для отправки новостей о скидках»
  3. Предоставьте ссылку на Политику конфиденциальности — это не просто «кликнуть здесь», а полноценный документ, доступный на отдельной странице
  4. Сделайте согласие активным действием: галочка, которая НЕ выставлена по умолчанию, кнопка «Согласен»
  5. Позвольте отозвать согласие одним кликом: в каждом письме должна быть ссылка «Отписаться», на сайте — кнопка «Удалить мои данные»

Пример плохого согласия:

«Нажимая «Отправить», вы соглашаетесь с политикой конфиденциальности и даете согласие на обработку данных» — без деталей, без возможности отказа.

Пример хорошего согласия:

«Я даю своё добровольное согласие на обработку моих персональных данных (ФИО, телефон, email) для целей отправки информационной рассылки о новых продуктах и акциях. Я понимаю, что могу отозвать это согласие в любое время через ссылку в письме или на странице «Управление данными». Политика конфиденциальности доступна здесь

Важно: если вы используете Google Analytics, Facebook Pixel или другие трекеры — они тоже собирают персональные данные. Значит, вы обязаны получить согласие и на них. Лучший способ — использовать инструмент управления согласием (consent management platform). Например, CookieYes или OneTrust. Они автоматически блокируют трекеры до тех пор, пока пользователь не даст согласие.

Шаг 3: Убедитесь, что данные хранятся безопасно

Собрать данные — это только половина дела. Главная задача — защитить их от утечек, взломов и несанкционированного доступа.

Что нужно сделать:

  • Шифруйте данные при передаче (HTTPS) и хранении (AES-256)
  • Ограничьте доступ к базе данных: только авторизованные сотрудники
  • Используйте двухфакторную аутентификацию для доступа к CRM и базам
  • Регулярно обновляйте ПО, чтобы закрыть уязвимости
  • Удаляйте данные после истечения срока хранения (например, через 1 год после последней покупки)
  • Для российских данных — используйте только серверы в России (например, Яндекс.Облако, СберОблако, МТС Облако)

Важно: хранить базу пользователей в Excel на локальном компьютере — это незаконно. Даже если вы не делитесь базой, она может быть украдена или повреждена. Всегда используйте защищённые облачные системы с логированием доступа.

Проведите аудит безопасности минимум раз в год. Проверьте: кто имеет доступ к базе? Какие данные хранятся? Где они находятся? Есть ли резервные копии?

Шаг 4: Документируйте всё

Закон не требует, чтобы вы были идеальными — он требует, чтобы вы могли доказать, что делали всё по правилам. Поэтому документация — ваш лучший юридический защитник.

Создайте следующие документы:

  • Политика конфиденциальности: подробное описание, какие данные вы собираете, зачем, как храните и кому передаёте
  • Согласие на обработку: шаблон, который вы используете для получения согласия (для форм и писем)
  • Договоры с подрядчиками: если вы используете CRM, email-сервис или аналитику — у них должен быть подписан Договор об обработке персональных данных (DPA)
  • Реестр операций по обработке: список всех видов данных, источников, целей и сроков хранения
  • План реагирования на инциденты: что делать, если утекла база? Кто уведомляет клиентов? Как быстро?

Эти документы должны быть доступны на вашем сайте — в меню «Политика конфиденциальности» и «Согласие на обработку данных». Их нужно регулярно обновлять.

Шаг 5: Обучите сотрудников

Один сотрудник, который случайно отправил базу клиентов по email — и ваша компания уже нарушает закон. Никто не думает, что его действия могут иметь юридические последствия. Но они имеют.

Проведите мини-обучение для всех, кто работает с данными: маркетологов, менеджеров по продажам, операторов колл-центров. Объясните:

  • Что такое персональные данные
  • Как их правильно хранить (не в Excel, не в Google Drive без пароля)
  • Как передавать (только через защищённые каналы, например, SFTP)
  • Что делать при утечке (срочно сообщить руководителю и в Роскомнадзор)
  • Как не поддаваться фишингу (никогда не открывать подозрительные ссылки)

Проводите обучение раз в полгода. И фиксируйте участие сотрудников — это защитит вас, если случится инцидент.

Что делать, если уже нарушили закон?

Если вы поняли, что давно собираете данные без согласия, храните их в Excel или не зарегистрированы как оператор — не паникуйте. Главное — остановить дальнейшее нарушение и начать исправлять ситуацию.

Вот план действий:

  1. Остановите сбор данных, пока не настроите законные процедуры.
  2. Составьте список всех источников сбора: формы, CRM, рассылки, аналитика.
  3. Удалите все незаконно собранные данные. Не храните их «на всякий случай».
  4. Зарегистрируйтесь как оператор в Роскомнадзоре. Это можно сделать онлайн за 2–3 дня.
  5. Напишите и опубликуйте Политику конфиденциальности — она должна быть понятной, без юридического жаргона.
  6. Настройте систему получения согласия на всех формах и в рассылках.
  7. Установите шифрование и безопасный хостинг.
  8. Уведомите пользователей: напишите письмо: «Мы улучшаем защиту ваших данных. Теперь мы требуем вашего явного согласия для обработки персональной информации. Вы можете отказаться в любое время».

Чем быстрее вы начнёте исправлять ошибки — тем меньше штрафов и репутационных потерь вы получите. Роскомнадзор предпочитает работать с теми, кто хочет исправиться — не с теми, кто игнорирует.

Практические кейсы: что происходит на самом деле

Кейс 1: Ресторан с формой заказа

Ресторан собирал телефоны через сайт, чтобы звонить с акциями. Никакого согласия не было. Через год пришёл инспектор Роскомнадзора — штраф 500 тысяч рублей. После этого ресторан внедрил форму с галочкой, написал Политику и зарегистрировался. Через полгода конверсия в заказы выросла на 18% — клиенты доверяют, потому что видят прозрачность.

Кейс 2: Онлайн-школа с европейскими учениками

Школа использовала американский LMS и хранила данные в США. Европейские родители начали подавать жалобы — сервис заблокировали. Пришлось переносить базу на сервер в Германии, менять платформу и писать новую Политику. Затраты — 1,2 млн рублей. Но теперь школа работает в ЕС без ограничений и привлекает клиентов из 15 стран.

Кейс 3: Маркетолог, который «скупил» базу

Маркетолог купил базу из 10 тысяч email-адресов для рассылки. Это прямое нарушение GDPR и ФЗ-152 — вы не можете использовать данные, которые вы не получили напрямую от пользователя. В результате: жалобы в Роскомнадзор, блокировка рассылки, репутационный ущерб. Компания потеряла 30% клиентов за месяц.

Эти кейсы показывают: закон — не бумажка, а реальный барьер. И если вы его игнорируете — он становится стеной, которую невозможно перелезть.

FAQ

Можно ли собирать данные без согласия?

Только в исключительных случаях: при исполнении договора (например, доставка заказа), для выполнения законных обязательств (налоги) или в целях жизненно важных интересов. Для маркетинга, рекламы и аналитики — согласие обязательно.

Сколько времени можно хранить данные?

Только до тех пор, пока это необходимо для цели обработки. Например: если клиент купил товар в январе 2024 года — храните данные до конца гарантии (1–3 года). После этого — удалить. Данные для рассылок можно хранить до отписки.

Что делать, если пользователь требует удалить данные?

Вы обязаны удалить их в течение 14 дней. Даже если данные находятся в CRM, Google Analytics или у подрядчика — вы должны потребовать их удаление. Если данные не могут быть полностью удалены (например, из архивов), их нужно анонимизировать — то есть сделать так, чтобы невозможно было установить личность.

Нужно ли регистрироваться в Роскомнадзоре, если я ИП?

Да. Если вы собираете ФИО, телефоны или email российских граждан — даже как ИП вы обязаны зарегистрироваться как оператор персональных данных. Исключение — если данные собираются только для личного, семейного или домашнего использования (например, список друзей в телефоне).

Можно ли использовать Google Analytics без согласия?

Нет. Google Analytics собирает IP-адреса, cookie и поведение — это персональные данные. Без согласия пользователя использование Analytics нарушает GDPR и ФЗ-152. Используйте анонимизированные версии или платформы с согласием.

Что будет, если я не соблюу законы?

Возможные последствия: штраф от 10 до 6 млн рублей, блокировка сайта или рекламных аккаунтов, судебные иски от клиентов, потеря лицензий, репутационный крах. Для крупных компаний — это может привести к банкротству.

Заключение: этика — это конкурентное преимущество

Сбор и хранение данных — это не техническая задача. Это вопрос доверия. Пользователь сегодня не просто покупает товар — он выбирает, кому доверить свою личную информацию. Если вы не защищаете её — он уйдёт к тому, кто делает это честно.

GDPR и ФЗ-152 — не враги бизнеса. Это правила игры, которые помогают отделить честных игроков от мошенников. Компании, которые строят прозрачные системы обработки данных — получают не только юридическую безопасность, но и лояльных клиентов. Они становятся лидерами в своей нише.

Ваша задача — не избежать законов, а использовать их как инструмент для укрепления бренда. Собирайте данные только с согласия, храните их безопасно, объясняйте пользователям, зачем вы это делаете. И тогда ваши маркетинговые кампании будут не только эффективными, но и этичными — а это самая сильная форма рекламы.

Начните сегодня. Проверьте свои формы, уберите галочки по умолчанию, зарегистрируйтесь в Роскомнадзоре, если ещё не сделали этого. Напишите Политику конфиденциальности — даже если она будет простой. Потом — обучите сотрудников. И через три месяца вы увидите: клиенты стали доверять вам больше, а риски — меньше. Это инвестиция, которая окупается в десятки раз.

Похожие материалы

  1. Закон о персональных данных: что обязательно должно быть на вашем сайте?
  2. 15 практических шагов к полному соответствию ФЗ-152 для российских бизнесов
  3. Как соблюдать ФЗ-152: практическое руководство для бизнеса по защите персональных данных
  4. Как бизнесу не нарваться на штрафы? Руководство для предпринимателей по обработке персональных данных в 2026 году

Содержание

Увеличенная версия изображения