Закон о персональных данных: Оружие против гигантов и дубина для малого бизнеса

Или: Почему 152-ФЗ не нужен, чтобы бороться со спамом, но идеально подходит, чтобы отключить Facebook

📋 Пролог: У страха глаза велики (а у юристов — кошелёк)

Если вы владелец сайта, то наверняка слышали: «Срочно примите Политику обработки персональных данных!», «Получите согласие на куки!», «Храните данные только в России!». Иначе — штрафы, проверки, уголовная ответственность.

И вы, скорее всего, либо наняли юриста за 50–100 тысяч рублей, либо в панике отключили все формы, регистрацию и комментарии, чтобы «не дай бог чего».

А знаете, кто при этом смеётся?

Крупные компании (Google, Meta, Telegram), у которых штат юристов и бюджеты на откупные больше вашего годового оборота. Они соблюдают законы ровно настолько, насколько им это выгодно.
Настоящие спамеры и торговцы базами данных. Для них закон — пустой звук. Они как работали в «чёрном» поле, так и работают. Их не поймать и не наказать.
Государство. Оно получило рычаг, чтобы в любой момент, одним распоряжением через РКН, отключить доступ к неугодному иностранному сервису. Причина? «Нарушает законодательство о персональных данных». Элегантно и юридически безупречно.

А кто в пролёте? Малый и средний бизнес. Тот самый, у которого нет денег на «свой» юрдепартамент. Тот, который просто хочет собрать email для рассылки или дать клиенту возможность зарегистрироваться на сайте.

Эта статья — не про то, как «правильно» соблюдать закон. Эта статья про то, как не сойти с ума в попытках его соблюсти и при этом не потерять бизнес. И про то, что настоящая «защита персональных данных» — это миф, за которым стоит большая геополитика и большой бизнес.

🎯 Акт 1: Гром среди ясного неба (кого должен был напугать 152-ФЗ) — краткий экскурс из предыдущей статьи

Как мы уже писали в нашем материале «Многоходовочка», «законы о ПДн — это не про защиту. Это про правила игры». Напомним ключевые мысли, которые мы развили в прошлый раз: закон не запрещает сбор данных, он запрещает сбор данных «кучкой непоняттных лиц» и легализует сбор данных крупными, проверенными, лицензированными организациями.

Настоящая цель закона:

Создать единые правила для больших игроков (чтобы они не мухлевали).
Получить рычаг контроля над иностранными корпорациями (Facebook, Google, Telegram).
Сделать рынок сбора и обработки данных «прозрачным» для государства (читай — контролируемым).

А малый бизнес оказался побочным уроном. Этакий «сопутствующий ущерб».

🃏 Акт 2: Почему реальные спамеры и мошенники не боятся 152-ФЗ

Закон о персональных данных — это инструмент против белых и пушистых. Против тех, кто работает официально, платит налоги, имеет расчётный счёт.

Реальные спамеры, которые закупают базы номеров и email и заваливают вас предложениями «кредитов» и «квартир от застройщика», работают по-другому:

1. Они вне правового поля. Их не волнуют штрафы, потому что их юридическое лицо — это фирма-однодневка или вообще физлицо без регистрации.
   
2. Их не найти. Они используют прокси, анонимайзеры, зарубежные серверы. Отправить запрос в РКН на такого спамера невозможно.
   
3. Им плевать на согласия. Они рассылают сообщения всем подряд, надеясь на 0.01% отклика.
   

Как работают продавцы готовых баз данных:

Они «парсят» данные из открытых источников (что, кстати, законно, но с натяжкой).
Они «сливают» базы из взломанных серверов и используют их в тёмных уголках интернета.
Они работают через подставных лиц и криптовалюту.

Вывод: закон никоим образом не мешает жить тем, кого принято называть «злоумышленниками». Он лишь добавляет бюрократии тем, кто и так играет по правилам.

⚖️ Акт 3: Настоящая цель — дубина для BigTech

А вот для крупных зарубежных корпораций 152-ФЗ (и его аналоги в других странах) — это идеальный инструмент давления.

Как это работает:

1. Компания (Google, Meta, Twitter) нарушает какой-то пункт закона о ПДн. Формально — неважно какой. Например, «не локализовала данные россиян на территории РФ».
   
2. Государство делает предупреждение. Компания не реагирует (или реагирует не так, как нужно).
   
3. Государство инициирует проверку и накладывает штраф.
   
4. Если компания продолжает упорствовать — в ход идёт тяжёлая артиллерия: замедление или полная блокировка сервиса на территории страны.
   

Примеры которые у всех на слуху:

Замедление и угрозы блокировки Twitter (2021-2022): Формальная причина — неудаление запрещённого контента. Реальная причина — платформа не идёт на диалог и не даёт государству контроль над информационным полем.
«Закон о приземлении» (2021) и перенос данных в Россию: Западные IT-гиганты (Apple, Google, Meta, Telegram, Twitter, TikTok) обязаны были открыть представительства в РФ. Те, кто не открыл, столкнулись с угрозами замедления и блокировки. Это прямое требование локализации.
Блокировка LinkedIn (2016): Российский суд поддержал решение Роскомнадзора о блокировке профессиональной соцсети из-за нарушения закона о хранении персональных данных российских пользователей на территории РФ. Процесс длился несколько лет, но результат был достигнут.
Прецедент с Meta (2022): Признание Meta экстремистской организацией и запрет её деятельности в РФ — это, безусловно, политическое решение, но юридически оно также базируется на нарушениях законодательства (включая отказ от локализации и уголовные дела против российских СМИ).
Штрафы Google (2021-2022): Google был оштрафован на астрономические суммы (десятки миллионов и даже миллиарды рублей) за неудаление запрещённого контента и отказ от локализации данных.
Текущая ситуация с Telegram (2024-2026): Telegram замедляют и угрожают блокировкой также в рамках 152-ФЗ. Повод — мессенджер не предоставил данные для включения в реестр организаторов распространения информации (ОРИ).
Угрозы блокировки YouTube (2022-2026): РКН неоднократно пригрозил YouTube замедлением и блокировкой из-за неудаления запрещённого контента, хотя это уже больше относится к закону о «фейках» (ФЗ-32).

Ирония: Facebook и Google уже давно хранят часть данных на российских серверах и платят штрафы (которые для них — копейки). А малый бизнес, который не может позволить себе отдельный сервер в РФ, мучается с выбором: нарушать закон или терять клиентов.

Этот инструмент работает безотказно, и применяют его не к спамерам, а к крупным и заметным игрокам, чтобы поставить их под контроль или выдворить с рынка.

💼 Акт 4: Что делать малому бизнесу? (Практические советы)

Итак, если вы не Google и не Meta, и у вас нет отдела по работе с РКН, как вам быть?

Совет 1. Не плодите сущности. Собирайте ровно столько данных, сколько вам нужно для бизнеса. Не спрашивайте у клиента паспорт, если продаёте ему хомячка. Не требуйте СНИЛС для подписки на рассылку. Меньше данных — меньше рисков.

Совет 2. Используйте ближайший офшор. Если ваша целевая аудитория не в России — регистрируйте юрлицо в другой стране и работайте по её законам, но как только появляются клиенты из РФ с их персональными данными — сценарий возвращается к 152-ФЗ. Полностью уйти от российского регулирования получится, только если бизнес не связан с персональными данными резидентов РФ. Легче просто собирать минимально возможный объём информации.

Совет 3. Делегируйте ответственность (частично). Если вы работаете через сервисы (чат-боты, CRM, маркетплейсы), то ответственность за хранение и обработку данных в какой-то мере лежит на них. Но не полностью. В договоре должно быть чётко прописано, кто за что отвечает.

Совет 4. Пользуйтесь тем, что есть. Используйте «Политику конфиденциальности», сгенерированную онлайн-конструктором. Да, это не идеал. Но для микробизнеса этого достаточно, чтобы вас не привлекли за отсутствие документа.

📌 Акт 5: Хотите спокойно собирать email и не париться? (Техническое решение)

Единственный надёжный способ не нарушить 152-ФЗ — не хранить персональные данные.

Как это сделать?

Double opt-in. Человек оставляет email, вы отправляете ему письмо со ссылкой для подтверждения. До подтверждения — email не считается «собранным».
Храните email и дату подписки. Без IP-адреса, без времени, без браузера. Это минимизирует объём данных.
Удаляйте «мёртвые души». Если человек не открывает письма больше 6 месяцев — удаляйте его email из базы.

Компромиссный вариант для E-commerce: Если вам нужны «ФИО + адрес доставки + телефон», то лучше вообще не выдумывать свои колеса, а использовать готовые платёжные шлюзы (ЮKassa, Robokassa, Tinkoff) — они берут на себя обработку данных (но не всю ответственность). Собираете на стороне шлюза, а в своей базе храните только токен заказа.

Идеальный вариант (с точки зрения закона): Переложить «сбор данных» на мессенджер. Вместо формы на сайте — кнопка «Написать в Telegram». Telegram — иностранный сервис, а требование 152-ФЗ хранить ПДн только в РФ к нему либо не относится вовсе, либо его трудно применить на практике. Но помните про замедление Telegram.

🎓 Акт 6: А как же юридически изощрённые схемы регистрации и авторизации?

Вы хотите создать на сайте закрытый клуб, куда можно попасть только по приглашению или за деньги. В обычной CMS (DLE, WordPress) для этого нужно сохранять в своей базе имя и email пользователя.

Но можно иначе.

Схема «авторизация через Telegram»:

Вы ставите на сайт кнопку «Войти через Telegram».
Пользователь кликает, даёт согласие боту.
Бот сообщает вашему сайту: «Этот пользователь авторизован».
Ваш сайт генерирует временную сессию для пользователя.
Ваш сайт не хранит никаких персональных данных пользователя. Ни имени, ни email, ничего. Всё хранится у Telegram.
Вы паритесь только о том, чтобы Telegram не заблокировали.

Платные подписки через платёжные шлюзы: Аналогично, вы не храните платёжные данные; всё остаётся у платёжного агрегатора.

Вся этих практик в том, чтобы персональные данные «физически» не попадали в вашу базу данных. Чем меньше данных вы храните, тем вы незаметнее для РКН.

🧾 Эпилог: Лес рубят — щепки летят

Давайте будем честны. Закон о персональных данных — это не про защиту вашей бабушки от спамеров. И не про то, чтобы сделать интернет безопасным.

Это инструмент.

Для государства: контроль над информацией и рычаг давления на большой бизнес.
Для крупных корпораций: способ устранить мелких конкурентов и оправдать свои штрафы.
Для юристов: способ заработать на страхах малого бизнеса.

Для малого бизнеса: очередная головная боль.

Но эту головную боль можно минимизировать, если не пытаться соблюсти все 1000 страниц закона, а просто собирать минимум данных и пользоваться готовыми решениями.

Помните: идеальной юридической защиты не существует. Даже если вы сделаете всё «по инструкции», всегда найдётся пункт, который можно трактовать против вас. Живите с этим.

А пока юристы спорят о формулировках, а РКН рассылает уведомления, мы в TCSE продолжаем делать простые и практичные инструменты, которые помогают бизнесу работать, не погружаясь в бюрократический ад.

P.S. Данный материал не является юридической консультацией. Автор — веб-разработчик, который 20 лет наблюдает, как меняется законодательство, и пытается не сойти с ума. Если вам нужна 100% безопасность — нанимайте юриста с лицензией ФСБ. Если вам нужен работающий сайт — следуйте нашему опыту.

P.P.S. Если вы до сих пор храните в базе данных паспортные данные клиентов «на всякий случай» — срочно удалите. Это не «всякий случай», это «уголовный случай». 😏