Закон о персональных данных: Оружие против гигантов и дубина для малого бизнеса
Или: Почему 152-ФЗ не нужен, чтобы бороться со спамом, но идеально подходит, чтобы отключить Facebook
Если вы владелец сайта, то наверняка слышали: «Срочно примите Политику обработки персональных данных!», «Получите согласие на куки!», «Храните данные только в России!». Иначе — штрафы, проверки, уголовная ответственность.
И вы, скорее всего, либо наняли юриста за 50–100 тысяч рублей, либо в панике отключили все формы, регистрацию и комментарии, чтобы «не дай бог чего».
А знаете, кто при этом смеётся?
Крупные компании (Google, Meta, Telegram), у которых штат юристов и бюджеты на откупные больше вашего годового оборота. Они соблюдают законы ровно настолько, насколько им это выгодно.
Настоящие спамеры и торговцы базами данных. Для них закон — пустой звук. Они как работали в «чёрном» поле, так и работают. Их не поймать и не наказать.
Государство. Оно получило рычаг, чтобы в любой момент, одним распоряжением через РКН, отключить доступ к неугодному иностранному сервису. Причина? «Нарушает законодательство о персональных данных». Элегантно и юридически безупречно.
А кто в пролёте? Малый и средний бизнес. Тот самый, у которого нет денег на «свой» юрдепартамент. Тот, который просто хочет собрать email для рассылки или дать клиенту возможность зарегистрироваться на сайте.
Эта статья — не про то, как «правильно» соблюдать закон. Эта статья про то, как не сойти с ума в попытках его соблюсти и при этом не потерять бизнес. И про то, что настоящая «защита персональных данных» — это миф, за которым стоит большая геополитика и большой бизнес.
Как мы уже писали в нашем материале «Многоходовочка», «законы о ПДн — это не про защиту. Это про правила игры». Напомним ключевые мысли, которые мы развили в прошлый раз: закон не запрещает сбор данных, он запрещает сбор данных «кучкой непоняттных лиц» и легализует сбор данных крупными, проверенными, лицензированными организациями.
Настоящая цель закона:
Создать единые правила для больших игроков (чтобы они не мухлевали).
Получить рычаг контроля над иностранными корпорациями (Facebook, Google, Telegram).
Сделать рынок сбора и обработки данных «прозрачным» для государства (читай — контролируемым).
А малый бизнес оказался побочным уроном. Этакий «сопутствующий ущерб».
Закон о персональных данных — это инструмент против белых и пушистых. Против тех, кто работает официально, платит налоги, имеет расчётный счёт.
Реальные спамеры, которые закупают базы номеров и email и заваливают вас предложениями «кредитов» и «квартир от застройщика», работают по-другому:
Как работают продавцы готовых баз данных:
Они «парсят» данные из открытых источников (что, кстати, законно, но с натяжкой).
Они «сливают» базы из взломанных серверов и используют их в тёмных уголках интернета.
Они работают через подставных лиц и криптовалюту.
Вывод: закон никоим образом не мешает жить тем, кого принято называть «злоумышленниками». Он лишь добавляет бюрократии тем, кто и так играет по правилам.
А вот для крупных зарубежных корпораций 152-ФЗ (и его аналоги в других странах) — это идеальный инструмент давления.
Как это работает:
Примеры которые у всех на слуху:
Замедление и угрозы блокировки Twitter (2021-2022): Формальная причина — неудаление запрещённого контента. Реальная причина — платформа не идёт на диалог и не даёт государству контроль над информационным полем.
«Закон о приземлении» (2021) и перенос данных в Россию: Западные IT-гиганты (Apple, Google, Meta, Telegram, Twitter, TikTok) обязаны были открыть представительства в РФ. Те, кто не открыл, столкнулись с угрозами замедления и блокировки. Это прямое требование локализации.
Блокировка LinkedIn (2016): Российский суд поддержал решение Роскомнадзора о блокировке профессиональной соцсети из-за нарушения закона о хранении персональных данных российских пользователей на территории РФ. Процесс длился несколько лет, но результат был достигнут.
Прецедент с Meta (2022): Признание Meta экстремистской организацией и запрет её деятельности в РФ — это, безусловно, политическое решение, но юридически оно также базируется на нарушениях законодательства (включая отказ от локализации и уголовные дела против российских СМИ).
Штрафы Google (2021-2022): Google был оштрафован на астрономические суммы (десятки миллионов и даже миллиарды рублей) за неудаление запрещённого контента и отказ от локализации данных.
Текущая ситуация с Telegram (2024-2026): Telegram замедляют и угрожают блокировкой также в рамках 152-ФЗ. Повод — мессенджер не предоставил данные для включения в реестр организаторов распространения информации (ОРИ).
Угрозы блокировки YouTube (2022-2026): РКН неоднократно пригрозил YouTube замедлением и блокировкой из-за неудаления запрещённого контента, хотя это уже больше относится к закону о «фейках» (ФЗ-32).
Ирония: Facebook и Google уже давно хранят часть данных на российских серверах и платят штрафы (которые для них — копейки). А малый бизнес, который не может позволить себе отдельный сервер в РФ, мучается с выбором: нарушать закон или терять клиентов.
Этот инструмент работает безотказно, и применяют его не к спамерам, а к крупным и заметным игрокам, чтобы поставить их под контроль или выдворить с рынка.
Итак, если вы не Google и не Meta, и у вас нет отдела по работе с РКН, как вам быть?
Совет 1. Не плодите сущности. Собирайте ровно столько данных, сколько вам нужно для бизнеса. Не спрашивайте у клиента паспорт, если продаёте ему хомячка. Не требуйте СНИЛС для подписки на рассылку. Меньше данных — меньше рисков.
Совет 2. Используйте ближайший офшор. Если ваша целевая аудитория не в России — регистрируйте юрлицо в другой стране и работайте по её законам, но как только появляются клиенты из РФ с их персональными данными — сценарий возвращается к 152-ФЗ. Полностью уйти от российского регулирования получится, только если бизнес не связан с персональными данными резидентов РФ. Легче просто собирать минимально возможный объём информации.
Совет 3. Делегируйте ответственность (частично). Если вы работаете через сервисы (чат-боты, CRM, маркетплейсы), то ответственность за хранение и обработку данных в какой-то мере лежит на них. Но не полностью. В договоре должно быть чётко прописано, кто за что отвечает.
Совет 4. Пользуйтесь тем, что есть. Используйте «Политику конфиденциальности», сгенерированную онлайн-конструктором. Да, это не идеал. Но для микробизнеса этого достаточно, чтобы вас не привлекли за отсутствие документа.
Единственный надёжный способ не нарушить 152-ФЗ — не хранить персональные данные.
Как это сделать?
Double opt-in. Человек оставляет email, вы отправляете ему письмо со ссылкой для подтверждения. До подтверждения — email не считается «собранным».
Храните email и дату подписки. Без IP-адреса, без времени, без браузера. Это минимизирует объём данных.
Удаляйте «мёртвые души». Если человек не открывает письма больше 6 месяцев — удаляйте его email из базы.
Компромиссный вариант для E-commerce: Если вам нужны «ФИО + адрес доставки + телефон», то лучше вообще не выдумывать свои колеса, а использовать готовые платёжные шлюзы (ЮKassa, Robokassa, Tinkoff) — они берут на себя обработку данных (но не всю ответственность). Собираете на стороне шлюза, а в своей базе храните только токен заказа.
Идеальный вариант (с точки зрения закона): Переложить «сбор данных» на мессенджер. Вместо формы на сайте — кнопка «Написать в Telegram». Telegram — иностранный сервис, а требование 152-ФЗ хранить ПДн только в РФ к нему либо не относится вовсе, либо его трудно применить на практике. Но помните про замедление Telegram.
Вы хотите создать на сайте закрытый клуб, куда можно попасть только по приглашению или за деньги. В обычной CMS (DLE, WordPress) для этого нужно сохранять в своей базе имя и email пользователя.
Но можно иначе.
Схема «авторизация через Telegram»:
Вы ставите на сайт кнопку «Войти через Telegram».
Пользователь кликает, даёт согласие боту.
Бот сообщает вашему сайту: «Этот пользователь авторизован».
Ваш сайт генерирует временную сессию для пользователя.
Ваш сайт не хранит никаких персональных данных пользователя. Ни имени, ни email, ничего. Всё хранится у Telegram.
Вы паритесь только о том, чтобы Telegram не заблокировали.
Платные подписки через платёжные шлюзы: Аналогично, вы не храните платёжные данные; всё остаётся у платёжного агрегатора.
Вся этих практик в том, чтобы персональные данные «физически» не попадали в вашу базу данных. Чем меньше данных вы храните, тем вы незаметнее для РКН.
Давайте будем честны. Закон о персональных данных — это не про защиту вашей бабушки от спамеров. И не про то, чтобы сделать интернет безопасным.
Это инструмент.
Для государства: контроль над информацией и рычаг давления на большой бизнес.
Для крупных корпораций: способ устранить мелких конкурентов и оправдать свои штрафы.
Для юристов: способ заработать на страхах малого бизнеса.
Для малого бизнеса: очередная головная боль.
Но эту головную боль можно минимизировать, если не пытаться соблюсти все 1000 страниц закона, а просто собирать минимум данных и пользоваться готовыми решениями.
Помните: идеальной юридической защиты не существует. Даже если вы сделаете всё «по инструкции», всегда найдётся пункт, который можно трактовать против вас. Живите с этим.
А пока юристы спорят о формулировках, а РКН рассылает уведомления, мы в TCSE продолжаем делать простые и практичные инструменты, которые помогают бизнесу работать, не погружаясь в бюрократический ад.
P.S. Данный материал не является юридической консультацией. Автор — веб-разработчик, который 20 лет наблюдает, как меняется законодательство, и пытается не сойти с ума. Если вам нужна 100% безопасность — нанимайте юриста с лицензией ФСБ. Если вам нужен работающий сайт — следуйте нашему опыту.
P.P.S. Если вы до сих пор храните в базе данных паспортные данные клиентов «на всякий случай» — срочно удалите. Это не «всякий случай», это «уголовный случай». 😏
📋 Пролог: У страха глаза велики (а у юристов — кошелёк)
Если вы владелец сайта, то наверняка слышали: «Срочно примите Политику обработки персональных данных!», «Получите согласие на куки!», «Храните данные только в России!». Иначе — штрафы, проверки, уголовная ответственность.
И вы, скорее всего, либо наняли юриста за 50–100 тысяч рублей, либо в панике отключили все формы, регистрацию и комментарии, чтобы «не дай бог чего».
А знаете, кто при этом смеётся?
Крупные компании (Google, Meta, Telegram), у которых штат юристов и бюджеты на откупные больше вашего годового оборота. Они соблюдают законы ровно настолько, насколько им это выгодно.
Настоящие спамеры и торговцы базами данных. Для них закон — пустой звук. Они как работали в «чёрном» поле, так и работают. Их не поймать и не наказать.
Государство. Оно получило рычаг, чтобы в любой момент, одним распоряжением через РКН, отключить доступ к неугодному иностранному сервису. Причина? «Нарушает законодательство о персональных данных». Элегантно и юридически безупречно.
А кто в пролёте? Малый и средний бизнес. Тот самый, у которого нет денег на «свой» юрдепартамент. Тот, который просто хочет собрать email для рассылки или дать клиенту возможность зарегистрироваться на сайте.
Эта статья — не про то, как «правильно» соблюдать закон. Эта статья про то, как не сойти с ума в попытках его соблюсти и при этом не потерять бизнес. И про то, что настоящая «защита персональных данных» — это миф, за которым стоит большая геополитика и большой бизнес.
🎯 Акт 1: Гром среди ясного неба (кого должен был напугать 152-ФЗ) — краткий экскурс из предыдущей статьи
Как мы уже писали в нашем материале «Многоходовочка», «законы о ПДн — это не про защиту. Это про правила игры». Напомним ключевые мысли, которые мы развили в прошлый раз: закон не запрещает сбор данных, он запрещает сбор данных «кучкой непоняттных лиц» и легализует сбор данных крупными, проверенными, лицензированными организациями.
Настоящая цель закона:
Создать единые правила для больших игроков (чтобы они не мухлевали).
Получить рычаг контроля над иностранными корпорациями (Facebook, Google, Telegram).
Сделать рынок сбора и обработки данных «прозрачным» для государства (читай — контролируемым).
А малый бизнес оказался побочным уроном. Этакий «сопутствующий ущерб».
🃏 Акт 2: Почему реальные спамеры и мошенники не боятся 152-ФЗ
Закон о персональных данных — это инструмент против белых и пушистых. Против тех, кто работает официально, платит налоги, имеет расчётный счёт.
Реальные спамеры, которые закупают базы номеров и email и заваливают вас предложениями «кредитов» и «квартир от застройщика», работают по-другому:
- Они вне правового поля. Их не волнуют штрафы, потому что их юридическое лицо — это фирма-однодневка или вообще физлицо без регистрации.
- Их не найти. Они используют прокси, анонимайзеры, зарубежные серверы. Отправить запрос в РКН на такого спамера невозможно.
- Им плевать на согласия. Они рассылают сообщения всем подряд, надеясь на 0.01% отклика.
Как работают продавцы готовых баз данных:
Они «парсят» данные из открытых источников (что, кстати, законно, но с натяжкой).
Они «сливают» базы из взломанных серверов и используют их в тёмных уголках интернета.
Они работают через подставных лиц и криптовалюту.
Вывод: закон никоим образом не мешает жить тем, кого принято называть «злоумышленниками». Он лишь добавляет бюрократии тем, кто и так играет по правилам.
⚖️ Акт 3: Настоящая цель — дубина для BigTech
А вот для крупных зарубежных корпораций 152-ФЗ (и его аналоги в других странах) — это идеальный инструмент давления.
Как это работает:
- Компания (Google, Meta, Twitter) нарушает какой-то пункт закона о ПДн. Формально — неважно какой. Например, «не локализовала данные россиян на территории РФ».
- Государство делает предупреждение. Компания не реагирует (или реагирует не так, как нужно).
- Государство инициирует проверку и накладывает штраф.
- Если компания продолжает упорствовать — в ход идёт тяжёлая артиллерия: замедление или полная блокировка сервиса на территории страны.
Примеры которые у всех на слуху:
Замедление и угрозы блокировки Twitter (2021-2022): Формальная причина — неудаление запрещённого контента. Реальная причина — платформа не идёт на диалог и не даёт государству контроль над информационным полем.
«Закон о приземлении» (2021) и перенос данных в Россию: Западные IT-гиганты (Apple, Google, Meta, Telegram, Twitter, TikTok) обязаны были открыть представительства в РФ. Те, кто не открыл, столкнулись с угрозами замедления и блокировки. Это прямое требование локализации.
Блокировка LinkedIn (2016): Российский суд поддержал решение Роскомнадзора о блокировке профессиональной соцсети из-за нарушения закона о хранении персональных данных российских пользователей на территории РФ. Процесс длился несколько лет, но результат был достигнут.
Прецедент с Meta (2022): Признание Meta экстремистской организацией и запрет её деятельности в РФ — это, безусловно, политическое решение, но юридически оно также базируется на нарушениях законодательства (включая отказ от локализации и уголовные дела против российских СМИ).
Штрафы Google (2021-2022): Google был оштрафован на астрономические суммы (десятки миллионов и даже миллиарды рублей) за неудаление запрещённого контента и отказ от локализации данных.
Текущая ситуация с Telegram (2024-2026): Telegram замедляют и угрожают блокировкой также в рамках 152-ФЗ. Повод — мессенджер не предоставил данные для включения в реестр организаторов распространения информации (ОРИ).
Угрозы блокировки YouTube (2022-2026): РКН неоднократно пригрозил YouTube замедлением и блокировкой из-за неудаления запрещённого контента, хотя это уже больше относится к закону о «фейках» (ФЗ-32).
Ирония: Facebook и Google уже давно хранят часть данных на российских серверах и платят штрафы (которые для них — копейки). А малый бизнес, который не может позволить себе отдельный сервер в РФ, мучается с выбором: нарушать закон или терять клиентов.
Этот инструмент работает безотказно, и применяют его не к спамерам, а к крупным и заметным игрокам, чтобы поставить их под контроль или выдворить с рынка.
💼 Акт 4: Что делать малому бизнесу? (Практические советы)
Итак, если вы не Google и не Meta, и у вас нет отдела по работе с РКН, как вам быть?
Совет 1. Не плодите сущности. Собирайте ровно столько данных, сколько вам нужно для бизнеса. Не спрашивайте у клиента паспорт, если продаёте ему хомячка. Не требуйте СНИЛС для подписки на рассылку. Меньше данных — меньше рисков.
Совет 2. Используйте ближайший офшор. Если ваша целевая аудитория не в России — регистрируйте юрлицо в другой стране и работайте по её законам, но как только появляются клиенты из РФ с их персональными данными — сценарий возвращается к 152-ФЗ. Полностью уйти от российского регулирования получится, только если бизнес не связан с персональными данными резидентов РФ. Легче просто собирать минимально возможный объём информации.
Совет 3. Делегируйте ответственность (частично). Если вы работаете через сервисы (чат-боты, CRM, маркетплейсы), то ответственность за хранение и обработку данных в какой-то мере лежит на них. Но не полностью. В договоре должно быть чётко прописано, кто за что отвечает.
Совет 4. Пользуйтесь тем, что есть. Используйте «Политику конфиденциальности», сгенерированную онлайн-конструктором. Да, это не идеал. Но для микробизнеса этого достаточно, чтобы вас не привлекли за отсутствие документа.
📌 Акт 5: Хотите спокойно собирать email и не париться? (Техническое решение)
Единственный надёжный способ не нарушить 152-ФЗ — не хранить персональные данные.
Как это сделать?
Double opt-in. Человек оставляет email, вы отправляете ему письмо со ссылкой для подтверждения. До подтверждения — email не считается «собранным».
Храните email и дату подписки. Без IP-адреса, без времени, без браузера. Это минимизирует объём данных.
Удаляйте «мёртвые души». Если человек не открывает письма больше 6 месяцев — удаляйте его email из базы.
Компромиссный вариант для E-commerce: Если вам нужны «ФИО + адрес доставки + телефон», то лучше вообще не выдумывать свои колеса, а использовать готовые платёжные шлюзы (ЮKassa, Robokassa, Tinkoff) — они берут на себя обработку данных (но не всю ответственность). Собираете на стороне шлюза, а в своей базе храните только токен заказа.
Идеальный вариант (с точки зрения закона): Переложить «сбор данных» на мессенджер. Вместо формы на сайте — кнопка «Написать в Telegram». Telegram — иностранный сервис, а требование 152-ФЗ хранить ПДн только в РФ к нему либо не относится вовсе, либо его трудно применить на практике. Но помните про замедление Telegram.
🎓 Акт 6: А как же юридически изощрённые схемы регистрации и авторизации?
Вы хотите создать на сайте закрытый клуб, куда можно попасть только по приглашению или за деньги. В обычной CMS (DLE, WordPress) для этого нужно сохранять в своей базе имя и email пользователя.
Но можно иначе.
Схема «авторизация через Telegram»:
Вы ставите на сайт кнопку «Войти через Telegram».
Пользователь кликает, даёт согласие боту.
Бот сообщает вашему сайту: «Этот пользователь авторизован».
Ваш сайт генерирует временную сессию для пользователя.
Ваш сайт не хранит никаких персональных данных пользователя. Ни имени, ни email, ничего. Всё хранится у Telegram.
Вы паритесь только о том, чтобы Telegram не заблокировали.
Платные подписки через платёжные шлюзы: Аналогично, вы не храните платёжные данные; всё остаётся у платёжного агрегатора.
Вся этих практик в том, чтобы персональные данные «физически» не попадали в вашу базу данных. Чем меньше данных вы храните, тем вы незаметнее для РКН.
🧾 Эпилог: Лес рубят — щепки летят
Давайте будем честны. Закон о персональных данных — это не про защиту вашей бабушки от спамеров. И не про то, чтобы сделать интернет безопасным.
Это инструмент.
Для государства: контроль над информацией и рычаг давления на большой бизнес.
Для крупных корпораций: способ устранить мелких конкурентов и оправдать свои штрафы.
Для юристов: способ заработать на страхах малого бизнеса.
Для малого бизнеса: очередная головная боль.
Но эту головную боль можно минимизировать, если не пытаться соблюсти все 1000 страниц закона, а просто собирать минимум данных и пользоваться готовыми решениями.
Помните: идеальной юридической защиты не существует. Даже если вы сделаете всё «по инструкции», всегда найдётся пункт, который можно трактовать против вас. Живите с этим.
А пока юристы спорят о формулировках, а РКН рассылает уведомления, мы в TCSE продолжаем делать простые и практичные инструменты, которые помогают бизнесу работать, не погружаясь в бюрократический ад.
P.S. Данный материал не является юридической консультацией. Автор — веб-разработчик, который 20 лет наблюдает, как меняется законодательство, и пытается не сойти с ума. Если вам нужна 100% безопасность — нанимайте юриста с лицензией ФСБ. Если вам нужен работающий сайт — следуйте нашему опыту.
P.P.S. Если вы до сих пор храните в базе данных паспортные данные клиентов «на всякий случай» — срочно удалите. Это не «всякий случай», это «уголовный случай». 😏