Video Thumbnail

РКН, мессенджеры и персональные данные, что нужно знать бизнесу — эфир с юристом Дарьей Ветровой

TextBack 01:13:25
https://www.youtube.com/watch?v=dTTPClsPQgA

Содержание

Краткое резюме

  • С 30 мая в России значительно ужесточились штрафы за нарушения закона о персональных данных: суммы достигают нескольких миллионов рублей и 3% от годовой выручки при повторных нарушениях.
  • Первый раз нарушителям обязательно выносится предупреждение с требованием в течение 10 дней устранить нарушения и отчитаться перед Роскомнадзором.
  • Закон требует отдельного согласия пользователя на обработку персональных данных, трансграничную передачу данных и на рассылку маркетинговых сообщений. Универсального «одного» согласия для всех каналов недостаточно.
  • Для работы с мессенджерами (WhatsApp, Telegram и др.) нужно иметь отдельное согласие на каждый канал, подтверждённое двухфакторно (например, кодом из SMS).
  • Сбор персональных данных в мессенджерах, включая ID пользователя и даже аватарки в Telegram, считается обработкой персональных данных с законной ответственностью.
  • Для доказательства согласия пользователей перед Роскомнадзором рекомендуется использовать экспертные заключения, основанные на технических логах и верификации действий пользователя.
  • Трансграничная передача данных требует уведомления Роскомнадзора, а компании несут ответственность за хранение и обработку данных в России.
  • Мессенджеры сейчас находятся в «серой зоне»: для WhatsApp ситуация усложняется законодательными ограничениями с 1 сентября, Telegram вызывает вопросы в части безопасности данных.
  • В случае коммуникации по голосовому каналу (звонку) и передаче сообщений в мессенджерах, требуется аккуратное оформление согласий, желательно подтверждение с помощью кода.
  • Для личных кабинетов при наличии авторизации достаточно единого согласия с возможностью выбора и отзыва подписки по каналам.
  • Для информационных (технических) рассылок отдельное согласие не требуется, но если рассылка содержит маркетинговое продвижение, оно обязательно.
  • Вопросы и судебные практики пока не полностью отрегулированы, юристы рекомендуют обращаться за разъяснениями в Роскомнадзор и собирать экспертные заключения.

Обновления в законе о персональных данных с 30 мая и реакция бизнеса

С 30 мая вступили изменения в закон о персональных данных, существенно повысившие административную ответственность за нарушения. Теперь штрафы могут достигать от 300 тыс. до 20 млн рублей, а в случае повторных нарушений — до 3% годовой выручки компании. Исключительно жестко контролируются отрасли IT, онлайн-образования и финтеха — они чаще всего становятся объектами проверок из-за высокой активности жалоб пользователей.

Представители бизнеса отметили, что новые изменения перестраивают и подходы к сбору и обработке персональных данных в каналах коммуникации, особенно в мессенджерах.

«Мы всегда были осторожны с данными клиентов, поэтому переход на трансграничную передачу данных нас не затронул, но с деталями следим внимательно» — отметил представитель компании «Самолёт».

Другие компании столкнулись с необходимостью срочного перехода с платформы Mindbox на собственные решения для коммуникаций, что оказалось дополнительным вызовом на фоне законодательных нововведений.

Как собирать согласия: подходы и требования

Несколько разных согласий вместо одного

Раньше компании могли использовать один большой документ, включающий согласия на все виды обработки данных и коммуникаций. Теперь закон требует разделять согласия:

  • Согласие на обработку персональных данных
  • Согласие на трансграничную передачу данных
  • Согласие на маркетинговые рассылки по конкретным каналам

Каждое согласие должно быть оформлено отдельно. При этом должны быть чётко указаны каналы коммуникации (email, SMS, WhatsApp, Telegram и т.д.). Если в будущем компания захочет добавить новый канал, придётся собрать согласия заново.

«Общее согласие, охватывающее все каналы, вышло из моды. Теперь на каждый канал — отдельное согласие с подтверждением» — подчёркивает юрист Дарья Ветрова.

Подтверждение согласия обязательно должно быть двойным (двухфакторным), например, с помощью кода, пришедшего на телефон или email, чтобы избежать случайных или автоматических нажатий.

Как подтверждать согласие в мессенджерах

В мессенджерах нельзя просто отправить сообщение по номеру или ID без согласия — это нарушение закона.

В Telegram, например, можно использовать функцию подписки через бота: при первом контакте пользователь нажимает кнопку «Старт» и даёт согласие на получение уведомлений. Все эти действия должны логироваться и сохраняться для последующего подтверждения при проверках.

Персональные данные в мессенджерах: что относится к персоналке?

  • Даже Telegram ID считается персональным данными, особенно если он связан с именем или фото профиля, которые позволяют идентифицировать пользователя.
  • Совокупность информации — ник, аватар, доступные сторис — может считаться персональными данными, так как пользователь становится идентифицируем.
  • Хранение и обработка таких данных требуют соблюдения всех норм по персональным данным и трансграничным передачам.

«Телеграмовский ID без прочих данных может быть спорным с точки зрения персональных данных, но если есть имя, фото, номер — это точно персональные данные» — уточняет Дарья.

Что считает Роскомнадзор доказательством согласия?

Для защиты от претензий нужно иметь доказательства взаимодействия пользователя с системой:

  • Логи с доказательствами, что пользователь оставил согласие через двухфакторную аутентификацию.
  • Экспертное заключение от независимых технических специалистов, подтверждающее правильность процесса сбора и фиксации согласий.

«Роскомнадзор доверяет экспертным заключениям, основанным на логах и технических доказательствах» — делится опытом юрист.

Такое заключение создаёт мощный щит для компании в случае споров с контролирующими органами.

Особенности трансграничной передачи данных

  • Компании обязаны уведомлять Роскомнадзор о трансграничной передаче персональных данных — процесс формальный и не вызывает частых проверок.
  • При передаче данных за рубеж нужно чётко оформлять и хранить документы, указывать куда и почему передаются данные.
  • Ответственность наступает не только при передаче, но и при условиях хранения и обработки данных на территории РФ.

Тонкости работы с разными каналами и личными кабинетами

  • В личном кабинете с авторизацией для пользователя достаточно проставить согласие один раз с возможностью выбирать каналы коммуникации.
  • Для неавторизованных пользователей согласия нужно собирать в каждом канале отдельно с подтверждением.
  • Голосовое согласие по звонку и подтверждения через нажатие кнопок требуют дополнительного технического оформления и подтверждения, что именно конкретный пользователь дал согласие.

Информационные vs маркетинговые рассылки

  • Информационные рассылки (например, напоминание о вебинаре, ссылка на трансляцию) не требуют отдельного согласия на рекламу.
  • Если в сообщение встраивается маркетинговое предложение, бонусы или призывы к покупке, необходимо получать отдельное согласие на рекламу.

«Если вы даёте промокод или чек-лист, это уже маркетинг, и согласие нужно» — объясняет Дарья.

Персонализация маркетинговых материалов требует индивидуальной обработки данных и соответствующей документации.

Перспективы и ожидания от изменений в работе с мессенджерами

  • С 1 сентября вступают дополнительные ограничения, связанные с финансированием терроризма, которые могут коснуться WhatsApp и других мессенджеров.
  • Пока правила для Telegram и WhatsApp остаются неопределёнными, что создает ощущение «серой зоны» для бизнеса.
  • Компании активно следят за развитием ситуации и готовятся к возможным изменениям, среди которых запрещение массовых рассылок и ужесточение контроля.
  • В долгосрочной перспективе ожидается развитие государственных решений и новых нормативных актов, которые, возможно, внесут ясность.

Итог: рекомендации для бизнеса

  1. Регистрация в Роскомнадзоре — уведомить о начале обработки, трансграничной передаче данных и планируемых каналах коммуникации.
  2. Разделение согласий — собрать и документировать согласия на обработку персональных данных, трансграничную передачу и на каждую маркетинговую рассылку по каналам.
  3. Двухфакторное подтверждение — использовать механизмы подтверждения согласия через код из SMS или email.
  4. Хранение доказательств — вести логи и получать экспертные заключения для возможных споров с контролирующими органами.
  5. Внимательно отличать информационные сообщения от рекламы — для первых согласие на рекламу не требуется.
  6. Мониторить обновления законодательства — особенно в части работы с мессенджерами, где ситуация динамична.

«Лучше перестраховываться и иметь всю документацию в полном порядке, чем надеяться на лазейки» — советуют эксперты.

Заключение

Обновления в законе о персональных данных сильно меняют практики маркетинга и коммуникации компаний с клиентами. Особенно непросто адаптироваться к новым требованиям в части согласий и работы с мессенджерами. Компании должны строго соблюдать новые правила, вести тщательный учёт согласий и логировать взаимодействия, чтобы избежать штрафов и негативных проверок. Акцент на прозрачность и ответственность при работе с персональными данными станет ключевым конкурентным и юридическим преимуществом.