Персональные данные: Как застройщикам не нарваться на новые штрафы
Ситуация: застройщик «СеверСтройНавсегда» продает квартиры в новом ЖК. Чтобы поскорее закрыть план, отдел продаж решает обзвонить старые базы данных. Вроде привычное действие — кому не звонили из стоматологий, в которых вы лечили зубы на первом курсе? Но не в этот раз: «СеверСтройНавсегда» прилетел иск за обработку персональных данных без согласия. Теперь на застройщике штраф 300 000 рублей, который может вырасти за повторное нарушение до 1 млн рублей.
30 мая 2025 года вступили в силу поправки в законе о персональных данных. Кроме ощутимо приумноженных размеров штрафов, есть новые пункты. Например, теперь будут наказывать за неподачу уведомлений о сборе и обработке персональных данных в Роскомнадзор. Что об этом нужно знать застройщикам — рассказывает «Горилла» и юрист Айдар Метшин. В конце есть несколько скриптов на все случаи.
Зачем застройщикам персональные данные
Девелоперы взаимодействуют со штатными сотрудниками и фрилансерами, потенциальными и реальными клиентами, партнерами и подрядчиками. Каждая группа делится некоторыми персональными данными для самых разных целей: от юридических до маркетинговых и аналитических. Чтобы личная информация работала на застройщика и не приносила хлопот, ее важно правильно оформить.
Для этого нужно заполнить форму на сайте: в онлайне или распечатать и принести в отделение по месту жительства. На первый взгляд форма кажется несложной со списками и подсказками. На самом деле нужно внимательно подходить к каждому пункту:
Для этого нужно заполнить форму на сайте: в онлайне или распечатать и принести в отделение по месту жительства. На первый взгляд форма кажется несложной со списками и подсказками. На самом деле нужно внимательно подходить к каждому пункту:
1. Выбрать из списка или вписать вручную категорию субъектов ПД.
У застройщика это будут потенциальные клиенты, покупатели, работники, контрагенты, посетители офисов и строительных площадок, арендаторы, семья покупателя, наследники и правопреемники, участники банкротных процедур;
2. Обозначить цель обработки ПД
Она должна быть конкретной, законной и соответствовать категории субъекта. Конструктор на сайте Роскомнадзора предлагает общие формулировки, поэтому поле с целями лучше заполнить самостоятельно;
У застройщика это будут потенциальные клиенты, покупатели, работники, контрагенты, посетители офисов и строительных площадок, арендаторы, семья покупателя, наследники и правопреемники, участники банкротных процедур;
2. Обозначить цель обработки ПД
Она должна быть конкретной, законной и соответствовать категории субъекта. Конструктор на сайте Роскомнадзора предлагает общие формулировки, поэтому поле с целями лучше заполнить самостоятельно;
«Обработка для улучшения сервиса» — нарушение принципа конкретности
«Исполнение договора ДДУ: идентификация стороны, регистрация права собственности в Росреестре, расчет платежей, оформление налогового вычета»
«Сбор данных для маркетинга» — не указано конкретное действие
«Предоставление коммерческого предложения по запросу через форму обратной связи; отправка каталога объектов недвижимости; информирование о новых проектах»
3. Выбрать список ПД для работы
В форме есть все от ФИО и ИНН до сведений о состоянии здоровья и голосовых записей;
В форме есть все от ФИО и ИНН до сведений о состоянии здоровья и голосовых записей;
Получить согласие на обработку общих персональных данных можно в любой форме. Чаще всего в офлайне для этого используют бумажный шаблон, а в онлайне чекбокс — пункт, в котором пользователь должен поставить галочку. Чекбокс нужно разместить во всех формах для сбора ПД.
Для специальных и биометрических ПД нужно только письменное согласие на обработку.
Для специальных и биометрических ПД нужно только письменное согласие на обработку.
4. Уточнить правовое основание обработки ПД. Здесь действует правило одна цель — одно правовое основание. Объединить цели можно в случае, если они логически связаны (например, включают все этапы купли-продажи), соответствуют одному основанию обработки (договору, согласию или закону) и не включают специальные и биометрические ПД.
5. Перечислить все действия, которые планируете с ПД.
5. Перечислить все действия, которые планируете с ПД.
Организационные
Определить ответственного за ПД и подтвердить его назначение приказом.
Разработать документы: политика конфиденциальности, положение об обработке ПД работников, журналы учета, акты об уничтожении, приказы и инструкции.
Обучить сотрудников. Из простейшего — запретить пересылать и копировать ПД на личные устройства, научить уничтожать бумаги в шредере.
Технические
Защитить устройства: установить шифровальные средства, антивирусную защиту, пароли и автоблокировку на все ПК, периодически менять пароли и ограничить число неуспешных попыток входа.
Обезопасить передачу данных: создать корпоративную почту, использовать облачные сервисы с шифрованием.
Контролировать доступ: отключить гостевой Wi-Fi от сети с ПД, установить двухфакторную аутентификацию, идентифицировать и аутентифицировать работников от остальных пользователей.
Как гарантировать защиту персональных данных
Меры по защите ПД зависят от того, как хранятся данные: в электронном виде или на бумаге. В последнем случае достаточно ограничить и контролировать физический доступ — хранить документы в сейфе и закрывать комнату на ключ. С электронными данными сложнее: нужно определить тип угрозы и подобрать уровень защищенности.
Как застройщику не промахнуться со сроками
В форме нужно указать дату начала обработки ПД в целом Оператором, а не отдельной категории субъектов. То есть число может совпадать с регистрацией застройщика в ЕГРЮЛ или же фактическим началом сбора и обработки.
Для посетителей сайта началом обработки будет дата заполнения формы (телефон / email) или активации cookie, окончанием — любой срок, который указан в согласии или самостоятельный отзыв согласия.
Для посетителей сайта началом обработки будет дата заполнения формы (телефон / email) или активации cookie, окончанием — любой срок, который указан в согласии или самостоятельный отзыв согласия.
С 2025 года cookie-файлы требуют отдельного согласия. Его можно получить через баннеры с опцией выбора категорий данных. Обычно в них обозначены обязательные, аналитические и маркетинговые цели. Пользователь сам настраивает, на какие из них дает согласие.
Для покупателей началом обработки будет дата подписания договора или заявки, окончанием — истечение срока хранения основных данных (паспорт и ИНН хранятся 10 лет) и иных данных (хранятся от 3 до 5 лет).
Согласие на обработку ПД нельзя включать в договор ДДУ. Оно оформляется отдельным документом, например, с целью рекламных рассылок. Срок указывается там же — отдельно в согласии.
Для работников началом обработки будет дата заполнения анкеты соискателя и / или заключения трудового договора, окончанием — истечение трудового договора.
Если работник подписывал соглашение о конфиденциальности, его ПД могут храниться 3−5 лет после увольнения.
Биометрические данные (например, отпечатки для входа) удаляются из баз сразу после увольнения. С 30 мая 2025 года штраф за нарушение порядка обработки биометрии до 1 млн рублей, а за утечку — до 20 млн рублей.
Биометрические данные (например, отпечатки для входа) удаляются из баз сразу после увольнения. С 30 мая 2025 года штраф за нарушение порядка обработки биометрии до 1 млн рублей, а за утечку — до 20 млн рублей.
Для посетителей офисов и строительных объектов началом обработки будет дата подписания согласия и / или первый вход на территории по биометрии, окончанием — достижение цели, срок в согласии или самостоятельный отзыв согласия.
Для контрагентов и партнеров началом обработки будет дата заключения договора или дата предварительные переговоров, получения визитки и письма с предложением, окончанием — прекращение договора или достижение цели.
Топ советов, которые помогут избежать нарушений
Не запрашивайте лишние данные. Для обратного звонка достаточно телефона, а для договора ДДУ — ФИО, контактов и реквизитов платежа.
Подписывайте отдельное согласие для рекламы и рассылок. После продажи квартиры использовать данные клиента для продаж других проектов нельзя. Если хотите оставаться на связи, получите на это согласие. И добавьте кнопку «Отписаться» в каждое письмо и СМС.
Шифруйте данные. Храните сканы паспортов в зашифрованных облаках, настройте пересылку ПД только по корпоративной почте с VPN и заключайте с работниками соглашение о конфиденциальности.
Хранить данные клиентов и CRM можно только на базах и ресурсах, которые находятся на территории РФ. К примеру, к ним относятся Yandex Cloud, SberCloud Advanced, Битрикс24 и не относится Google Forms.
Контролируйте доступ. Не давайте всем сотрудникам доступ ко всей информации — сегментируйте его по задачам. Отделу продаж нужны контакты и не нужен ИНН, а бухгалтерии нужны реквизиты и не нужна информация об образовании. Ограничьте список лиц, кто может получить ПД.
Дополните договор с подрядчиками полезным пунктом об обязанности «хранить ПД на шифрованных носителях и удалить после завершения работ», если передаете данные клиентов. В случае утечки это поможет разделить ответственность.
Правильно и вовремя удаляйте данные. Контролируйте сроки обработки и хранения ПД и не используйте их после истечения срока. Не забывайте уничтожать бумаги: идея хранить «на всякий случай» вне закона.
Обучайте сотрудников. Проводите тренинги и курсы по работе с ПД. Это касается всех, кто работает с данными: менеджеров отдела продаж, HR-специалистов, IT-администраторов, бухгалтеров и даже охранников.
Чек-лист, как правильно заполнить уведомление в РКН
Для вашего удобства мы разработали чек-лист который поможет вам заполнить уведомление в Роскомнадзор.
Скачать чек-лист
Скачать чек-лист
Подпишитесь в Телеграмм