- Как эволюционирует рынок персональных данных и что меняется при повышении штрафов
- Практические аспекты работы с персональными данными - согласия, цели и политика конфиденциальности
- Критерии персональных данных
- Трансграничная передача данных и искусственный интеллект – новые вызовы в сфере управления персональными данными
Выступление Артура Леера, вице-президента Ассоциации экспортеров и импортеров, Управляющего партнера ЮК Лекс Альянс, в рамках V Ежегодного Всероссийского форума по сбору и анализу данных в маркетинге «MARKETING DATA ANALYTICS 2025» прошедшего 24-26 сентября 2025 года в Москве.
Как эволюционирует рынок персональных данных и что меняется при повышении штрафов
Несмотря на то, что законодательная база в сфере регулирования персональных данных была заложена в России достаточно давно, реальное внимание компаний к вопросам защиты и обработки этой информации стало проявляться лишь с ростом штрафных санкций. В 2025 году изменилась ответственность – штрафы выросли не в два раза, а в десятки раз.
На текущий момент количество дел по нарушениям в сфере персональных данных растет, и ожидается, что эта тенденция будет только усиливаться. Поскольку, во-первых – бюджету нужны дополнительные средства, а во-вторых – вопросы защиты личной информации вызывают все большую обеспокоенность у государства и общества.
Одной из основных сложностей, с которыми сталкиваются компании, работающие с персональными данными, это правильное понимание требований законодательства, поскольку:
- Законодательство и практика Роскомнадзора часто не дают четких и однозначных ответов, что вызывает необходимость постоянных запросов и аудитов.
- Отсутствие прозрачных трактовок ведет к тому, что суды чаще встают на сторону контролирующих органов.
Артур Леер: «Судебная система все чаще встает на сторону Роскомнадзора, поскольку процесс работы с персональными данными очень сильно зарегулирован и нет прозрачных трактовок. В этой ситуации запросы – это один из инструментов, чтобы получить какую-то фундаментальную обратную связь. На основании полученных ответов нужно постоянно делать аудит своей системы, работы с персональными данными».
Практические аспекты работы с персональными данными - согласия, цели и политика конфиденциальности
Другим вызовом в плане соблюдения законодательства при работе с персональными данными являются технические аспекты: правильный сбор, систематизация, хранение и уничтожение данных. Кроме того, часто компании не готовы использовать корректное программное обеспечение и правильно выстроить процессы обработки данных.
Артур Леер: «Сейчас компаниям, как никогда раньше, необходимо пересматривать политику работы с персональными данными. Вносить в документы изменения, чтобы они соответствовали требованиям действующего законодательства. Если вы меня спросите, насколько это сложно, то это очень сложно! Потому что в данном случае в основе соблюдения нормативов, в первую очередь, лежит не юридическая плоскость, а техническое исполнение взаимодействия с персональными данными».
Важными аспектами при работе компаний с персональными данными являются:
- Корректное определение целей обработки персональных данных. Они должны быть конкретными и понятными. Например, «улучшение сервиса» – некорректная цель, а «анализ поведения на сайте» – корректная.
- Ссылка на политику конфиденциальности должна быть видна и доступна до того, как пользователь нажмет кнопку «Согласен».
- Нельзя проставлять согласие за пользователя заранее – он должен сделать это самостоятельно (например, поставить галочку). Другая частая ошибка – размещение политики конфиденциальности в подвале сайта без возможности быстрого ознакомления.
- Необходимо правильно разделять согласия по целям и субъектам обработки. Для разных целей (реклама и обработка персональных данных) нужны отдельные согласия. При совместных мероприятиях, например, с партнерами согласия должны четко отражать, кто и с какой целью обрабатывает данные.
- Ответственность за передачу персональных данных третьим лицам без уведомления и согласия пользователя является нарушение, за которое несет ответственность передающая сторона. Поэтому в договорах с партнерами и подрядчиками необходимо четко прописывать условия обработки и передачи персональных данных.
- Данные должны храниться только в течение срока, необходимого для достижения целей обработки. После этого их необходимо уничтожить с соблюдением всех требований. Кроме того, в политике необходимо указывать сроки хранения и порядок уничтожения данных.
Критерии персональных данных
Необходимо четко понимать, персональные данные – это не только имя и фамилия, но и любые сведения, позволяющие идентифицировать человека (фото, голос, IP-адрес, куки). Особое внимание требуется уделять обработке биометрических данных. Они требуют дополнительных мер защиты.
К персональным данным относится все, что позволяет идентифицировать личность пользователя:
- Имя + телефон.
- Имя + e-mail.
- ФИО + место работы.
- Ник в соцсетях + любая идентифицирующая информация.
- Даже просто один номер телефона или e-mail, если по нему можно идентифицировать человека.
Не являются персональными данными те данные, которые не раскрывают подробную информацию о пользователе:
- Только имя и фамилия (без дополнительной информации).
- Нечеткое (заблюренное) фото + только имя.
- Обезличенные данные для аналитики.
Артур Леер: «Например, вот сидит молодой человек в красном свитере. Он единственный, кто сидит в этой аудитории в красном свитере. И если я буду собирать персональные данные и брать за критерий красный свитер, то красный свитер будет его идентифицировать, поскольку такого больше ни у кого нет. Это уже персональные данные. То есть все, что позволяет выделить вашего пользователя среди других, это персональные данные».
Трансграничная передача данных и искусственный интеллект – новые вызовы в сфере управления персональными данными
Вопросы трансграничной передачи данных представляют собой отдельный и наиболее сложный пласт регулирования. Использование популярных зарубежных сервисов, таких как Google Analytics или Google Drive, автоматически влечет за собой передачу персональных данных за пределы России.
Роскомнадзор крайне негативно относится к таким фактам и накладывает на нарушителей крупные штрафы. Это вынуждает компании переходить на отечественные аналоги и сервисы, способные обеспечить локальное хранение и обработку данных на территории России.
Также необходимо учитывать, что использование нейросети в маркетинге не гарантирует сохранение данных, поскольку нейросети по умолчанию не отвечают требованиям конфиденциальности.
Нейросети обучены на открытых базах, и не различают по умолчанию конфиденциальную и публичную информацию. Исключение составляют корпоративные версии сервисов с гарантией конфиденциальности.
Чтобы решить этот вопрос, необходимо:
- Использовать только лицензионные версии нейросетей.
- Выбирать сервисы с гарантией конфиденциальности и удалением данных после обработки.
- Документировать, какие данные обрабатываются и какими ИИ-моделями.
- Разработать внутренний реестр процессов обработки данных с помощью ИИ.
- Предупреждать пользователей, что ИИ используется в целях обработки персональных данных.
На нашем сайте доступны программы ближайших форумов, списки спикеров и другая информация о наших проектах.
#mda #marketing #анализданных #dataanalytics #interforum #interforums #мероприятия #маркетинг
11 дней
В условиях конкурентного рынка постоянная адаптация пользовательского интерфейса и развития удобства мобильной версии сайта или приложения напрямую…
18 дней
Крупнейший профессиональный форум в России и странах СНГ, ориентированный на персональных ассистентов и секретарей высшего руководства. Профессиональные…
