Персональные данные: особенности работы в 2025 году

В 2025 году роль персональных данных в электронной коммерции выходит на первый план. Речь давно уже не идет о простой аналитике. Данные клиентов позволяют строить поведенческие модели, прогнозировать покупки, персонализировать рекламу и усиливать лояльность посетителя. Управляющий партнер 1ОПД Марина Александровская рассказывает о том, как сейчас работать с персональными данными и каких ошибок стоит избегать. 

Почему персональные данные - это новый актив eСommerce

С 2024 года в ритейле стал ощущаться глобальный тренд на уход от third-party cookies. Взамен бизнес начинает вкладываться в сбор first-party data - это собственные данные о клиентах, собранные через форму заказа, подписки, опросы и программы лояльности. У этого метода есть много плюсов. В первую очередь, это легально и безопасно, в случае, если компания оформила все корректно. Кроме того, это обеспечивает высокую точность данных, так как пользователь вводит информацию самостоятельно.

Но есть и минусы: пользователи не всегда охотно оставляют данные, что может снижать конверсию - некоторые покидают веб-ресурс, не заполнив форму. Для электронной коммерции каждый процент в воронке покупателя - значимые деньги. В то же время данный способ будет получать все более широкое применение. Это дает больше ценности, хотя и предъявляет высокие требования к контролю за качеством сбора и обработки данных. А в этом году риски ответственности за нарушения в области работы с персональными данными существенно увеличиваются.

Краткий обзор изменений в законодательстве по работе с ПД, обновления в 152 ФЗ

Новые угрозы: утечки, мошенничество, штрафы

В 2025 году есть целый ряд изменений, которые коснутся работы с персональными данными и ответственности за нарушения.

1)      Федеральный закон от 28 февраля 2025 г. № 23-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и отдельные законодательные акты Российской Федерации" (вступает в силу 01.07.2025). Закон ужесточает требования к локализации персональных данных граждан Российской Федерации.

Сейчас операторы при сборе персональных данных обязаны использовать базы, находящиеся на территории Российской Федерации.

Ранее закон возлагал обязанность по локализации только на операторов, однако операторы должны были включать в поручение на обработку положения, обязывающие обработчиков выполнять требования по локализации. С июля данное требование будет распространяться и на лиц, обрабатывающих персональные данные по поручению оператора - обработчиков. Поправка также устанавливает более жесткие требования и вводит любое использование зарубежных баз данных под запрет. 

Компании должны внимательно изучить текущие процессы и внести необходимые корректировки. Например, одна из маркетинговых платформ, работающая с зарубежными подрядчиками, была вынуждена пересмотреть 60% договоров, чтобы соответствовать новым требованиям трансграничной передачи.

Если организация, ранее привлекавшаяся к ответственности за утечку персональных данных, повторно допустит неправомерную передачу информации, ей грозит штраф в размере от 1% до 3% совокупного размера выручки, но не менее 20 000 000 рублей и не более 500 000 000 рублей.

3)     Еще один документ пока на стадии законопроекта (№ 679980-8). Предлагается внести поправки:

●        в закон № 2300-1 "О защите прав потребителей" о запрете продавцам ограничивать доступ потребителя к информации о товарах, услугах, работах в связи с отказался предоставить свои персональные данные;

●        в закон № 152-ФЗ о запрете включения согласия на обработку персональных данных в состав других документов, подписываемых субъектом.

Данный законопроект находится на рассмотрении, но уже принят Госдумой в первом чтении.

Рост киберугроз и утечек

По данным Роскомнадзора, в 2024 году зафиксировано более 1500 обращений о нарушениях в области ПДн только от потребителей. Утечки чаще всего происходят из-за следующих факторов:

• отсутствия внутреннего реестра согласий;
• слабой защиты API и внутренних систем;
• передачи данных подрядчикам без должного договора поручения или слабо защищенным каналам.

В eСommerce особенно уязвимы:

• формы подписки и регистрации;
• CRM-системы;
• системы email-маркетинга и ретаргетинга.

Важно обеспечить не только корректный сбор согласий пользователей, но и проверить весь процесс обработки, хранения и передачи данных как внутри компании, так и внешним партнерам.

Новые технологии защиты данных: развитие искусственного интеллекта и машинного обучения для анализа данных

В условиях ужесточения регулирования и роста пользовательской чувствительности к своей приватности, бизнес массово внедряет технологии защиты персональных данных.

• Шифрование и токенизация пользовательских данных: данные клиентов заменяются уникальными идентификаторами (user ID), исключающими прямую идентификацию;
• Автоматизация управления согласиями: внедряются решения, фиксирующие кто, когда, на что именно дал согласие;
• Аудит и классификация данных с помощью ML-алгоритмов - определение чувствительности данных и выявление зон риска;
• Реестры согласий и логирование всех действий с ПДн (в т.ч. сотрудниками и подрядчиками).

Отдельно можно выделить развитие AI в 2025 году в контексте персональных данных - это не только про риски, но и про новые возможности. E-commerce игроки активно внедряют AI-инструменты не только в базовые процессы маркетплейса (рекламные кампании, предиктивная аналитика, службы поддержки), но и в части работы с персональными данными.

• Обнаружение аномалий - автоматическое выявление попыток несанкционированного доступа или передачи данных третьим лицам;
• AI-помощники для получения согласий - чат-боты, которые объясняют пользователю, на что он соглашается, и фиксируют факт согласия в защищённом журнале;
• Модели классификации данных - определение, какие данные, вносимые в формы сбора являются персональными, чувствительными или биометрическими - и применение соответствующих политик обработки персональных данных. 

• Первая и главная ошибка - это установка "пока штрафы не пришли, можно не беспокоиться". И это самое большое заблуждение. Внимание к вопросам персональных данных постоянно растет, размеры штрафов повышаются. И кроме потенциальных репутационных потерь компании рискуют в какой-то момент получить очень существенные штрафы и последствия для бизнеса.

• Вторая ошибка - формальное согласие на обработку персональных данных или отсутствие ссылки на сам текст согласия в форме сбора. Отсутствие согласия - прямое нарушение 152-ФЗ. Сюда же можно отнести неопубликование политики обработки данных и неподачу уведомления в РКН о начале обработки персональных данных.

• Третья ошибка - хранение персональных данных за пределами РФ (нарушение локализации). Иногда бизнес использует ранее настроенные CRM-системы, почтовый сервис или систему аналитики, которые в свою очередь используют серверы за границей без подтвержденного хранения на территории РФ. С этого года это может очень дорого обойтись. Необходимо проверить все системы и сервисы компании и использовать только отечественные облачные платформы или зарубежные, но официально имеющие дата-центры в РФ.

• Четвертая ошибка - это запуск сайтов или рекламных кампаний без заблаговременного решения вопроса по сбору и обработке персональных данных. Довольно часто наблюдается ситуация: маркетологи решили запустить новый лендинг или промо-акцию, в течение двух месяцев работали над идеей и визуалами, все подготовили к запуску, но абсолютно забыли про настройку работы с персональными данными потенциальных участников акции. В результате - юристы или специалисты по кибербезопасности блокируют запуск РК на долгое время. И маркетологи начинают экстренно решать вопрос: к кому идти, куда бежать, чтобы как можно скорее решить вопрос с корректным сбором данных.

•  Ну и, наконец, пятая ошибка - передача данных подрядчикам без договора или с нарушением. Например, сбор производится в полном соответствии с законом, но далее информация о клиентах передается службе доставки, маркетинговому агентству или разработчику без договоров поручения на обработку ПДн. Крайне важно провести аудит договоров с подрядчиками, с которыми вы обмениваетесь данными ваших клиентов. 

Персональные данные становятся самостоятельным экономическим активом. В ближайшие 3-5 лет можно ожидать:

• Рост числа регуляторных требований - как на федеральном, так и на международном уровне. Несмотря на ужесточения 152-ФЗ в России, во многих странах есть и гораздо более жесткие требования (например GDPR в Европе). Компании будут обязаны демонстрировать не только факт получения согласий, но и доказательства безопасной обработки и хранения данных;

• Развитие privacy by design - проекты и сервисы будут изначально строиться с учетом защиты данных: от проектирования интерфейсов до архитектуры IT-систем;

• Человеческий фактор - как и в других отраслях, любая новая специальность порождает нехватку профессиональных кадров. Этот тренд уже виден - бизнесу не хватает специалистов в области технологий с глубоким знанием регулирования персональных данных.

• Развитие локальных технологических решений - рост интереса к отечественным облачным решениям, инструментам управления данными и защите от утечек;

• Обмен данными как модель бизнеса - появятся платформы, где пользователи смогут контролировать, кому и на каких условиях они передают свои ПДн (data wallets);

• AI и нейросети для мониторинга рисков - искусственный интеллект будет не только инструментом для обработки, но и механизмом защиты, автоматически выявляющим нарушения или предупреждающим о слабых местах и потенциальных угрозах.

Бизнесу важно быть гибким: адаптация к этим сценариям даст преимущество не только в правовом поле, но и в завоевании доверия потребителя.