Персональные данные: Как застройщикам не нарваться на новые штрафы

Ситуация: застройщик «СеверСтройНавсегда» продает квартиры в новом ЖК. Чтобы поскорее закрыть план, отдел продаж решает обзвонить старые базы данных. Вроде привычное действие — кому не звонили из стоматологий, в которых вы лечили зубы на первом курсе? Но не в этот раз: «СеверСтройНавсегда» прилетел иск за обработку персональных данных без согласия. Теперь на застройщике штраф 300 000 рублей, который может вырасти за повторное нарушение до 1 млн рублей.

30 мая 2025 года вступили в силу поправки в законе о персональных данных. Кроме ощутимо приумноженных размеров штрафов, есть новые пункты. Например, теперь будут наказывать за неподачу уведомлений о сборе и обработке персональных данных в Роскомнадзор. Что об этом нужно знать застройщикам — рассказывает «Горилла» и юрист Айдар Метшин. В конце есть несколько скриптов на все случаи, а еще чек-лист, который вас выручит!

Девелоперы взаимодействуют со штатными сотрудниками и фрилансерами, потенциальными и реальными клиентами, партнерами и подрядчиками. Каждая группа делится некоторыми персональными данными для самых разных целей: от юридических до маркетинговых и аналитических. Чтобы личная информация работала на застройщика и не приносила хлопот, ее важно правильно оформить.

Перед началом обработки ПД нужно заполнить форму на сайте Роскомнадзора: онлайн или распечатать и принести в территориальный орган Роскомнадзора по месту регистрации вашей организации, или направить почтой РФ. На первый взгляд форма кажется несложной со списками и подсказками. На самом деле нужно внимательно подходить к каждому пункту👇

1) выбрать из списка или вписать вручную категорию субъектов ПД

У застройщика это будут потенциальные клиенты, покупатели, работники, контрагенты, посетители офисов и строительных площадок, арендаторы, семья покупателя, наследники и правопреемники, участники банкротных процедур.

2) обозначить цель обработки ПД

Цель должна быть конкретной, законной и соответствовать категории субъекта. Конструктор на сайте Роскомнадзора предлагает общие формулировки, поэтому поле с целями лучше заполнить самостоятельно.

3) выбрать список ПД для работы

В форме есть все от ФИО и ИНН до сведений о состоянии здоровья и голосовых записей.

Получить согласие на обработку общих персональных данных можно в любой форме. Чаще всего в офлайне для этого используют бумажный шаблон, а в онлайне чекбокс — пункт, в котором пользователь должен поставить галочку. Чекбокс нужно разместить во всех формах для сбора ПД.

❗Для специальных и биометрических ПД нужно только письменное согласие на обработку.

4) уточнить правовое основание обработки ПД

Здесь действует правило одна цель — одно правовое основание. Объединить цели можно в случае, если они логически связаны (например, включают все этапы купли-продажи), соответствуют одному основанию обработки (договору, согласию или закону) и не включают специальные и биометрические ПД.

5) перечислить все действия, которые планируете с ПД

Меры по защите ПД зависят от того, как хранятся данные: в электронном виде или на бумаге. В последнем случае достаточно ограничить и контролировать физический доступ — хранить документы в сейфе и закрывать комнату на ключ. С электронными данными сложнее: нужно определить тип угрозы и подобрать уровень защищенности.

В форме нужно указать дату начала обработки ПД в целом Оператором, а не отдельной категории субъектов. То есть число может совпадать с регистрацией застройщика в ЕГРЮЛ или же фактическим началом сбора и обработки.

— Для посетителей сайта началом обработки будет дата заполнения формы (телефон / email) или активации cookie, окончанием — любой срок, который указан в согласии или самостоятельный отзыв согласия.

❗С 2025 года cookie-файлы требуют отдельного согласия. Его можно получить через баннеры с опцией выбора категорий данных. Обычно в них обозначены обязательные, аналитические и маркетинговые цели. Пользователь сам настраивает, на какие из них дает согласие.

— Для покупателей началом обработки будет дата подписания договора или заявки, окончанием — истечение срока хранения основных данных (паспорт и ИНН хранятся 10 лет) и иных данных (хранятся от 3 до 5 лет).

❗ Согласие на обработку ПД нельзя включать в договор ДДУ. Оно оформляется отдельным документом, например, с целью рекламных рассылок. Срок указывается там же — отдельно в согласии.

— Для работников началом обработки будет дата заполнения анкеты соискателя и / или заключения трудового договора, окончанием — истечение трудового договора.

— Для посетителей офисов и строительных объектов началом обработки будет дата подписания согласия и / или первый вход на территории по биометрии, окончанием — достижение цели, срок в согласии или самостоятельный отзыв согласия.

— Для контрагентов и партнеров началом обработки будет дата заключения договора или дата предварительные переговоров, получения визитки и письма с предложением, окончанием — прекращение договора или достижение цели.

Квартиры распродали, дом сдали — застройщик закончил работать с персональными данными клиентов, партнеров и работников строительной бригады. Об этом не нужно отчитываться Роскомнадзору, но важно зафиксировать у себя. РКН есть смысл уведомлять, если застройщик ликвидирован как юрлицо, изменились цели обработки и данные оператора, случилась утечка ПД.

После того как застройщик закончит обрабатывать и хранить ПД, он должен:

1) удалить данные из CRM и маркетинговых баз;

2) физически уничтожить бумаги;

3) удалить контакты из рассылок;

4) очистить cookie: если не было согласия на хранение;

5) сделать остальные действия, прописанные в положении об обработке ПД.

— Не запрашивайте лишние данные

Для обратного звонка достаточно телефона, а для договора ДДУ — ФИО, контактов и реквизитов платежа.

— Подписывайте отдельное согласие для рекламы и рассылок

После продажи квартиры использовать данные клиента для продаж других проектов нельзя. Если хотите оставаться на связи, получите на это согласие. И добавьте кнопку «Отписаться» в каждое письмо и СМС.

— Шифруйте данные

Храните сканы паспортов в зашифрованных облаках, настройте пересылку ПД только по корпоративной почте с VPN и заключайте с работниками соглашение о конфиденциальности.

❗ Хранить данные клиентов и CRM можно только на базах и ресурсах, которые находятся на территории РФ. К примеру, к ним относятся Yandex Cloud, SberCloud Advanced, Битрикс24 и не относится Google Forms.

— Контролируйте доступ

Не давайте всем сотрудникам доступ ко всей информации — сегментируйте его по задачам. Отделу продаж нужны контакты и не нужен ИНН, а бухгалтерии нужны реквизиты и не нужна информация об образовании. Ограничьте список лиц, кто может получить ПД.

— Дополните договор с подрядчиками полезным пунктом об обязанности «хранить ПД на шифрованных носителях и удалить после завершения работ», если передаете данные клиентов. В случае утечки это поможет разделить ответственность.

Чек-лист, как правильно заполнить уведомление в РКН

Скачивайте чек-лист, отмечайте выполненные пункты и держите под защитой ваши персональные данные 🙏