Твой бизнес в РФ, а данные клиентов в Гугле? РКН уже выехал с паяльником (и штрафом до 18 лямов)
Всем привет! На связи Давид, юрист, который уже 15 лет помогает айтишникам не сесть на бутылку правосудия. И сегодня я принес вам пошаговую инструкцию по выживанию в дивном новом мире 152-ФЗ.
Твое лицо, когда понял, что Google Analytics теперь вне закона
Если вы до сих пор думаете, что хранить данные российских юзеров на серверах Amazon или в какой-нибудь модной заграничной CRM - это норм, то у меня для вас плохие новости. Лавочку прикрыли. Окончательно.
Раньше как было? Ну, нарушаешь ты там что-то, РКН тебе погрозит пальчиком, выпишет штраф размером с твою месячную подписку на Netflix, и все. Теперь же дяди в пиджаках решили, что пора закручивать гайки. И закрутили так, что у многих резьбу сорвало.
TL;DR: Все "серые схемы" с данными россиян заканчиваются. С июля 2025 года, если ты собираешь инфу о гражданах РФ, будь добр сначала положить ее на сервер в России. А потом уже, если очень хочется (и если сможешь), передавай за бугор.
Часть 1. Анатомия страха: че там в законе-то поменялось?
Представьте, что 152-ФЗ - это финальный босс в Dark Souls. Он огромный, страшный и с одного удара сносит все твои ухищрения. Давайте разберем его тактику без паники и заумных слов.
Главный принцип: "Сначала прописка, потом кругосветка"
Логика РКН теперь железобетонная. Когда пользователь на твоем сайте жмет кнопку "Зарегистрироваться", его имя, почта и телефон должны первым делом улететь на сервер, который физически стоит в матушке-России.
И да, Yandex будет ревновать
Было: "Ща соберем данные в нашей любимой американской CRM, а потом как-нибудь скопируем в базу в РФ".
Стало: "Сначала данные на российский сервер, ТОЧКА. Иначе - штраф, @#$ кары, забвение".
Если твои данные летят напрямую в Google Analytics, HubSpot или на ирландский сервер AWS - ты нарушитель. Поздравляю, ты в списке на порку.
Трансграничная передача: получи визу для данных
Передавать за рубеж данные все еще можно. Но теперь это похоже на получение шенгена в разгар пандемии Covid. Особый квест с повышенной сложностью. Теперь нужно:
Уведомить РКН. Рассказать им, куда, зачем и какие данные ты шлешь. По сути, сдать всю свою бизнес-аналитику.
Проверить страну. Есть список «адекватных» стран (типа Беларуси, Казахстана), куда слать проще. А есть «неадекватные» (привет, США и почти вся Европа), для них нужны танцы с бубном и отдельное письменное согласие от юзера.
Получить отдельное согласие. Галочка "согласен со всем" больше не прокатит. Нужно отдельное, явное согласие именно на передачу за границу.
Штрафы: когда кошелек плачет кровавыми слезами
А вот и вишенка на торте. То, ради чего все и затевалось.
Нарушил правило "прописки"? Получи штраф от 1 до 6 миллионов рублей.
Попался второй раз за год? Держи от 6 до 18 миллионов.
Случилась утечка? Готовься к оборотным штрафам. Это когда у тебя откусывают процент от годовой выручки. Для крупной компании это могут быть сотни миллионов.
Ты объясняешь инвестору, куда делись 18 миллионов
Часть 2. Зона поражения: куда целится РКН
Давайте посмотрим, какие привычные инструменты превратились в тыкву.
Маркетинг и аналитика: F to pay respects Google Analytics. Да, ваш любимый GA отправляет IP-адреса и cookie напрямую в Гугл, минуя российские серверы. Это незаконно. Что делать? Переезжать на Яндекс.Метрику или заморачиваться с Server-Side Tagging (дорого, сложно, больно).
Продажи и CRM: твоя база клиентов в заложниках у ФБР (шутка... но не совсем). HubSpot, Salesforce, Zendesk - все эти облачные ребята хранят данные за бугром. Форма "Заказать звонок", которая льет лиды прямо туда, - это мина. Что делать? Мигрировать на Битрикс24, amoCRM или строить сложные гибридные схемы с прокси-сервером в РФ.
Разработка и облака: тучи сгущаются над AWS. Если твоя основная база данных с юзерами из РФ крутится на Amazon, Azure или Google Cloud - упс.
Что делать? Переселяться в российские облака: Yandex Cloud, VK Cloud, Selectel. Альтернативы есть, и они вполне рабочие. Либо колдовать с Server-Side Tagging и проксированием передачи данных.
Часть 3. Операция «Чистые данные»: как не обосраться
Ничего умнее этой картинки для иллюстрации я не придумал
Хватит ныть, пора действовать. Вот краткий план спасения.
Стань Шерлоком. Проведи тотальную инвентаризацию. Нарисуй карту: откуда приходят данные, куда уходят, где хранятся. Ты удивишься, сколько у тебя дыр.
Устрой допрос подрядчикам. Напиши в поддержку всех своих сервисов (от чат-бота до таск-менеджера) прямой вопрос: "Чуваки, где серверы с данными моих российских юзеров?". Требуй письменный ответ.
Причеши бумажки. Перепиши "Политику конфиденциальности" человеческим языком. Сделай отдельные галочки-согласия на разные действия. Это твоя первая линия обороны.
Сдайся РКН. Если еще не подал уведомление об обработке персональных данных на сайте Роскомнадзора - самое время это сделать. Играть в прятки больше не выйдет.
Начинай "Великое переселение". Спланируй и проведи миграцию данных в РФ. Да, это геморрой. Да, это потребует времени и денег. Но это дешевле, чем штрафы.
Эпилог. Новая реальность
Вот такие понятные карточки я сделал в своем телеграм-канале. Забирай и пересылай команде.
Эпоха дикого запада в рунете, когда можно было собирать любые данные и хранить их на калькуляторе в канадском гараже у троюродного брата, закончилась. Теперь за нами следят.
Но есть и плюс: пройдя через этот ад, ты наведешь порядок в своих данных, станешь прозрачнее для пользователей и получишь конкурентное преимущество. Для крупных клиентов в РФ чистота данных - уже не пустой звук.
Я понимаю, что от этого всего голова пухнет, а вникать в юридические талмуды - то еще удовольствие. Действовать нужно уже вчера.
Поэтому, чтобы помочь, в своем телеграм-канале «Юрист без багов» я запилил для вас наглядный и бесплатный «набор выживания»:
Карусель «10 грехов при работе с РКН». Это серия простых картинок-схем. Пролистал за пару минут - и сразу понял, где у тебя горит: аналитика, CRM, облака. Быстрый чек-лист для самопроверки.
Это не реклама, а реальная попытка сэкономить ваши нервы и деньги. Залетайте, там лампово и по делу.
Всем чистых данных и поменьше штрафов!
