Персональные данные (ПД)

Представьте ситуацию: маркетолог запускает опрос клиентов. Последний вопрос — «Оставьте email, чтобы мы могли связаться с вами по результатам». 300 человек оставили адреса.

Через месяц компания получает жалобу в Роскомнадзор: один из респондентов утверждает, что его данные обрабатываются без согласия. Маркетолог удивлён: «Он же сам вписал email!». Но «вписал» — не равно «дал согласие на обработку». ФЗ-152 требует конкретного, информированного и осознанного согласия: что именно собирается, зачем, кем обрабатывается, как долго хранится. Одного поля для email недостаточно. Для тех, кто проводит опросы — а особенно для тех, кто собирает контактные данные, — понимание закона о персональных данных не факультативно, а обязательно.

Что такое персональные данные

Персональные данные (ПД) — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Федеральный закон №152-ФЗ «О персональных данных» определяет правила их сбора, хранения, обработки и передачи на территории России.

Что считается персональными данными? Не только ФИО и паспортные данные. Это любая информация, по которой можно идентифицировать конкретного человека:

• ФИО, дата рождения, адрес
• Email, номер телефона
• IP-адрес, cookie-файлы (в контексте, позволяющем идентификацию)
• Фотографии, видеозаписи
• Данные о здоровье, политических взглядах, религии (специальные категории — повышенная защита)
• Комбинация данных: «мужчина, 34 года, главный бухгалтер, Нижний Новгород» — может быть достаточна для идентификации

Ключевой критерий: если по совокупности данных можно определить, кто именно этот человек, — это персональные данные. Даже если по отдельности каждый параметр анонимен.

При чём тут опросы

Опросы — один из самых распространённых инструментов сбора информации о людях. И почти любой опрос так или иначе касается персональных данных.

Прямой сбор ПД. Анкета запрашивает имя, email, телефон, должность, название компании. Это очевидные ПД.

Косвенный сбор. Анкета анонимная, но вы рассылаете её по email-базе — значит, вы знаете, кому отправили и кто ответил (по метаданным). Или передаёте ID клиента через скрытую переменную — и можете связать ответ с профилем в CRM.

Случайный сбор. В открытом текстовом поле респондент сам пишет: «Меня зовут Иван Петров, мой номер 8-900-123-45-67, перезвоните». Вы не спрашивали — но данные получили, и теперь обязаны их защищать.

Если ваш опрос собирает хотя бы один элемент, позволяющий идентифицировать человека, — вы оператор персональных данных и обязаны соблюдать требования ФЗ-152.

Что требует ФЗ-152 при проведении опросов

1. Согласие субъекта

Главное требование: субъект должен дать согласие на обработку своих ПД. Согласие должно быть:

• Конкретным — указано, какие именно данные собираются.
• Информированным — субъект знает, кто собирает, зачем, как обрабатывает, кому может передать.
• Осознанным — не мелким шрифтом в углу, а в понятной форме.
• Добровольным — нельзя обусловливать участие в опросе обязательным предоставлением ПД (если это не необходимо для цели обработки).

На практике в онлайн-опросах это реализуется через чекбокс с текстом согласия перед началом анкеты или перед вопросами, запрашивающими ПД. В WebAsk есть встроенный элемент — согласие на обработку персональных данных, который добавляется в анкету в пару кликов.

2. Определение цели обработки

Вы обязаны указать, зачем собираете данные. «Для улучшения качества обслуживания» — допустимо, но размыто. «Для обработки обратной связи по заказу и связи с клиентом в случае необходимости уточнений» — конкретнее и надёжнее. Цель определяет границы: если вы собрали email для связи по результатам опроса, вы не можете использовать его для рекламной рассылки без отдельного согласия.

3. Минимизация данных

Собирайте только те данные, которые необходимы для заявленной цели. Если цель — анонимная оценка удовлетворённости, запрашивать ФИО и телефон избыточно. Этот принцип (data minimization) защищает и респондента, и вас: чем меньше ПД вы храните, тем меньше рисков при утечке.

4. Хранение на территории РФ

ФЗ-152 требует, чтобы базы данных с ПД российских граждан хранились на серверах, расположенных в России (ст. 18, ч. 5). Это важно при выборе платформы для опросов: если сервис хранит данные за рубежом — есть риск нарушения закона.

5. Обеспечение безопасности

Оператор обязан принять технические и организационные меры для защиты ПД: шифрование, контроль доступа, логирование, резервное копирование. Для большинства компаний это означает: выбирайте платформу, которая уже обеспечивает эти меры, а не стройте инфраструктуру самостоятельно.

6. Политика конфиденциальности

Документ, описывающий, как именно вы обрабатываете ПД, должен быть опубликован и доступен субъектам. Обычно это ссылка в подвале анкеты или на сайте компании.

Анонимные опросы и ФЗ-152

Если опрос действительно анонимный — ФЗ-152 не применяется, потому что нет субъекта (невозможно определить, кто ответил). Но «анонимный» — это строгое требование:

• Анкета не запрашивает никаких ПД (ни email, ни телефон, ни имя).
• Ответы не привязаны к идентификаторам (нет скрытых переменных с client_id).
• Метаданные не позволяют идентификацию (IP-адреса не сохраняются или анонимизируются).
• Комбинация ответов не позволяет определить человека (если в компании один 58-летний мужчина-бухгалтер из Саратова — его ответ в «анонимном» HR-опросе де-факто неанонимен).

Если хотя бы одно условие не выполняется — опрос не анонимный, и требования ФЗ-152 применяются в полной мере.

Опросы сотрудников: особые нюансы

HR-опросы — зона повышенного риска, потому что сотрудники часто сомневаются в анонимности.

Проблема доверия. Даже если опрос технически анонимен, сотрудники могут не верить в это — и давать социально желательные ответы. Или вообще не участвовать. Прозрачность — ключ: объясните, как именно обеспечена анонимность, кто видит данные, в каком виде (только агрегированные, без возможности определить конкретного человека).

Маленькие подразделения. Если в отделе 3 человека и вы сегментируете по отделам — анонимность де-факто отсутствует. Установите минимальный порог: результаты по сегменту показываются только если в нём не менее 5–10 ответов.

Согласие в контексте трудовых отношений. Сотрудник может чувствовать давление участвовать в опросе (хотя формально участие добровольное). Это создаёт юридически неоднозначную ситуацию с «добровольностью» согласия. Лучшая практика: сделать участие действительно необязательным и не отслеживать, кто прошёл, а кто нет.

Практические рекомендации

Добавьте согласие в каждый опрос, собирающий ПД. Это занимает 30 секунд в конструкторе и защищает от юридических претензий. В WebAsk элемент согласия — стандартная функция с настраиваемым текстом.

Если ПД не нужны — не собирайте. Самый надёжный способ соблюсти ФЗ-152 — не попадать под его действие. Анонимный опрос без сбора ПД — нулевой юридический риск. Задайте себе вопрос: «Мне действительно нужен email респондента?» Если ответ «для рассылки результатов» — может быть, достаточно показать результат на экране?

Выбирайте платформу с хранением данных в РФ. WebAsk хранит данные на серверах в России, что соответствует требованиям ФЗ-152. Для организаций с повышенными требованиями безопасности доступна коробочная версия — установка на собственные серверы с полным контролем над данными.

Разделяйте ПД и ответы при анализе. Если вам нужны контактные данные для связи — храните их отдельно от ответов. Аналитику проводите по обезличенным данным. Это снижает риски при утечке и упрощает соблюдение принципа минимизации.

Ограничьте срок хранения. ПД должны храниться не дольше, чем необходимо для достижения цели обработки. Опрос завершён, данные проанализированы, отчёт готов — ПД из ответов нужно удалить или обезличить. Установите внутренний регламент: например, ПД из опросов хранятся не более 12 месяцев.

Обучите команду. Маркетолог, HR-менеджер, аналитик — все, кто создают и обрабатывают опросы, должны понимать базовые требования ФЗ-152. Это не работа юриста — это операционная гигиена, как мытьё рук.

Штрафы и ответственность

Нарушение ФЗ-152 влечёт административную ответственность (штрафы для юрлиц — от 60 000 до 500 000 рублей в зависимости от вида нарушения, а при повторных — до 18 миллионов). С 2024 года штрафы существенно увеличены, а Роскомнадзор усилил контроль. Игнорирование требований — рискованная стратегия, особенно при масштабных опросах с тысячами респондентов.

ФЗ-152 — не бюрократическое препятствие, а защита доверия между вами и респондентами. Когда человек заполняет вашу анкету и оставляет свои данные, он доверяет вам. Соблюдение закона — минимальный способ оправдать это доверие. А для бизнеса — способ избежать штрафов, репутационных потерь и потери аудитории, которая перестала верить, что её данные в безопасности.