• Лента
  • Персональные данные: как застройщику избежать новых штрафов
image
Агентство «Горилла»
Подрядчик
10 дек, 13:36

Персональные данные: как застройщику избежать новых штрафов

Представим ситуацию: девелопер «СеверСтройНавсегда» активно продвигает продажи квартир в новом ЖК и, чтобы быстрее выйти на план, сотрудники решают обзвонить старые клиентские базы. Казалось бы, привычная практика — как те бесконечные звонки из клиник, где ты был один раз сто лет назад. Но здесь всё пошло по-другому: компании пришёл иск за обработку персональных данных без согласия. Итог — штраф 300 000 ₽, а при повторе он легко вырастет до 1 млн ₽.

С 30 мая 2025 года вступили в силу обновления закона о персональных данных. Помимо увеличенных штрафов, появились новые требования, например, обязательная подача уведомления о сборе и обработке ПД в Роскомнадзор. «Горилла» вместе с юристом Айдаром Метшиным разобрали, что теперь нужно учитывать девелоперам и как правильно работать с ПД. В финале — готовые скрипты.

 

Зачем девелоперам нужны персональные данные

 

Строительные компании взаимодействуют с большим количеством людей: сотрудниками, подрядчиками, клиентами, арендаторами, пользователями сайта. Каждый из этих сегментов передаёт свои данные — и юридические, и маркетинговые, и аналитические. Чтобы эта информация была полезной, а не стала причиной штрафов, её необходимо корректно оформлять и защищать.

Для этого нужно заполнить форму на сайте: в онлайне или распечатать и принести в отделение по месту жительства. На первый взгляд всё выглядит просто, но каждый пункт имеет значение:

 

1) Определение категории субъектов ПД

У застройщиков это могут быть: потенциальные покупатели, дольщики, сотрудники, контрагенты, арендаторы, посетители офисов и стройплощадок, наследники и правопреемники.

 

2) Указание целей обработки

Цель должна быть конкретной, законной и соответствовать категории субъектов. Стандартные шаблоны Роскомнадзора лучше не брать — они слишком обобщённые.

 

3) Определение перечня ПД

Система предлагает широкий список — от ФИО до сведений о здоровье и биометрии.

 

4) Основания обработки

Здесь действует правило одна цель — одно правовое основание. Объединить цели можно в случае, если они логически связаны (например, включают все этапы купли-продажи), соответствуют одному основанию обработки (договору, согласию или закону) и не включают специальные и биометрические ПД.

 

5) Описание всех операций с ПД

От сбора до удаления — каждое действие должно быть перечислено.

 

Как обеспечить защиту данных

 

Степень защиты зависит от носителя.

 

  1. Бумажные документы

  • хранить в сейфе;

  • ограничить доступ;

  • фиксировать все перемещения.

     

  1. Электронные данные

     

Требуются организационные и технические меры.

 

КАРТИНКА

 

Как правильно указывать сроки обработки

 

В форме нужно указать дату начала обработки ПД в целом Оператором, а не отдельной категории субъектов. То есть число может совпадать с регистрацией застройщика в ЕГРЮЛ или же фактическим началом сбора и обработки. 

 

Посетители сайта

Начало: дата заполнения формы (телефон / email) или активации cookie

Окончание: любой срок, который указан в согласии или самостоятельный отзыв согласия.

 

❗ С 2025 года cookie-файлы требуют отдельного согласия. Его можно получить через баннеры с опцией выбора категорий данных. Обычно в них обозначены обязательные, аналитические и маркетинговые цели. Пользователь сам настраивает, на какие из них дает согласие.

 

Покупатели

Начало: дата подписания договора или заявки

Окончание: истечение срока хранения основных данных (паспорт и ИНН хранятся 10 лет) и иных данных (хранятся от 3 до 5 лет)

 

❗ Согласие на ПД нельзя включать в ДДУ — только отдельным документом. Срок указывается там же — отдельно в согласии.

 

Работники

Начало: дата заполнения анкеты соискателя и/или заключения трудового договора

Окончание: истечение трудового договора

 

❗ Если работник подписывал соглашение о конфиденциальности, его ПД могут храниться 3–5 лет после увольнения.

 

❗ Биометрические данные (например, отпечатки для входа) удаляются из баз сразу после увольнения. С 30 мая 2025 года штраф за нарушение порядка обработки биометрии до 1 млн рублей, а за утечку — до 20 млн рублей.

 

Посетители офисов / стройплощадок

Начало: дата подписания согласия и / или первый вход на территории по биометрии

Окончание:  достижение цели, срок в согласии или самостоятельный отзыв согласия

Контрагенты и партнеры

Начало: дата заключения договора или дата предварительные переговоров, получения визитки и письма с предложением

Окончание: прекращение договора или достижение цели

Когда дом сдан и все процессы завершены, застройщик должен удалить ПД и зафиксировать факт прекращения обработки. Роскомнадзор уведомлять не нужно, кроме случаев ликвидации, изменения целей или утечки. РКН есть смысл уведомлять, если застройщик ликвидирован как юрлицо, изменились цели обработки и данные оператора, случилась утечка ПД.

 

Что нужно сделать после завершения работы с ПД

  1. Удалить данные из CRM и маркетинговых систем;

  2. Уничтожить бумажные документы;

  3. Убрать контакты из рассылок;

  4. Удалить cookie (если согласия не было);

  5. Выполнить требования своего положения по ПД.

     

Топ-рекомендации, чтобы избежать нарушений

  1. Собирайте только нужные данные. Телефон — для обратного звонка, ФИО и реквизиты — для ДДУ.

     

  2. Отдельное согласие на рекламу. Нельзя использовать данные покупателя для рекламных рассылок по новым проектам без отдельного разрешения. Добавляйте кнопку «Отписаться» в каждое письмо и СМС.

     

  3. Шифруйте всё. Храните сканы паспортов в зашифрованных облаках, настройте пересылку ПД только по корпоративной почте и заключайте с работниками соглашение о конфиденциальности.

     

❗ Хранить данные клиентов и CRM можно только на базах и ресурсах, которые находятся на территории РФ. К примеру, к ним относятся Yandex Cloud, SberCloud Advanced, Битрикс24 и не относится Google Forms.

 

  1. Ограничивайте доступ. Не давайте всем сотрудникам доступ ко всей информации — сегментируйте его по задачам. Отделу продаж нужны контакты и не нужен ИНН, а бухгалтерии нужны реквизиты и не нужна информация об образовании. Ограничьте список лиц, кто может получить ПД.

     

  2. Прописывайте в договорах с подрядчиками обязанность хранить и удалять ПД, если передаете данные клиентов. Это делит ответственность в случае утечки.

     

  3. Удаляйте данные своевременно, контролируйте сроки обработки и хранения ПД. «Хранить на всякий случай» — это нарушение.

     

  4. Обучайте сотрудников. Менеджеров, айтишников, hr-специалистов, бухгалтеров, охрану — всех, кто работает с ПД.

Обновлено:

Недвижимость
Комментировать

Комментарии могут оставлять только авторизованные пользователи