Парсинг персональных данных: как не попасть под штрафы РКН

Парсинг сам по себе — всего лишь способ собрать данные. Проблемы начинаются, когда вы собираете сведения, по которым можно идентифицировать человека, и затем храните/используете/передаете их. Тогда вы почти наверняка попадаете в контур 152-ФЗ и становитесь “оператором” персональных данных — со всеми обязанностями и штрафными рисками.

Что считается персональными данными и почему “публично в интернете” ≠ “можно массово собирать”

По 152-ФЗ персональные данные — это любая информация, относящаяся к прямо или косвенно определенному (определяемому) физлицу.
Там же определено, что “обработка” — это практически любые действия с ПДн: сбор, запись, хранение, извлечение, использование, передача, удаление и т.д.

Отдельно важный нюанс: закон выделяет персональные данные, разрешенные субъектом для распространения — это данные, доступ к которым открыт “неограниченному кругу лиц” путем специального согласия в установленном порядке.
То есть “человек где-то написал телефон” и “человек дал корректное согласие на распространение” — не одно и то же.

Практический вывод: “мы нашли контакты в открытом доступе” — слабая позиция, если вы:

• собираете данные массово,
• создаете свою базу,
• используете для маркетинга/скоринга/подбора,
• передаете третьим лицам.

Когда парсинг становится обработкой ПДн, а вы — оператором

Если вы определяете цели (зачем) и средства (как) обработки — вы оператор.
Типичный пример: “спарсим email/телефоны → загрузим в CRM → сделаем рассылку/обзвон”. Здесь есть сбор + хранение + использование → это обработка ПДн.

Где чаще всего “ловят” бизнес: сценарии повышенного риска

1. Парсинг телефонов/email с сайтов/каталогов “для лидогенерации” и дальнейших рассылок/обзвонов.
2. Парсинг профилей/аккаунтов из соцсетей: никнеймы, ссылки на аккаунт, фото, сообщения, комментарии.
3. Парсинг резюме/кандидатов и построение собственной базы.
4. Отзывы/вопросы-ответы, где пользователи оставляют ФИО и контакты.
5. B2B-контакты: “рабочая почта вида ivanov@company.ru” нередко все равно идентифицирует человека, а значит может считаться ПДн в конкретном контексте (это решается по фактам и целям обработки).

А вот парсинг рыночных данных (цены, наличие, характеристики товаров) обычно проще с точки зрения ПДн — пока вы не начинаете одновременно тянуть пользовательские данные (логины, имена в отзывах, профили и т.д.) “за компанию”.

На чем держится законность обработки: какие основания бывают

Обработка ПДн допускается в перечисленных законом случаях: например, на основании согласия, исполнения договора, требований закона, и в ряде других ситуаций. Это прямо перечислено в ст. 6 152-ФЗ.

Что важно в контексте парсинга:

• Если ваше основание — согласие, оно должно быть получено корректно и под вашу цель (а не “где-то когда-то”).
• Если основание — договор, обработка должна быть действительно нужна для исполнения/заключения договора с субъектом.
• “Мы нашли в интернете” не равно “у нас есть основание”. Это скорее про источник, а не про правомерность.

Уведомление РКН: когда нужно и какие есть исключения

По ст. 22 152-ФЗ оператор до начала обработки обязан уведомить уполномоченный орган (РКН) о намерении обрабатывать ПДн — кроме исключений, перечисленных в той же статье.

Сейчас в ст. 22 среди исключений, в частности, упоминаются случаи:

• данные в гос. информационных системах определенного назначения,
• обработка исключительно без средств автоматизации,
• некоторые кейсы, связанные с транспортной безопасностью.

Также ст. 22 устанавливает обязанности:

• уведомлять об изменениях сведений не позднее 15-го числа следующего месяца,
• уведомлять о прекращении обработки в течение 10 рабочих дней.

Инциденты (утечки): сроки, которые нельзя пропускать

Если установлен факт неправомерной/случайной передачи (распространения/доступа) ПДн, повлекшей нарушение прав субъектов, оператор обязан уведомить РКН:

• в течение 24 часов — первичное уведомление (что случилось, причины, вред, меры, контакт ответственного),
• в течение 72 часов — результаты внутреннего расследования и сведения о лицах, действия которых стали причиной (если есть).

Это один из самых “штрафоопасных” моментов: даже если сама утечка спорная по масштабу, пропуск сроков уведомления — отдельный состав.

Штрафы: за что наказывают чаще всего (и как подстелить соломку)

Ниже — практическая таблица по типовым нарушениям (ориентируйтесь на актуальную редакцию КоАП РФ, ст. 13.11).
Существенное ужесточение ответственности привязано к изменениям, действующим с 30 мая 2025 года.

Нарушение	Норма	Риск/штраф (примерно для юрлица)	Как снизить риск
Не уведомили (или опоздали) с уведомлением о намерении обрабатывать ПДн	КоАП ст. 13.11 ч. 10	100–300 тыс. ₽ (для должностных лиц 30–50 тыс. ₽)	Подать уведомление до старта, вести реестр целей/категорий ПДн, поставить напоминания на изменения
Не уведомили/опоздали с уведомлением об инциденте (утечке)	КоАП ст. 13.11 ч. 11 + сроки из 152-ФЗ ст. 21 ч. 3.1	1–3 млн ₽ (для должностных лиц 400–800 тыс. ₽)	Инцидент-регламент, ответственные, шаблоны уведомлений, мониторинг, учения “tabletop”
Утечка/неправомерный доступ: 1 000–10 000 субъектов (и/или 10 000–100 000 идентификаторов)	КоАП ст. 13.11 ч. 12	3–5 млн ₽	Минимизация собираемых полей, контроль доступа, шифрование, журналирование, DLP/контроль выгрузок
Утечка: 10 000–100 000 субъектов (и/или 100 000–1 000 000 идентификаторов)	КоАП ст. 13.11 ч. 13	5–10 млн ₽	То же + сегментация, отдельные контуры для прод/тест, регулярные проверки прав доступа
Утечка: более 100 000 субъектов (и/или > 1 000 000 идентификаторов)	КоАП ст. 13.11 ч. 14	10–15 млн ₽	То же + hardening инфраструктуры, контроль подрядчиков, быстрый IR-процесс
Повторная утечка: оборотные штрафы	КоАП ст. 13.11 (оборотная санкция)	1–3% выручки, но не менее 20 млн ₽ и не более 500 млн ₽	После инцидента фиксировать меры, закрывать первопричину, аудит ИБ и процессов, контроль изменений

Организационный минимум: документы и процессы, без которых риск растет

Если вы парсите ПДн (или рискуете случайно их собрать), базовый “комплект” обычно включает:

• Публичная политика обработки ПДн (на сайте).
• Реестр процессов: цели, категории субъектов, категории данных, сроки хранения, основания.
• Регламент работы с запросами субъектов (доступ/уточнение/удаление).
• Регламент хранения и удаления: “не храним вечно”.
• Договоры/поручения с подрядчиками, кто обрабатывает ПДн по вашему поручению (если привлекаете). (Логика поручения и ответственности следует из ст. 6 152-ФЗ.)
• Инцидент-регламент под 24/72 часа.

Технические меры: privacy-by-design для задач парсинга

Самые “окупаемые” меры (и часто самые недооцененные):

1. Минимизация: собирайте только то, что нужно под цель (не “на всякий случай”).
2. Разделяйте контуры: prod/test, доступы по ролям, отдельные ключи/права.
3. Шифрование в хранении и передаче, особенно при экспортах и бэкапах.
4. Журналирование: кто выгружал, куда, когда, сколько записей.
5. Контроль выгрузок: ограничения на массовый экспорт, approvals на большие выборки.
6. Псевдонимизация/хэширование, где это допустимо по задаче (например, для дедупликации без хранения “чистых” контактов).

Типовые ошибки, которые приводят к штрафам

• Парсинг контактов “в лиды” без понятного основания из ст. 6.
• Нет уведомления в РКН до старта обработки.
• Непонимание, что “обработка” — это не только сбор, но и хранение/использование/передача.
• Данные лежат в Google Sheets/Excel “у всех”, без ролей и логов.
• Нет сроков хранения и удаления (база копится годами).
• Подрядчик “что-то делает с базой”, но договорно не оформлено поручение/ответственность.
• Инцидент случился — времени нет, кто уведомляет РКН и как — неизвестно (а сроки 24/72 часа уже идут).