Здравствуйте, Николай!
Тема, которую Вы поднимаете, на сегодняшний день одна из самых динамично меняющихся в российском праве. После принятия Федерального закона от 14 июля 2022 года № 266-ФЗ и Федерального закона от 30 ноября 2024 года № 420-ФЗ режим обработки персональных данных и ответственность за его нарушение существенно ужесточились, и старые ориентиры по штрафам уже не работают. Постараюсь по существу ответить на каждый из четырёх вопросов, начав с принципиального правового положения, без которого остальные ответы повисают в воздухе.
Сначала о квалификации имени и возраста как персональных данных. По пункту 1 статьи 3 Федерального закона от 27 июля 2006 года № 152-ФЗ персональные данные это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу. Само по себе имя в формате «Маша» в отрыве от любых идентификаторов суд и Роскомнадзор персональными данными, скорее всего, не признают. Однако в Вашей модели имя и возраст всегда приходят из чата с конкретным аккаунтом ВКонтакте, у которого есть уникальный VK ID, нередко привязанный к номеру телефона, к фотографиям и к настоящим фамилии и имени пользователя. Эта связка делает информацию относимой к определяемому лицу, а потому в Вашем сервисе обработка персональных данных будет иметь место с момента получения сообщения из бота, независимо от того, запрашиваете Вы телефон и почту или нет. Это подтверждается позицией Роскомнадзора, изложенной в разъяснениях от 14 декабря 2020 года и в письмах по обращениям операторов, а также судебной практикой, в частности апелляционным определением Московского городского суда по делу № 33а-3287/2021, где в качестве персональных данных признавалась связка имени и сетевого идентификатора. Поэтому исходить нужно из того, что Вы будете оператором персональных данных по пункту 2 статьи 3 указанного закона со всеми вытекающими обязанностями.
По первому вопросу о штрафах для индивидуального предпринимателя. С 30 мая 2025 года действует обновлённая редакция статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, размеры штрафов в которой выросли в разы. По части 1 статьи 13.11 за обработку персональных данных с нарушением закона ИП наказывается штрафом от десяти тысяч до двадцати тысяч рублей, юридическое лицо от шестидесяти тысяч до ста тысяч рублей. По части 2 статьи 13.11 за обработку без согласия в случаях, когда такое согласие обязательно, ИП штрафуется на сумму от ста тысяч до трёхсот тысяч рублей, юридическое лицо от трёхсот тысяч до семисот тысяч рублей, при повторном нарушении до полутора миллионов рублей. По части 8 статьи 13.11 за невыполнение оператором обязанности по уведомлению Роскомнадзора о начале обработки или о трансграничной передаче ИП штрафуется на сумму от тридцати тысяч до пятидесяти тысяч рублей, юридическое лицо от ста тысяч до трёхсот тысяч рублей. По части 12 статьи 13.11 за неисполнение требований об осуществлении трансграничной передачи в страны, не обеспечивающие адекватной защиты, ИП штрафуется на сумму от двадцати тысяч до пятидесяти тысяч рублей, юридическое лицо от трёхсот тысяч до семисот тысяч рублей, а в случае передачи в страны без надлежащей защиты вопреки запрету или приостановлению Роскомнадзора суммы существенно выше. Особое внимание обратите на новые части 14 и 15 статьи 13.11, введённые Федеральным законом № 420-ФЗ, которые предусматривают так называемые оборотные штрафы для юридических лиц за утечки персональных данных, размер которых достигает пятнадцати миллионов рублей и более, а при повторе исчисляется в процентах от выручки за предыдущий год и может достигать пятисот миллионов рублей. Кроме того, с 30 мая 2025 года действует статья 272.1 Уголовного кодекса Российской Федерации, устанавливающая уголовную ответственность за незаконные действия с компьютерной информацией, содержащей персональные данные, что в случае серьёзной утечки или продажи данных применимо лично к Вам и как к ИП, и как к директору ООО.
По второму вопросу о смене статуса на ООО и снижении личных рисков. С точки зрения размера административных штрафов смена статуса делает ситуацию хуже, а не лучше, поскольку штрафы для юридических лиц по статье 13.11 КоАП РФ в три и более раз выше, чем для ИП. С точки зрения личной ответственности учредителя действует общее правило пункта 2 статьи 56 Гражданского кодекса Российской Федерации и пункта 1 статьи 3 Федерального закона от 8 февраля 1998 года № 14-ФЗ «Об обществах с ограниченной ответственностью» о том, что участник общества не отвечает по обязательствам общества и несёт риск убытков лишь в пределах своей доли. Однако этот щит не абсолютен. Во-первых, по пункту 3 статьи 3 указанного закона и по статье 53.1 Гражданского кодекса Российской Федерации участник, контролирующее лицо или директор отвечает перед обществом и его кредиторами за убытки, причинённые недобросовестными или неразумными действиями, и кредиторы вправе предъявить к нему прямой иск. Во-вторых, при банкротстве общества действует глава III.2 Федерального закона от 26 октября 2002 года № 127-ФЗ «О несостоятельности (банкротстве)», в частности статьи 61.11 и 61.12, которые позволяют привлечь контролирующих должника лиц к субсидиарной ответственности по всем обязательствам общества, включая штрафы перед Роскомнадзором, если действия этих лиц привели к невозможности удовлетворить требования кредиторов. Практика субсидиарной ответственности по требованиям публично-правовых органов уже сформирована, в частности в определениях Верховного Суда Российской Федерации № 305-ЭС19-17007 от 10 ноября 2021 года и № 305-ЭС19-10079 от 30 сентября 2019 года, и в делах о привлечении единственного участника одновременно с директором, например в постановлении Арбитражного суда Московского округа от 24 марта 2023 года по делу № А40-203647/2020. В-третьих, по статье 272.1 Уголовного кодекса Российской Федерации ответственность всегда персональная и наступает для физического лица, фактически принимавшего решения, безотносительно к организационно-правовой форме бизнеса. Таким образом, переход на ООО формально отделяет имущество, но при серьёзной утечке или системном нарушении прячется за корпоративной вуалью только до первого обращения кредиторов или конкурсного управляющего в суд.
По третьему вопросу о возможности обойтись без согласий на основании пункта 5 части 1 статьи 6 Федерального закона № 152-ФЗ. Сам по себе пункт 5 части 1 статьи 6 действительно допускает обработку без согласия для исполнения договора, стороной которого является субъект персональных данных, и формально оформление пользовательского соглашения с пользователем бота позволяет на него опереться при обычной обработке имени и возраста на территории Российской Федерации. Однако трансграничная передача с 1 марта 2023 года вынесена в отдельный режим, который регулируется уже статьёй 12 Федерального закона № 152-ФЗ в редакции Федерального закона № 266-ФЗ, и подчиняется собственным правилам. До начала такой передачи оператор обязан направить в Роскомнадзор отдельное уведомление по форме, утверждённой приказом Роскомнадзора от 28 октября 2022 года № 180. Передача в страны, не обеспечивающие адекватной защиты прав субъектов персональных данных, к числу которых США отнесены и не включены в перечень по приказу Роскомнадзора от 5 августа 2022 года № 128, допускается по части 4 статьи 12 только при наличии письменного согласия субъекта на трансграничную передачу либо при наличии одного из исключений, в числе которых исполнение договора, стороной которого является субъект персональных данных. Это означает, что формальное основание у Вас действительно есть, и без отдельного письменного согласия по части 4 статьи 9 закона теоретически обойтись можно, но при условии, что Вы заключили с пользователем чёткий договор оферту, в котором генерация песни с использованием сервиса Suno прямо названа предметом договора, а передача имени и возраста названа необходимой для его исполнения. На практике Роскомнадзор такие конструкции принимает с большой осторожностью и в ходе проверки оценивает три обстоятельства. Первое, действительно ли передача в США необходима, то есть нельзя ли достичь того же результата через российского или иностранного посредника из «адекватной» юрисдикции либо через обезличивание. Второе, не передаются ли данные сверх необходимого минимума, например реальные ФИО и идентификаторы аккаунта вместо короткого имени для вокала. Третье, информирован ли пользователь о такой передаче в Политике конфиденциальности и в пользовательском соглашении максимально прозрачно. Если Вы строите модель на пункте 5 части 1 статьи 6 и на пункте 3 части 4 статьи 12, обязательно сделайте следующее. Передавайте в Suno только имя в формате «Маша» или «Николай», без фамилии, без VK ID, без возраста в точной форме, заменив его, например, на возрастной диапазон, и удаляйте промежуточные данные сразу после получения результата. Оформите подробную Политику обработки персональных данных по статье 18.1 Федерального закона № 152-ФЗ с отдельным разделом о трансграничной передаче. До запуска сервиса подайте в Роскомнадзор уведомление о намерении осуществлять обработку по статье 22 указанного закона и отдельное уведомление о трансграничной передаче по статье 12. Без этих формальных шагов любые ссылки на исполнение договора Роскомнадзором отклоняются, и штраф будет применён уже по части 8 и части 12 статьи 13.11 КоАП РФ независимо от того, есть у Вас согласия или нет.
По четвёртому вопросу о вероятности проверки. С 2022 года в отношении малого бизнеса действует мораторий на плановые контрольные мероприятия, установленный постановлением Правительства Российской Федерации от 10 марта 2022 года № 336, действие которого продлено постановлением от 10 марта 2023 года № 372 и последующими актами до конца 2030 года в отношении объектов невысокого риска. Это означает, что плановых выездных проверок Вашего сервиса с высокой вероятностью не будет. Однако мораторий не распространяется на внеплановые проверки и контрольные мероприятия без взаимодействия с контролируемым лицом, проводимые Роскомнадзором на основании Положения о федеральном государственном контроле в сфере персональных данных, утверждённого постановлением Правительства Российской Федерации от 29 июня 2021 года № 1046. Внеплановая проверка проводится при поступлении жалобы субъекта персональных данных, при наступлении индикаторов риска нарушения обязательных требований, утверждённых приказом Роскомнадзора от 8 февраля 2024 года № 18, а также по поручению Президента, Правительства или прокуратуры. К числу таких индикаторов прямо отнесены, в частности, размещение оператором сведений о трансграничной передаче без подачи уведомления и факты выявленных утечек. Параллельно Роскомнадзор ведёт автоматический мониторинг сети Интернет и реестра операторов, и сервис, который собирает данные от пользователей и передаёт их за рубеж, попадает в поле его зрения чаще, чем кажется. Профилактические визиты в рамках статьи 52 Федерального закона от 31 июля 2020 года № 248-ФЗ проводятся без согласия только в форме обязательного профилактического визита и не оканчиваются штрафом, но могут стать поводом для последующего внеплановой проверки. Объективно для Вашего сервиса риск проверки в первый год при отсутствии жалоб и громкой рекламы невысок, но он перестаёт быть гипотетическим в момент любой утечки, негативного отзыва в социальных сетях, конкурентного «слива» или просто массового упоминания сервиса. Прибавьте к этому возможность того, что один из пользователей сам обратится с жалобой в Роскомнадзон после получения нежелательного результата генерации либо после рассылки, и расчёт «нас не заметят» становится крайне ненадёжной правовой стратегией с учётом нынешних размеров штрафов.
С учётом всего изложенного юридически безопасная схема запуска выглядит так. Регистрация ИП на старте оправдана, поскольку размер штрафов ниже, риски проверок при отсутствии больших оборотов меньше, а каких-то реальных преимуществ ООО для Вашей бизнес-модели на этапе тестирования нет. До запуска сервиса должны быть подготовлены и опубликованы Политика обработки персональных данных и пользовательское соглашение, в которых генерация песни через сервис Suno прямо названа предметом договора с пользователем, перечень передаваемых данных сведён к минимуму и указано, что передача осуществляется в США как в страну, не обеспечивающую адекватной защиты, со ссылкой на пункт 3 части 4 статьи 12 Федерального закона № 152-ФЗ. До начала фактической обработки в Роскомнадзор подаются уведомление по статье 22 и отдельное уведомление о трансграничной передаче по статье 12. Технически система должна передавать в Suno только короткое имя и обобщённый возрастной маркер, без VK ID и других идентификаторов, а после получения результата немедленно удалять промежуточные данные. Для минимизации риска по статье 12 разумно дополнительно собирать у пользователя письменное согласие на трансграничную передачу в форме, соответствующей части 4 статьи 9 закона, поскольку это снимает большинство претензий Роскомнадзора и существенно укрепляет позицию в случае проверки. Переход на ООО имеет смысл рассматривать после того, как сервис покажет устойчивую выручку и появятся внешние инвесторы, при этом необходимо учитывать, что от субсидиарной ответственности по штрафам в случае банкротства корпоративная форма Вас полностью не защитит. Такой подход позволит Вам и опереться на пункт 5 части 1 статьи 6 и пункт 3 части 4 статьи 12 Федерального закона № 152-ФЗ, и одновременно закрыть формальные требования к уведомлениям и документации, что в нынешних условиях является минимально достаточной защитой от штрафов, размер которых уже сопоставим со стоимостью самого проекта.
С уважением, Гайворонский Александр.
Планируется бот в ВК (что бы сервис работал в режиме белых списков), если человек написал со своего аккаунта ВК то это считается что я обработал персональнве данные или нет
Смотрите описание выше- можно соотнести данные с конкретным человеком или нет. Только если имя- то нет.
Все остальные вопросы можно разобрать в чате в платной консультации.