Использование и обработка персональных данных на сайте

Пользователь заходит на сайт, вводит имя и телефон в форму обратной связи и нажимает «Отправить». В этот момент сайт уже работает с персональными данными — вне зависимости от того, знает об этом его владелец или нет.

Понятие «оператор персональных данных» — не юридический статус, который нужно специально получать. Это просто описание того, что происходит: если сайт собирает, хранит или использует личные сведения о людях — он оператор.

Персональные данные — это любая информация, которая позволяет понять, о каком конкретном человеке идёт речь. Не обязательно паспортные данные или адрес регистрации.

Имя и номер телефона вместе — это персональные данные. Email-адрес в формате name.surname@company.ru — тоже. Даже IP-адрес в сочетании с другими сведениями может идентифицировать человека.

Обработка — это не только хранение в базе данных. Под это понятие попадает практически всё, что происходит с данными с момента их получения.

Сбор, запись, систематизация, хранение, уточнение, использование, передача, обезличивание, блокирование, удаление — всё это обработка. Даже если данные пришли по email и сразу были удалены — факт обработки уже состоялся.

Чаще всего это происходит через формы. Но не только.

Если на сайте нет ни одной формы, нет аналитики, нет чатов и нет регистрации — он действительно не собирает персональные данные. Такой сайт можно назвать статическим: он просто показывает информацию, ничего не сохраняя.

На практике это встречается редко. Большинство сайтов — даже самых небольших — используют хотя бы один счётчик или форму обратной связи. Этого достаточно, чтобы считаться оператором.

Главный закон в этой области — Федеральный закон № 152-ФЗ «О персональных данных», принятый в 2006 году и существенно обновлённый в последующие годы. Именно на него ссылаются при проверках, именно его нарушения влекут штрафы.

Помимо 152-ФЗ, работу с данными регулируют подзаконные акты Роскомнадзора и ряд технических стандартов по защите информации.

Закон строится на нескольких базовых принципах, которые определяют, как должна вести себя любая организация, работающая с личными данными.

Перед тем как собирать данные, нужно ответить на два вопроса: есть ли законное основание для этого и действительно ли нужны все запрашиваемые сведения.

Законных оснований несколько. Самое распространённое для сайтов — согласие пользователя. Но есть и другие: выполнение договора (если пользователь что-то заказал), соблюдение требований закона (например, налогового), защита жизненно важных интересов.

Данные нельзя хранить вечно. Срок хранения должен быть привязан к цели обработки: пока идёт выполнение заказа, пока действует согласие, пока это требует закон.

После того как цель достигнута — данные нужно уничтожить. Если пользователь отозвал согласие, оператор обязан удалить данные в течение 30 дней.

С 2015 года действует требование: персональные данные российских граждан при первичном сборе должны записываться в базы данных, расположенные на серверах в России.

Это не запрещает хранить данные за рубежом — но основная, «первичная» запись должна происходить на российском сервере. Для большинства сайтов это означает выбор хостинга в российских дата-центрах или специальную настройку облачной инфраструктуры.

Требование к документам — одно из самых конкретных в законе. Не нужно ничего изобретать: перечень чётко определён практикой и разъяснениями Роскомнадзора.

Это основной документ. Он должен быть размещён на отдельной странице сайта в открытом доступе — так, чтобы любой пользователь мог его найти без регистрации и лишних кликов.

В политике описывается, какие данные собирает сайт, зачем, как хранит, кому передаёт, как пользователь может их удалить. Ссылка на эту страницу обычно находится в подвале сайта.

Политика объясняет правила. Согласие — это действие пользователя, которым он эти правила принимает. Чаще всего это чек-бокс под формой с текстом и ссылкой на политику.

Без чек-бокса политика не работает как механизм: пользователь мог её не читать, не соглашаться. С чек-боксом — есть фиксация добровольного решения.

Нужно не всем сайтам — только тем, на которых пользователи регистрируются, создают аккаунты, публикуют контент или заключают сделки. Пользовательское соглашение регулирует отношения между сайтом и пользователем: права, обязанности, правила использования.

Для простого корпоративного сайта с одной формой заявки пользовательское соглашение необязательно. Для интернет-магазина или платформы — нужно.

Если сайт использует cookie-файлы — а большинство сайтов использует, хотя бы через счётчики аналитики — пользователя нужно об этом предупредить.

Стандартная практика — всплывающее уведомление при первом посещении с кратким объяснением и ссылкой на политику. Это может быть небольшая панель внизу или вверху страницы.

Помимо публичных документов, у организации должны быть внутренние: приказ о назначении ответственного за персональные данные, регламент обработки, инструкции для сотрудников.

Эти документы не размещаются на сайте, но проверяются при плановых и внеплановых проверках Роскомнадзора.

Согласие должно быть добровольным, конкретным, информированным и однозначным. Это не просто юридические слова — за каждым из них стоит практическое требование.

Согласие не может быть «скрытым» — нельзя прятать его в мелком шрифте или получать автоматически при загрузке страницы.

Согласие на обработку данных и согласие на получение рекламных сообщений — это два разных согласия. Нельзя объединять их в один чек-бокс.

Пользователь может согласиться на обработку своих данных для выполнения заказа, но отказаться от рекламных писем. Это его право. На практике под формой часто размещают два чек-бокса: один обязательный (обработка данных), второй необязательный (согласие на рассылку).

Форма обратной связи — самый распространённый инструмент сбора данных на сайтах. Она проста, но требует аккуратного оформления.

Каждая такая форма — отдельное место сбора данных, и рядом с каждой должен быть чек-бокс с согласием. Один чек-бокс в шапке или подвале сайта не заменяет чек-боксы под каждой формой.

Закон требует, чтобы оператор мог доказать факт согласия. Для большинства сайтов достаточно технической фиксации: сервер сохраняет информацию о том, что форма была отправлена с отмеченным чек-боксом, с указанием даты и времени.

Для сервисов с высоким риском — медицинских, финансовых — может потребоваться более строгая система журналирования согласий.

Практически любой сайт передаёт данные — хотя бы потому, что использует внешние сервисы. Это законно, но требует правильного оформления.

Если сайт работает на арендованном сервере, а данные хранятся на нём — хостинг-провайдер фактически имеет доступ к этим данным. Такая передача должна быть оформлена договором поручения обработки персональных данных.

То же касается разработчиков сайта, агентств, которые настраивают рекламу, и других подрядчиков, работающих с базой клиентов.

Если данные клиентов загружаются в CRM-систему — это передача данных третьей стороне. Если на сайте установлена Яндекс.Метрика или Google Analytics — это тоже передача.

Факт такой передачи должен быть отражён в политике обработки персональных данных. Пользователь должен знать, кому именно передаются его данные.

Если данные передаются сервисам, серверы которых находятся за пределами России — это трансграничная передача. Она разрешена, но требует дополнительных условий.

Страна получения должна обеспечивать надлежащий уровень защиты персональных данных. Если нет — оператор должен принять дополнительные меры: заключить специальные договоры или получить разрешение Роскомнадзора.

Если оператор привлекает другую организацию для обработки данных (хостинг, CRM, колл-центр), между ними должен быть заключён договор. В нём фиксируются цели передачи, перечень данных, требования к безопасности и обязанность третьей стороны не использовать данные в своих интересах.

Иногда сайт не только собирает данные, но и публикует их — в виде отзывов, кейсов, страниц сотрудников. Это тоже обработка, и она требует отдельного внимания.

Если на сайте публикуется отзыв с именем и фотографией — это размещение персональных данных в открытом доступе. Для этого нужно согласие человека, чьи данные публикуются.

Формальное согласие на «обработку данных» при регистрации не покрывает публичную публикацию — для этого нужно отдельное, явное согласие.

Страница «Наша команда» с фотографиями и именами сотрудников — это публикация их персональных данных. Работодатель должен получить письменное согласие каждого сотрудника на такую публикацию.

Трудовой договор не даёт автоматического права публиковать данные сотрудника в интернете. Нужен отдельный документ или пункт в согласии при приёме на работу.

Если человек сам разместил данные в открытом источнике — например, в социальной сети — это не означает, что их можно использовать без ограничений.

Использование общедоступных данных допустимо только в рамках тех целей, для которых они изначально были опубликованы. Если человек указал email на своей странице для личных контактов, это не разрешение использовать его для рассылки рекламы.

Собирать данные — недостаточно. Их нужно защищать. Закон требует принять меры, соразмерные уровню риска: чем чувствительнее данные, тем строже требования.

Это меры, которые касаются людей и процессов, а не технологий. Назначение ответственного за персональные данные, обучение сотрудников, регламент доступа к данным, политика паролей.

Сотрудники, работающие с персональными данными клиентов, должны понимать свои обязанности и подписывать соглашение о конфиденциальности.

Это программные и аппаратные средства защиты: антивирусы, файрволы, системы резервного копирования, ограничение прав доступа в информационных системах.

Для небольших сайтов требования не столь строгие, как для медицинских или банковских систем. Но базовая защита обязательна для всех.

HTTPS-протокол — это минимум для любого сайта, который принимает данные через форму. Он обеспечивает шифрование при передаче между браузером и сервером.

Данные, хранящиеся в базе, также должны быть защищены: ограничен доступ к административным панелям, используются сложные пароли, включена двухфакторная авторизация для администраторов.

С 2022 года в России введена обязанность уведомлять Роскомнадзор об утечках персональных данных. При обнаружении инцидента оператор должен сообщить о нём в течение 24 часов, а подробный отчёт предоставить в течение 72 часов.

За нарушение требований о защите данных предусмотрены штрафы, а при повторных нарушениях — возможна уголовная ответственность.

Прежде чем начать обрабатывать персональные данные, оператор по общему правилу обязан уведомить об этом Роскомнадзор. Это не разрешение — уведомление носит информационный характер.

Уведомление обязательно для большинства организаций и предпринимателей, которые обрабатывают персональные данные в рамках деятельности. Сделать это нужно до начала обработки.

После уведомления организация вносится в реестр операторов персональных данных Роскомнадзора. Реестр является публичным.

Закон перечисляет случаи, когда уведомление не нужно. В частности, если данные обрабатываются исключительно для выполнения трудового договора, для защиты безопасности государства или если речь идёт о членах общественных организаций в рамках их деятельности.

Но эти исключения не касаются типичных коммерческих сайтов, которые собирают заявки или регистрируют пользователей.

Уведомление подаётся через сайт Роскомнадзора в электронном виде или на бумаге. В нём указываются данные оператора, цели обработки, категории данных, категории субъектов, меры защиты и место хранения данных.

При изменении сведений оператор обязан уведомить Роскомнадзор об этом в течение 10 дней.

До 2022–2024 годов санкции за нарушения в сфере персональных данных были относительно небольшими. После существенных поправок в законодательство штрафы выросли кратно.

В крайних случаях Роскомнадзор может добиться блокировки сайта через суд — если оператор систематически нарушает требования закона или хранит данные россиян за рубежом вопреки требованию о локализации.

Блокировка применяется как крайняя мера, но прецеденты существуют — в том числе в отношении крупных зарубежных платформ.

Проверки бывают плановыми и внеплановыми. Плановые — по графику, который публикуется заранее. Внеплановые — по жалобам пользователей или по решению прокуратуры.

Большинство нарушений выявляется именно после жалобы конкретного пользователя. Один недовольный клиент, знающий свои права, может инициировать проверку. Поэтому, лучше воспользоваться проверкой сайта на соотвествие ФЗ-152 заранее.

Суды рассматривают дела о нарушениях в сфере персональных данных как в рамках административных дел (по штрафам), так и по гражданским искам от самих пользователей о компенсации морального вреда.

Практика показывает: суды всё чаще встают на сторону граждан, а размеры компенсаций постепенно растут.

Начинать с нуля не нужно — большинство изменений делается последовательно и без специальных технических знаний.

Первый шаг — понять, что происходит с данными сейчас. Нужно пройти по всему сайту и зафиксировать: где собираются данные, какие именно, куда они попадают после отправки формы, какие внешние сервисы установлены на сайте.

Часто оказывается, что данные собираются в нескольких местах, о которых владелец сайта забыл: старые формы, встроенные чаты, виджеты.

После аудита становится понятно, что именно нужно написать в политике. Документы составляются под конкретный сайт: в них указываются реальные данные оператора, реальные цели и реальный перечень данных — не абстрактные шаблонные формулировки.

Политика размещается на отдельной странице. Ссылка на неё добавляется в подвал сайта.

Под каждой формой добавляется чек-бокс — пустой по умолчанию, с текстом и кликабельной ссылкой на политику. Форма настраивается так, чтобы не отправляться без отмеченного чек-бокса.

Отдельно настраивается уведомление о cookie-файлах — всплывающий баннер при первом посещении сайта.

Нужно составить список всех внешних сервисов, куда попадают данные: хостинг, CRM, email-рассылки, аналитика, чаты. По каждому — проверить наличие договора о поручении обработки и убедиться, что факт передачи отражён в политике.

Базовые меры защиты: установлен SSL-сертификат, CMS обновлена до актуальной версии, у администраторов сайта используются надёжные пароли, доступ к базе данных ограничен.

Законодательство в сфере персональных данных продолжает меняться. Раз в год стоит проверять актуальность документов и состав мер защиты — особенно после крупных обновлений 152-ФЗ.