Сайт ещё в разработке, дизайнер рисует макет, программист настраивает сервер — а вопрос с персональными данными откладывается на потом. Обычно до момента, когда сайт уже запущен и на нём появляется первая форма обратной связи.
Проблема в том, что с точки зрения закона «потом» уже поздно. Как только сайт начинает собирать имена, телефоны или адреса электронной почты — он становится оператором персональных данных. Со всеми вытекающими обязательствами.
Разбираемся, что нужно предусмотреть на этапе разработки, чтобы запустить ресурс без нарушений.
Что закон требует от сайтов, которые собирают данные
Федеральный закон № 152-ФЗ «О персональных данных» распространяется на всех, кто собирает и хранит сведения о физических лицах. Не только на банки и медицинские клиники — на любой сайт с контактной формой.
Владелец такого сайта автоматически получает статус оператора персональных данных. Это означает конкретные обязанности: опубликовать политику обработки, получить согласие пользователей, хранить данные на серверах в России.
Любое поле с личными сведениями — это обработка данных
Имя, телефон, email, адрес доставки — всё это персональные данные по российскому законодательству. Даже одно поле «Ваше имя» в форме уже делает сайт оператором.
IP-адрес и cookie тоже могут быть персональными данными
Если через IP-адрес или идентификатор cookie можно установить личность конкретного человека — например, в связке с другими сведениями — такие данные тоже попадают под действие 152-ФЗ.
Статус оператора возникает автоматически
Никакой регистрации или заявления не нужно. Как только сайт начал принимать данные пользователей — обязательства уже действуют. Незнание закона не освобождает от ответственности.
Как спроектировать раздел персональных данных при разработке
Вопрос «куда поставить ссылку на политику» лучше решать на этапе проектирования макета, а не после запуска. Тогда это занимает несколько минут, а не требует переверстки готовых страниц.
Закон требует, чтобы политика обработки персональных данных была «доступна неограниченному кругу лиц». На практике это значит: до документа должно быть легко добраться с любой страницы сайта.
Ссылка в подвале (футере) сайта
Минимальное обязательное размещение. Текст ссылки — «Политика конфиденциальности» или «Политика обработки персональных данных». Она должна присутствовать на каждой странице ресурса.
Ссылка рядом с каждой формой
Прямо под полями ввода — рядом с чек-боксом согласия. Пользователь должен иметь возможность прочитать документ в тот момент, когда заполняет форму.
Отдельная страница, не PDF и не попап
Документ должен находиться на отдельной HTML-странице сайта. Файл PDF или всплывающее окно — не подходящие форматы: они неудобны, плохо индексируются и не дают гарантии доступности.
Типичный адрес страницы
Стандартные пути: /privacy, /privacy-policy, /politika-personalnih-dannih. Главное — чтобы адрес был постоянным. Если страница переезжает, все старые ссылки из форм окажутся нерабочими.
Обязательный пакет документов для запуска сайта
Перед публикацией сайт должен иметь как минимум один обязательный документ — политику обработки персональных данных. Всё остальное зависит от того, как именно устроен ресурс.
| Документ | Обязателен для | Где размещается |
|---|---|---|
| Политика обработки персональных данных | Любого сайта, который собирает данные через форму | Отдельная страница + ссылка в футере |
| Согласие на обработку (чек-бокс) | Каждой формы с личными данными пользователя | Под полями формы перед кнопкой «Отправить» |
| Пользовательское соглашение | Сайтов с регистрацией, личным кабинетом, платными услугами | Отдельная страница + ссылка в футере |
Политика конфиденциальности описывает правила работы сайта с данными: что собирается, зачем, как хранится, кому передаётся. Это документ оператора, он один на весь сайт.
Пользовательское соглашение — другой документ. Оно регулирует отношения между сайтом и пользователем: права, ограничения, условия использования сервиса. Путать их не стоит — это разные юридические инструменты с разными функциями.
Что должно быть в политике конфиденциальности
Минимальный состав: данные оператора (название компании или ФИО ИП), перечень собираемых данных, цели обработки, срок хранения, порядок отзыва согласия. Подробнее о структуре документа — в материале как оформить политику конфиденциальности.
Техническая реализация сбора согласий
Самая частая ошибка при разработке — форма есть, а чек-бокса нет. Или он есть, но стоит галочка по умолчанию. Оба варианта — нарушение 152-ФЗ.
Закон требует добровольного, конкретного и информированного согласия. Это значит: пользователь ставит галочку сам, понимает, с чем соглашается, и может прочитать документ перед отправкой данных.
Чек-бокс пустой по умолчанию
Пользователь сам ставит отметку. Предустановленная галочка не считается согласием — это прямо следует из требований закона об информированном и добровольном характере согласия.
Рядом с чек-боксом — кликабельная ссылка
Текст вида «Я согласен с политикой обработки персональных данных» должен содержать рабочую ссылку на документ. Без неё пользователь не может ознакомиться с тем, с чем соглашается.
Форму нельзя отправить без галочки
Кнопка «Отправить» неактивна до постановки галочки или форма показывает ошибку при попытке отправить без согласия. Это стандартная валидация на стороне клиента — несколько строк JavaScript.
Свой чек-бокс под каждой формой
Один общий чек-бокс «где-то на странице» не работает. Согласие даётся применительно к конкретной форме. На странице три формы — три отдельных чек-бокса.
Особенности локализации баз данных: хранение на серверах в России
С 2014 года российское законодательство требует хранить персональные данные граждан РФ на серверах, физически расположенных на территории страны. Это называется требованием о локализации.
На практике это означает: если сайт использует иностранный хостинг или хранит данные пользователей на зарубежных серверах — он нарушает закон, даже если всё остальное оформлено правильно.
Хостинг с российскими серверами
Если сайт работает на отечественном хостинге (Selectel, Timeweb, RuVDS и другие), требование о локализации, как правило, выполняется автоматически. Стоит уточнить у провайдера, в каких дата-центрах хранятся данные.
CRM и сторонние сервисы
Данные из форм часто передаются в CRM-системы или сервисы рассылок. Если такой сервис иностранный и хранит данные за рубежом — это трансграничная передача, которая требует отдельного регулирования. Этот момент нужно учитывать при выборе инструментов ещё на этапе проектирования.
Ответственность за нарушения
Нарушение требований о локализации — отдельный состав административного правонарушения. Штрафы за нарушения работы с персональными данными с 2024 года существенно выросли и для юридических лиц могут составить несколько сотен тысяч рублей.
Как проверить себя
Провести самостоятельный аудит и убедиться, что сайт соответствует требованиям, помогает проверка обработки персональных данных. Удобнее делать это до запуска, когда исправления не требуют внесения изменений в работающий сервис.
Чек-лист проверки сайта перед публикацией
Перед тем как открыть сайт для пользователей, стоит пройтись по этому списку. Большинство пунктов занимают час работы, но защищают от претензий, которые могут обойтись значительно дороже.
- Политика обработки персональных данных написана и опубликована на отдельной странице сайта
- Ссылка на политику добавлена в футер — она видна на каждой странице
- Под каждой формой, собирающей личные данные, стоит чек-бокс согласия
- Чек-бокс пустой по умолчанию — пользователь ставит галочку сам
- Рядом с чек-боксом есть кликабельная ссылка на политику
- Форму нельзя отправить без отметки в чек-боксе
- В политике указан оператор: название организации или ФИО ИП
- В политике перечислены все виды собираемых данных
- Указаны цели обработки и срок хранения данных
- Описан порядок отзыва согласия
- Если данные передаются в CRM или сторонние сервисы — это указано в политике
- Хостинг и базы данных находятся на серверах в России
- Если используются иностранные сервисы — проработан вопрос трансграничной передачи
Частые вопросы
Нужно ли уведомлять Роскомнадзор о начале обработки данных?
Можно ли использовать шаблон политики конфиденциальности из интернета?
Что будет, если запустить сайт без политики конфиденциальности?
Нужна ли политика конфиденциальности, если сайт — просто визитка без форм?
Сайт сделан на конструкторе — кто несёт ответственность за персональные данные?
Главное
Работу с персональными данными проще организовать на этапе разработки, чем исправлять после запуска. Большинство требований закона решаются несколькими техническими элементами: политикой на отдельной странице, ссылкой в футере и чек-боксом под каждой формой.
Документы должны отражать реальное устройство сайта — какие данные собираются, зачем и куда передаются. Скопированный шаблон без адаптации не защищает от претензий.
Хранение данных на российских серверах и правильно оформленные согласия — два момента, которые чаще всего упускают при запуске. Оба стоит проверить до того, как первый пользователь заполнит форму на сайте.