Компания запускает сайт. Добавляет форму обратной связи, раздел «О команде» с фотографиями сотрудников, виджет обратного звонка. На первый взгляд — обычный корпоративный ресурс. На самом деле — уже несколько точек сбора персональных данных, каждая из которых требует отдельного юридического оформления.
152-ФЗ «О персональных данных» распространяется на любой сайт, через который проходит информация о людях. Неважно, большая это корпорация или небольшое агентство.
Ниже — разбор того, что именно нужно сделать, чтобы сайт компании соответствовал требованиям закона.
Что относится к персональным данным пользователей сайта
Персональные данные — это любая информация, по которой можно прямо или косвенно установить личность человека. Имя и телефон — очевидный пример. Но этим список не заканчивается.
Email-адрес вида ivan.petrov@company.ru уже позволяет идентифицировать конкретного человека. Фотография — тоже персональные данные. Как и домашний адрес, паспортные данные, ИНН.
Общие категории данных
Имя, телефон, email, адрес, дата рождения, фотография. Собираются через формы заявок, регистрации, подписки на рассылку.
Специальные категории данных
Сведения о здоровье, национальности, политических взглядах, религиозных убеждениях, судимостях. Для их обработки требуется явное письменное согласие и особые основания.
Пользовательские идентификаторы
IP-адреса, cookie-файлы, данные браузера и устройства. Формально — тоже персональные данные, если их можно связать с конкретным человеком. Требуют упоминания в политике конфиденциальности.
Про cookie отдельно
Если сайт использует аналитику (Яндекс Метрика, Google Analytics) или рекламные пиксели, он собирает данные о поведении пользователя. Это тоже обработка персональных данных. На сайте должно быть информирование об этом — хотя бы в виде уведомления о cookie.
Правовые основания для сбора информации через сайт
Нельзя просто начать собирать данные пользователей — для этого нужно правовое основание. Закон предусматривает несколько вариантов.
Самое распространённое основание для обычного сайта — согласие пользователя. Человек сам заполняет форму, ставит галочку и отправляет данные.
Но есть и другие случаи, когда согласие не требуется.
Исполнение договора
Если пользователь оформляет заказ или заключает договор на услуги, данные, необходимые для исполнения этого договора, можно обрабатывать без отдельного согласия. Например, имя и адрес доставки при покупке.
Требование закона
Обработка необходима для выполнения обязанностей, установленных законодательством. Например, хранение данных о сотрудниках для налоговой отчётности.
Законный интерес
Используется реже и требует осторожности. Интересы компании не должны нарушать права субъекта данных. На практике — лучше брать согласие, чем полагаться на этот пункт.
Важно, чтобы цели обработки данных соответствовали реальной деятельности компании. Нельзя указать «исполнение договора», а фактически использовать данные для рекламной рассылки — это разные цели, и для каждой нужно отдельное основание.
Обязательные документы для размещения на сайте
Закон не перечисляет список конкретных документов, но практика и судебные решения выработали минимальный набор, без которого сайт работает с нарушениями.
Политика обработки персональных данных
Основной публичный документ. Описывает, кто оператор, какие данные собираются, для чего, как хранятся, кому передаются и как пользователь может отозвать согласие. Должна быть доступна на отдельной странице сайта — ссылка в футере обязательна.
Пользовательское соглашение
Регулирует правила использования сайта. Отличается от политики конфиденциальности: политика описывает работу с данными, соглашение — условия взаимодействия пользователя с ресурсом. Для простых сайтов эти документы иногда объединяют, но лучше держать их отдельно.
Локальные акты организации
Внутренние документы, которые не публикуются на сайте, но обязательны для компании: положение об обработке персональных данных, приказ о назначении ответственного лица, регламент доступа к данным для сотрудников.
Политика конфиденциальности и согласие на обработку — разные вещи. Политика объясняет правила. Согласие — это действие пользователя, подтверждающее, что он с этими правилами ознакомлен. Наличие одного без другого — нарушение.
Оформление согласия на обработку данных
Согласие должно быть добровольным, конкретным, информированным и однозначным. Это не просто слова из закона — каждое из этих условий влияет на то, как выглядит форма на сайте.
Добровольность означает, что чек-бокс по умолчанию пуст. Пользователь ставит галочку сам.
Конкретность означает, что в тексте рядом с галочкой или в документе, на который она ссылается, указаны цели, перечень данных и оператор.
Стандартное согласие через чек-бокс
Галочка под формой с текстом «Я даю согласие на обработку персональных данных» и ссылкой на политику. Минимальный вариант. Форму нельзя отправить без отметки.
Отдельное согласие на рассылку
Если компания планирует отправлять маркетинговые письма, это отдельная цель. Нельзя включать согласие на рекламу в один чек-бокс с согласием на обработку данных для обратной связи. Закон о рекламе и 152-ФЗ требуют раздельных согласий.
Согласие на распространение данных
Если компания собирается публиковать данные человека публично — например, отзыв с именем или кейс с фотографией — нужно отдельное согласие на распространение. Оно оформляется по специальной форме, установленной Роскомнадзором.
Технические и организационные меры защиты
152-ФЗ требует не только документов, но и реальной защиты данных. Закон не описывает конкретные технические решения, но устанавливает принцип: оператор обязан принять меры, необходимые для предотвращения несанкционированного доступа.
SSL-сертификат
Данные, которые пользователь вводит в форму, должны передаваться по зашифрованному каналу. Протокол HTTPS — обязательный минимум. Сайт без SSL-сертификата передаёт данные в открытом виде.
Локализация данных в России
С 2015 года базы данных с персональными данными российских граждан должны храниться на серверах, физически расположенных на территории РФ. Это требование касается любого сайта, работающего с российскими пользователями.
Ограничение доступа сотрудников
Доступ к персональным данным должен быть только у тех сотрудников, которым он необходим для работы. В компании должен быть приказ о назначении ответственного за обработку персональных данных и список лиц с доступом к базе.
Порядок уничтожения данных
Когда цель обработки достигнута или пользователь отозвал согласие, данные нужно удалить. В компании должен быть описан процесс удаления: кто это делает, в какой срок и как это фиксируется.
Правила размещения данных сотрудников и контрагентов на сайте
Раздел «Команда» с фотографиями и биографиями — распространённая практика. Но каждая такая публикация — это обработка персональных данных конкретного человека.
Нельзя просто разместить фото и имя сотрудника без его согласия. Даже если он работает в компании, это не означает автоматического согласия на публикацию данных в интернете.
Фотографии и биографии руководителей
Нужно письменное согласие каждого сотрудника на публикацию. Обычно это пункт в трудовом договоре или отдельное соглашение. Если сотрудник уволился, он вправе отозвать согласие — тогда данные нужно убрать.
Отзывы клиентов с именами и фото
Имя, фотография, город — это персональные данные. Публикация отзыва с такими сведениями требует согласия на распространение. Это отдельный документ, оформленный по форме Роскомнадзора.
Кейсы и портфолио
Если в кейсе упоминается имя контрагента или клиента — нужно его согласие. Можно обойтись обезличенным описанием: «производственная компания из Екатеринбурга», без указания названия и контактных лиц.
Взаимодействие с Роскомнадзором
Роскомнадзор — регулятор в сфере персональных данных. Компании, которые обрабатывают данные, обязаны уведомить его об этом до начала обработки.
Уведомление подаётся через официальный портал РКН. После подачи компания вносится в реестр операторов персональных данных.
Когда уведомление не нужно
Закон предусматривает ряд исключений — например, если данные обрабатываются только для исполнения трудового договора. Но для большинства коммерческих сайтов, которые собирают заявки или ведут переписку с клиентами, уведомление обязательно.
При проверке Роскомнадзор вправе запросить документы, подтверждающие соответствие сайта требованиям закона. Это и политика конфиденциальности, и согласия пользователей, и внутренние акты об ответственных лицах.
Регулярный аудит сайта на соответствие 152-ФЗ помогает выявить несоответствия до того, как их обнаружит регулятор. Большинство нарушений технические — отсутствует чек-бокс, не обновлена политика, нет ссылки в футере.
Ответственность за нарушение законодательства
С 2024 года штрафы за нарушения в сфере персональных данных существенно выросли. Ещё несколько лет назад максимальный штраф составлял несколько тысяч рублей. Теперь суммы принципиально другие.
| Нарушение | Размер штрафа |
|---|---|
| Обработка данных без согласия | 300 000 — 700 000 ₽ |
| Повторное нарушение | до 1 500 000 ₽ |
| Отсутствие политики конфиденциальности | до 60 000 ₽ |
| Нарушение требований локализации данных | 100 000 — 300 000 ₽ |
| Нарушения при трансграничной передаче данных | 100 000 — 300 000 ₽ |
| Утечка персональных данных (крупная) | от 3 000 000 до 15 000 000 ₽ |
Штрафы — не единственный риск. Роскомнадзор вправе потребовать блокировки сайта при нарушении требований локализации. Прецеденты уже есть: LinkedIn заблокирован в России с 2016 года именно по этой причине.
Кроме административной ответственности, существует гражданско-правовая. Пользователь, чьи данные были обработаны незаконно или утекли в открытый доступ, вправе потребовать компенсации морального вреда через суд.
Большинство проверок начинается не по инициативе регулятора, а после жалобы пользователя. Правильно оформленная документация — самый простой способ снизить этот риск.
Частые вопросы
Нужно ли уведомлять Роскомнадзор, если на сайте только одна форма с email?
Можно ли хранить данные на зарубежном хостинге?
Что делать, если произошла утечка данных пользователей?
Нужна ли политика конфиденциальности, если сайт — просто визитка без форм?
Как часто нужно обновлять политику конфиденциальности?
Главное
Любой корпоративный сайт с формами, аналитикой, разделом «Команда» или блогом с отзывами работает с персональными данными. Это не повод для паники — повод для нескольких конкретных действий.
Нужна политика конфиденциальности на отдельной странице, чек-боксы под формами, SSL-сертификат, хостинг в России и уведомление в Роскомнадзор. Для большинства сайтов это несложно и занимает один-два дня при наличии шаблонных документов.
Штрафы и проверки — следствие жалоб, а не плановых обходов. Правильно оформленный сайт снимает большинство поводов для претензий.