Какие сайты нарушают требования о персональных данных и чем это грозит

Пользователь заходит на сайт, оставляет заявку или регистрируется. Его имя, телефон и email попадают в базу данных компании. Что с ними происходит дальше — зависит от того, насколько добросовестно владелец сайта выполняет требования закона.

Большинство нарушений не выглядят как преступление. Нет чек-бокса под формой, нет политики конфиденциальности, нет уведомления о куках — всё это кажется мелочью. Но именно такие мелочи и становятся основанием для проверки и штрафа.

Разберём, какие действия считаются нарушением, что грозит владельцу сайта и как понять, соответствует ли ресурс требованиям закона.

Основной документ, регулирующий обращение с персональными данными в России, — Федеральный закон № 152-ФЗ «О персональных данных». Он распространяется на любого, кто собирает или использует информацию о людях: компании, ИП, некоммерческие организации и владельцев частных сайтов.

Нарушение — это не только утечка данных или их продажа. Закон нарушается и тогда, когда данные собираются без законного основания, хранятся дольше положенного или пользователю не объясняют, зачем они нужны.

По закону обрабатывать персональные данные можно только при наличии одного из допустимых оснований. Чаще всего это согласие пользователя — он сам разрешает сайту собирать и использовать его данные. Реже — исполнение договора или требование законодательства.

Если сайт собирает имя, телефон или email через форму, но рядом с ней нет чек-бокса с согласием и ссылкой на политику — это нарушение. Нет основания для обработки, значит, обработка незаконна.

При этом неважно, что именно происходит с данными дальше. Сам факт сбора без согласия уже является нарушением.

152-ФЗ требует соблюдать принцип минимизации: собирать только те данные, которые действительно нужны для заявленной цели. Если сайт принимает заявку на обратный звонок, достаточно имени и телефона. Запрашивать дополнительно дату рождения, адрес или паспортные данные — избыточно.

Избыточный сбор — это нарушение, даже если пользователь формально дал согласие. Согласие должно соответствовать реальным целям, а не прикрывать сбор всего подряд.

Когда данные пользователя уходят в CRM-систему, сервис рассылок, партнёрам или рекламным площадкам — это передача третьим лицам. Закон допускает такую передачу, но только при соблюдении условий: пользователь должен быть об этом уведомлён, а получатель данных — гарантировать их конфиденциальность.

На практике нарушение выглядит так: сайт подключён к Google Analytics, Яндекс.Метрике или CRM, данные туда уходят автоматически, а в политике конфиденциальности об этом ни слова. Пользователь не знает, куда попадает его email.

Пользователь имеет право знать, зачем сайт собирает его данные. Цель должна быть конкретной и понятной: «для обработки заявки», «для отправки рассылки», «для регистрации аккаунта». Расплывчатые формулировки вроде «в маркетинговых целях» или «для улучшения качества сервиса» не соответствуют требованиям закона.

Если цель не указана вовсе — это нарушение. Даже если всё остальное оформлено правильно.

Данные не могут храниться вечно. Закон требует установить срок хранения и удалить информацию, когда цель обработки достигнута или когда пользователь отозвал согласие. Если компания хранит базу клиентов пятилетней давности без оснований — это нарушение.

Отдельное требование — технические меры защиты. Данные должны быть защищены от несанкционированного доступа. Открытая база без пароля, незашифрованное хранилище или отсутствие резервного копирования — всё это создаёт риски, за которые оператор несёт ответственность.

Большинство проблем с персональными данными на российских сайтах однотипны. Одни возникают из-за незнания закона, другие — из-за того, что сайт создавался «по шаблону» без учёта правовых требований.

Самое распространённое нарушение. Форма есть, поля заполняются, кнопка «Отправить» работает — но нет ни чек-бокса, ни текста о согласии, ни ссылки на политику. Пользователь отправляет данные, не осознавая, что даёт разрешение на их обработку.

Юридически это означает: оператор обрабатывает данные без согласия. Именно это нарушение влечёт наиболее серьёзные штрафы по КоАП.

Политика обработки персональных данных — обязательный документ для любого сайта, который собирает данные пользователей. Её отсутствие — самостоятельное нарушение, за которое предусмотрен отдельный штраф.

Встречаются и более тонкие варианты нарушения: политика есть, но в ней указана другая компания — скопированная из чужого шаблона. Или документ опубликован, но не обновлялся несколько лет и не отражает реального положения дел. Формально документ существует — по сути, он не работает.

Куки сами по себе не всегда содержат персональные данные. Но многие из них — особенно аналитические и рекламные — позволяют идентифицировать пользователя. Если сайт устанавливает такие куки без уведомления и без возможности отказаться — это нарушение.

Уведомление о куках должно появляться при первом визите. Пользователь должен иметь возможность принять или отклонить нефункциональные куки. Просто разместить баннер «Мы используем куки» без реального выбора — недостаточно.

Почти каждый современный сайт подключён к внешним инструментам: системам аналитики, чат-виджетам, пикселям социальных сетей, сервисам рассылок. Все они в той или иной мере получают данные о пользователях.

Закон требует раскрывать такую передачу: указывать в политике, каким сервисам передаются данные, для чего и на каком основании. Если этого нет — обработка данных через сторонние инструменты происходит без согласия пользователя.

Техническая уязвимость — тоже нарушение. Если база данных сайта доступна без авторизации, заявки из форм хранятся в открытом виде или доступны через прямую ссылку — это нарушение требований к защите данных.

Оператор обязан принимать меры для предотвращения несанкционированного доступа. Отсутствие элементарной защиты — не техническая оплошность, а нарушение закона.

За нарушение требований о персональных данных владелец сайта несёт ответственность. Она может быть административной, гражданско-правовой, а в отдельных случаях — уголовной. Рассмотрим каждый вид.

Основной инструмент воздействия — штрафы по Кодексу об административных правонарушениях. С 2024 года их размеры существенно выросли. При этом штрафы начисляются отдельно по каждому нарушению — их может быть несколько.

Пользователь, чьи данные были обработаны незаконно, вправе обратиться в суд и потребовать компенсацию морального вреда. Судебная практика по таким делам в России ещё формируется, но прецеденты есть.

Если данные утекли и это причинило пользователю реальный ущерб — например, его данные были использованы мошенниками — владелец сайта может быть привлечён к имущественной ответственности.

Отдельно стоит учитывать риски при работе с контрагентами. Партнёры и клиенты-юрлица всё чаще проверяют, соответствует ли сайт требованиям о персональных данных. Несоответствие может стать основанием для отказа от сотрудничества или расторжения договора.

В отдельных случаях Роскомнадзор вправе потребовать ограничить доступ к сайту. Это применяется при грубых нарушениях — в первую очередь при систематическом игнорировании предписаний надзорного органа или при нарушениях, связанных с хранением данных россиян за рубежом.

Блокировка — крайняя мера. Но возможность её применения существует, и для интернет-магазина или сервиса с постоянной аудиторией это означает полную остановку работы.

Факт нарушения, ставший публичным, бьёт по доверию пользователей. Особенно если речь идёт об утечке данных — новость о том, что сотни или тысячи записей оказались в открытом доступе, распространяется быстро.

Восстановить доверие после такого инцидента сложно. Пользователи становятся осторожнее, отказываются оставлять данные, уходят к конкурентам. Репутационный ущерб нередко обходится дороже административного штрафа.

Многие владельцы сайтов рассуждают так: «Сайт маленький, нас никто не проверит». Это заблуждение. Роскомнадзор — основной надзорный орган в сфере персональных данных — использует несколько каналов для выявления нарушений, и размер сайта при этом значения не имеет.

Роскомнадзор проводит как плановые проверки по утверждённому графику, так и внеплановые — по конкретному поводу. Основание для внеплановой проверки может быть любым: жалоба, публикация в СМИ, информация от другого ведомства.

В ходе проверки инспекторы запрашивают документы: политику обработки данных, согласия пользователей, технические регламенты. Если документов нет — это само по себе является нарушением, независимо от того, как реально обрабатываются данные.

Самый распространённый источник проверок — жалоба конкретного пользователя. Человек заметил, что сайт собирает его данные без согласия, получил спам после того, как оставил заявку, или не смог добиться удаления своих данных — и обратился в Роскомнадзор.

Ведомство обязано рассмотреть жалобу и, при наличии оснований, инициировать проверку. Порог для обращения невысокий: достаточно заполнить форму на сайте РКН.

Это означает, что риск проверки существует для любого сайта, где пользователи хоть раз почувствовали себя ущемлёнными.

Роскомнадзор ведёт собственный мониторинг сайтов — в том числе с использованием автоматизированных инструментов. Проверяется наличие политики конфиденциальности, форм сбора данных, уведомлений о куках.

Особое внимание уделяется крупным ресурсам с большой аудиторией, сайтам в чувствительных сферах — медицина, финансы, образование — и тем, кто работает с данными несовершеннолетних.

Проверить сайт можно самостоятельно — без юридического образования и специальных инструментов. Большинство нарушений видны невооружённым взглядом. Ниже — конкретные шаги.

Нужно открыть каждую форму на сайте и проверить несколько вещей.

Следующий шаг — проверить наличие самой политики. Ссылка на неё должна быть в футере сайта на каждой странице. Кликните по ней и откройте документ.

Проверьте, что в политике есть: название организации или ФИО ИП, перечень собираемых данных, цели обработки, сроки хранения, порядок отзыва согласия. Если документ содержит общие фразы без конкретики или называет чужую компанию — он не соответствует требованиям.

Для организаций актуальны и внутренние документы: приказ о назначении ответственного за обработку персональных данных, регламент работы с данными. Их отсутствие — отдельное нарушение при проверке.

Технические меры защиты не всегда очевидны снаружи, но часть из них можно проверить без специальных знаний. Убедитесь, что сайт работает по протоколу HTTPS — адрес должен начинаться с «https://» и в браузере должен отображаться значок замка. Если сайт работает по HTTP — передаваемые данные не шифруются.

Если есть доступ к административной части сайта — проверьте, кто имеет доступ к базе данных с персональными данными. Доступ должен быть только у тех, кому это необходимо для работы.

Если сайт использует иностранные сервисы — Google Analytics, Mailchimp, Intercom, Facebook Pixel и аналогичные — данные пользователей передаются на серверы за рубежом. Это называется трансграничной передачей.

С 2023 года оператор обязан до начала такой передачи уведомить Роскомнадзор. Кроме того, в политике конфиденциальности должны быть указаны страны получателей данных. Если этого нет — нарушение налицо.

Проверить, какие внешние сервисы подключены к сайту, можно с помощью браузерных инструментов разработчика или специализированных онлайн-сканеров. Зайдите на сайт, откройте вкладку «Сеть» в инспекторе браузера и посмотрите, на какие внешние адреса уходят запросы.

Обнаружить нарушения — первый шаг. Дальше нужно их устранить. Для большинства сайтов это занимает от нескольких часов до нескольких дней. Нарушения, которые кажутся сложными, на практике решаются последовательно.

Начинают с инвентаризации: какие данные собираются, на каких страницах, через какие формы, куда они уходят и где хранятся. Список может оказаться длиннее ожидаемого — особенно если к сайту подключено несколько внешних сервисов.

Результат аудита — карта обработки персональных данных. Она показывает полную картину и позволяет оценить, по каким пунктам требуются изменения.

Если политики конфиденциальности нет — её нужно создать. Если она есть, но устаревшая или скопированная — обновить или переработать. Документ должен соответствовать реальной практике сайта: включать актуальный перечень данных, целей и сервисов.

Для организаций дополнительно потребуются внутренние документы: приказ об ответственном за обработку данных и, при необходимости, регламент работы с персональными данными сотрудников.

После подготовки документов нужно привести в порядок форм. Чек-бокс добавляется к каждой форме на сайте, где собираются личные данные. Ссылка прописывается в тексте рядом с чек-боксом. Технически форма настраивается так, чтобы без галочки отправка была невозможна.

Если сайт использует иностранные аналитические сервисы — нужно либо заменить их на российские аналоги, либо оформить уведомление о трансграничной передаче данных через портал Роскомнадзора.

Уведомление о куках настраивается как всплывающий баннер при первом визите. Пользователю предоставляется возможность принять или отклонить нефункциональные куки. Техническая реализация зависит от платформы сайта — для большинства CMS существуют готовые плагины.

Если сайт обрабатывает персональные данные — оператор обязан уведомить Роскомнадзор о начале обработки. Исключения предусмотрены для ограниченного круга случаев. Для большинства коммерческих сайтов уведомление обязательно.

Подать уведомление можно через официальный портал rkn.gov.ru. Это бесплатно и занимает около часа. После подачи оператор вносится в реестр операторов персональных данных.

Если проверка уже началась — взаимодействуйте с инспекторами открыто, предоставляйте запрошенные документы в срок и, при обнаружении нарушений, незамедлительно устраняйте их. Оперативное реагирование на предписание учитывается при рассмотрении дела.

Разовое приведение сайта в порядок — это старт, а не финиш. Законодательство меняется, сайт обновляется, подключаются новые сервисы. Без постоянного контроля нарушения возвращаются.

Закон требует, чтобы в организации был назначен ответственный за организацию обработки персональных данных. Это может быть сотрудник, в чьи обязанности входит контроль за соблюдением требований: следит за документами, актуализирует политику, реагирует на запросы пользователей.

Для ИП или очень малого бизнеса ответственным часто становится сам владелец. Главное — чтобы эта роль была зафиксирована документально.

Политика конфиденциальности — не постоянный документ. Каждый раз, когда на сайте появляется новая форма, подключается новый сервис или меняется состав собираемых данных, политику нужно обновлять.

Хорошая практика — пересматривать документы раз в полгода, даже если явных изменений не было. Законодательство тоже меняется: поправки к 152-ФЗ и подзаконным актам принимаются регулярно.

Нарушения часто происходят не из злого умысла, а из незнания. Менеджер выгружает базу клиентов на личный компьютер. Разработчик добавляет новый счётчик без согласования. Служба поддержки пересылает данные пользователя коллеге через мессенджер без шифрования.

Базовый инструктаж для сотрудников, работающих с персональными данными, — обязательная мера. Достаточно объяснить, что можно и что нельзя делать с данными клиентов, и зафиксировать это в документе под роспись.

Доступ к базам данных с персональными данными должен быть ограничен. Только те сотрудники, кому это действительно нужно по работе, получают доступ. Уволившийся сотрудник теряет доступ немедленно.

Регулярные обновления программного обеспечения закрывают известные уязвимости. Резервное копирование данных защищает от их потери. Журналирование действий позволяет отследить, кто и когда обращался к данным.

Для сайтов с большой аудиторией или чувствительными данными — медицина, финансы, персональные кабинеты — стоит периодически проводить технический аудит безопасности. Это может быть как внутренняя проверка, так и привлечение специалиста со стороны.