Форма обратной связи, поле для email при подписке, корзина в интернет-магазине — всё это сбор персональных данных. Причём не важно, осознаёт это владелец сайта или нет: с точки зрения закона он уже является оператором персональных данных.
Оператор — любое лицо (физическое или юридическое), которое самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. Формально под это определение попадает практически каждый, у кого есть сайт с хотя бы одной формой.
Штрафы за нарушения выросли многократно за последние годы, а Роскомнадзор проводит плановые и внеплановые проверки. Разбираемся, что именно нужно сделать, чтобы не оказаться нарушителем по незнанию.
Что считается обработкой персональных данных на сайте
Слово «обработка» звучит технически, но по закону оно охватывает практически любое действие с данными: сбор, запись, хранение, уточнение, передачу, удаление. Если пользователь ввёл email в форму — это уже сбор. Если данные записались в базу — это хранение. Всё вместе — обработка персональных данных.
Частое заблуждение: «Я просто собираю email для рассылки, никаких данных не обрабатываю». Адрес электронной почты — это персональные данные. Получить его и добавить в список подписчиков — это уже обработка, требующая соблюдения всех требований 152-ФЗ.
Персональные данные — любая информация, которая прямо или косвенно позволяет идентифицировать человека. ФИО, телефон, email, адрес, дата рождения — очевидные примеры. Но сюда же входят IP-адрес, идентификаторы браузера, cookie, геолокация — то, что собирается автоматически.
Какие персональные данные чаще всего собирают сайты
Данные, которые пользователь передаёт сам
Email, телефон, ФИО, адрес доставки, дата рождения, фотография, ссылки на соцсети. Всё это попадает через формы: регистрации, заказа, обратной связи, подписки.
Данные, которые собираются автоматически
IP-адрес, данные о браузере и устройстве, история переходов по сайту, геолокация, файлы cookie. Пользователь зачастую не подозревает об этом сборе — и именно поэтому закон требует отдельного уведомления.
Cookie на практике признаются обработкой персональных данных, если с их помощью можно идентифицировать пользователя или отслеживать его поведение. Это значит, что даже сайт без единой формы — только с Google Analytics или Яндекс.Метрикой — технически обрабатывает персональные данные.
Размещение персональных данных на сайте
Публиковать чужие данные — фотографии, отзывы с именами, контакты сотрудников — можно только при наличии согласия. Отзыв клиента с его именем и фото — это персональные данные, размещённые в открытом доступе. Для этого нужно явное разрешение человека.
Данные сотрудников на странице «Команда» тоже требуют согласия каждого из них — даже если это просто имя и должность. Особенно аккуратно стоит подходить к публикации фотографий: это отдельная категория биометрических данных.
Если согласие не получено, а данные уже опубликованы — по требованию человека их нужно удалить. Промедление с удалением уже само по себе является нарушением.
Политика обработки персональных данных на сайте
Политика конфиденциальности — обязательный документ для любого сайта, который собирает данные пользователей. Без неё уже есть основание для штрафа, даже если всё остальное оформлено правильно.
Документ должен содержать: наименование и контакты оператора, цели сбора данных, перечень собираемых данных, категории пользователей, чьи данные обрабатываются, сроки хранения, порядок уничтожения, а также информацию о передаче данных третьим лицам.
Политику размещают в открытом доступе — обычно в футере сайта. Ссылка должна быть видна с любой страницы. Документ в закрытом разделе или на отдельной странице без ссылок не засчитывается.
Согласие с политикой конфиденциальности на сайте
Согласие должно быть явным, добровольным и информированным. Заранее проставленная галочка или фраза «Продолжая использовать сайт, вы соглашаетесь...» без чекбокса — не засчитываются.
Чекбокс под формой
Обязателен под каждой формой сбора данных: регистрация, заказ, подписка, обратная связь. Пользователь должен самостоятельно поставить отметку.
Содержание текста согласия
В тексте согласия указываются: кто является оператором, с какой целью собираются данные, какие именно данные, на какой срок, как отозвать согласие.
Право на отзыв
Пользователь должен иметь возможность отозвать согласие в любой момент. Обычно для этого предусматривают отдельную форму или контакт на странице политики.
Если согласие не получено, а данные всё равно собираются и обрабатываются — это одно из самых дорогостоящих нарушений с точки зрения штрафов.
Условия обработки и хранения персональных данных
Данные нельзя хранить вечно. Закон требует определить конкретные сроки хранения для каждой категории данных и уничтожить их по истечении этих сроков. Сроки прописываются в политике конфиденциальности.
Принцип минимизации: собирать нужно только те данные, которые действительно необходимы для заявленной цели. Если цель — доставка заказа, запрашивать дату рождения нет оснований.
Пользователь вправе направить запрос на удаление своих данных. Оператор обязан рассмотреть его в течение 10 рабочих дней и либо удалить данные, либо объяснить, почему этого сделать нельзя (например, если данные нужны для исполнения договора).
Штрафы за нарушение законодательства о персональных данных
С 2024 года суммы штрафов существенно выросли. Ниже — основные нарушения и соответствующие санкции.
| Нарушение | Штраф | Повторное нарушение |
|---|---|---|
| Отсутствие политики конфиденциальности | 30 000 — 60 000 руб. | До 100 000 руб. |
| Обработка данных без согласия | 300 000 — 700 000 руб. | До 1 500 000 руб. |
| Отсутствие договора с подрядчиком | 100 000 — 300 000 руб. | — |
| Утечка персональных данных | До 15 000 000 руб. | Процент от выручки |
Штрафы назначаются по итогам проверок Роскомнадзора — как плановых, так и инициированных жалобами пользователей. Проверка может начаться и после публичной огласки утечки данных.
Реестр операторов персональных данных Роскомнадзора
Большинство операторов обязаны подать уведомление в Роскомнадзор до начала обработки персональных данных. Уведомление подаётся через портал РКН, срок рассмотрения — 10 рабочих дней.
Есть исключения. Уведомление не требуется, если данные обрабатываются только для исполнения договора с самим субъектом, без передачи третьим лицам, или если речь идёт о данных собственных сотрудников. Но трактовки этих исключений узкие — лучше уточнять применительно к конкретной ситуации.
Если планируется передача данных за рубеж — в страны, не обеспечивающие адекватную защиту, — нужно отдельно уведомить РКН о трансграничной передаче. Это отдельное требование, не связанное с общим уведомлением об операторской деятельности.
Если вы передаёте данные третьим лицам
Передача данных подрядчику — CRM-системе, сервису email-рассылок, колл-центру — называется поручением на обработку. Это не снимает ответственности с оператора: за действия подрядчика отвечает тот, кто передал данные.
С каждым таким подрядчиком необходимо заключить договор или дополнительное соглашение, в котором прописаны: цель передачи, перечень данных, обязанности по защите, сроки и условия уничтожения.
Отдельное требование: базы данных с персональными данными российских пользователей должны храниться на серверах, расположенных в России. Это касается и иностранных сервисов, если они работают с российской аудиторией.
Дополнительные обязанности для юридических лиц
Организации, обрабатывающие персональные данные, обязаны назначить ответственного сотрудника — лицо, которое следит за соблюдением требований 152-ФЗ. Это может быть как отдельная должность, так и дополнительная функция существующего сотрудника.
Помимо этого, должны быть утверждены внутренние регламенты: политика обработки данных для сотрудников, инструкции по реагированию на запросы и инциденты. Технические меры защиты — шифрование, разграничение доступа, резервное копирование — тоже входят в обязательный минимум.
При утечке данных оператор обязан уведомить Роскомнадзор в течение 24 часов с момента обнаружения инцидента. Промедление рассматривается как отдельное нарушение.
Чек-лист для владельца сайта
Определить, какие персональные данные собирает сайт — через формы и автоматически
Подготовить и опубликовать политику конфиденциальности
Разместить ссылку на политику в футере сайта (должна быть доступна с любой страницы)
Добавить чекбоксы с согласием под каждую форму сбора данных
Разместить баннер о cookie с возможностью выбора
Подать уведомление в Роскомнадзор (если деятельность не попадает под исключения)
Настроить регламент ответов на запросы пользователей (срок — 10 рабочих дней)
Проверить передачу данных третьим лицам и заключить договоры поручения
Убедиться, что данные российских пользователей хранятся на серверах в России
Обеспечить технические меры защиты данных
Частые вопросы
У меня маленький сайт-визитка, нужна ли мне политика конфиденциальности?
Можно ли скопировать политику конфиденциальности с другого сайта?
Нужно ли уведомлять РКН, если я ИП и сайт небольшой?
Что будет, если пользователь потребует удалить его данные?
Я использую Яндекс.Метрику и Google Analytics — это уже передача данных третьим лицам?
Итог
Любой сайт с формами, счётчиками аналитики или кнопками «Связаться с нами» является оператором персональных данных. Это не зависит от размера бизнеса, организационно-правовой формы или намерений владельца.
Основные риски — не в самом факте сбора данных, а в отсутствии документов: политики, согласий, уведомления в РКН, договоров с подрядчиками. Именно это проверяет Роскомнадзор и за это назначает штрафы.
Привести сайт в порядок — задача решаемая. Начать можно с чек-листа выше: он охватывает минимальный набор действий, который закрывает большинство типичных нарушений.