Персональные данные на сайте: полный гайд по закону, защите и обработке

Согласно ст. 3 152-ФЗ, персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. то есть к субъекту персональных данных.

В таблице мы приводим сводную информацию о том, какие данные операторы собирают с помощью сайта.

Операторы персональных данных с помощью сайтов чаще всего собирают информацию, позволяющие расширить круг клиентской базы и увеличить продажи товаров и услуг.

1. Email и телефон (97% сайтов с формами обратной связи).
2. ФИО (85% интернет-магазинов и сервисов).
3. Адрес доставки (78% e-commerce площадок).
4. Платежные данные (65% коммерческих сайтов).
5. Данные устройства (92% всех сайтов через cookie).

Приведем несколько примеров использования:

• Интернет-магазины: ФИО, телефон, адрес, платежные данные;
• Соцсети: фото, интересы, список друзей;
• Медицинские сайты: данные о здоровье;
• Банковские сервисы: паспортные данные, ИНН.

Современные технологии позволяют собирать персональные данные пользователей автоматически и мгновенно. Рассмотрим основные методы и инструменты, которые используют сайты, приложения и сервисы для быстрого сбора информации.

Самый распространенный способ — формы ввода, которые пользователь заполняет вручную.

Где встречается?

• Регистрация на сайте (email, телефон, ФИО).
• Подписка на рассылку (чекбокс согласия).
• Оформление заказа (адрес доставки, платежные данные).
• Обратная связь (контактные данные).

Как ускоряют сбор?

• Автозаполнение (браузеры сохраняют данные).
• Одноэтапная регистрация (через соцсети).
• Prefill-формы (подстановка данных из CRM).

Сбор данных пользователей происходит в автоматическом режиме. Многие данные собираются без явного согласия пользователя.

Какие данные собирают автоматически?

• IP-адрес (геолокация, провайдер).
• Cookie и трекеры (история посещений).
• Данные устройства (ОС, модель телефона, разрешение экрана).
• Поведенческие данные (клики, время на странице).

Какие технологии используют?

• Google Analytics, Яндекс.Метрика (аналитика поведения).
• Facebook Pixel, TikTok Pixel (ретаргетинг).
• Heatmap-сервисы (анализ кликов).
• Session Replay (запись действий пользователя).

Данные посетителей сайта могут собираться косвенно через подключенные сервисы.

Как это работает?

1. Пользователь заходит на сайт → подгружается скрипт Google Analytics.
2. Сервис записывает его действия → передает данные в рекламные системы.
3. Пользователь видит рекламу этих товаров в другом месте.

Какие сервисы собирают данные?

• Платежные системы (данные карт).
• Соцсети (через кнопки «Войти через Facebook/VK»).
• CRM-системы (сохранение истории заказов).
• Облачные сервисы (хранение баз данных).

Некоторые сервисы намеренно ускоряют сбор данных, используя неочевидные схемы.

Какие приемы используют?

• Принудительная регистрация («Без входа нельзя купить»).
• Скрытые чекбоксы (подписка на спам в форме заказа).
• Всплывающие окна (сбор телефона за «спецпредложение»).
• Микро-игры и тесты («Узнай свой тип личности» → сбор данных).

Чтобы избавиться от надоедливой рекламы, или если вы не хотите оставлять следы своих действий в сети интернет, можно принять ряд простых мер.

1. Отключайте куки в настройках браузера.
2. Используйте VPN (скрывает IP).
3. Не входите через соцсети (лучше отдельная регистрация).
4. Читайте политику конфиденциальности (куда идут ваши данные).
5. Применяйте одноразовые email/телефоны для регистрации.

Сбор персональных данных стал мгновенным благодаря автоматизации.

• Явный сбор — через формы (регистрация, заказы).
• Скрытый сбор — трекеры, пиксели, cookie.
• Косвенный сбор — через интеграции (соцсети, CRM).

Если сайт собирает данные без согласия — это нарушение 152-ФЗ, и можно жаловаться в РКН.

152-ФЗ устанавливает строгие правила обработки персональных данных на сайте. С 1 марта 2023 года штрафы за нарушения значительно выросли.

1. Уведомление РКН (если обработка не относится к исключениям ст. 22).
2. Согласие пользователя (обязателен чекбокс, нельзя предзаполнять).
3. Политика конфиденциальности (должна быть в подвале сайта).
4. Защита данных (SSL, ограничение доступа).
5. Уничтожение после истечения срока хранения.

Закон 152-ФЗ распространяется на всех, кто обрабатывает персональные данные россиян, независимо от формы собственности и масштабов деятельности. Напомним, что признаками несоблюдения требований 152-ФЗ на сайте выступают:

1. Отсутствие Политики конфиденциальности.
2. Отсутствие Согласия на обработку персональных данных.
3. Отсутствие чекбокса согласия на сайте.
4. Хранение данных дольше установленного срока так же является нарушением требований 152-ФЗ. 

Штрафы могут получить:

1. Юридические лица (ООО, АО, госучреждения). Размеры штрафов — до 6 млн рублей (по ст. 13.11 КоАП).

За что:

• Обработка данных без согласия пользователя.
• Утечка персональных данных.
• Неуведомление РКН перед началом работы с персональными данными, после завершения работы с персональными данными, если произошла утечка, взлом базы и т. п. (если деятельность не подпадает под исключения).
• Передача данных за границу без соблюдения требований.

2. Индивидуальные предприниматели (ИП). Российским законодательством предусмотрены штрафы до 500 тыс. рублей.

За что:

• Утечка персональных данных: неправомерная передача данных затронула от 1 до 10000 граждан или от 10 до 100 тысяч граждан, штраф от 3 млн до 5 млн руб..
• Неправомерное распространение персональных данных спецкатегорий — от 10 млн до 15 млн руб.
• Неуведомление Роскомнадзора. За несообщение ведомству об утечке, которой нарушены права субъектов персональных данных — от 400 тыс. до 800 тыс. руб.
• Неуведомление о намерении обрабатывать личную информацию — от 100 тыс. до 300 тыс. руб.
• Нарушение прав потребителей (отказ заключить, исполнить, изменить или расторгнуть договор с потребителем из-за того, что он не стал проходить идентификацию (аутентификацию) по биометрии) — от 50 тыс. до 100 тыс. руб.

3. Должностные лица (директора, ответственные сотрудники) могут быть оштрафованы.

За что:

• Неправомерное распространение персональных данных спецкатегорий — от 1 млн до 1,3 млн руб.
• Неуведомление Роскомнадзора. Штрафы должностным лицам государственного или муниципального органа либо некоммерческой организации — от 400 тыс. до 800 тыс. руб.
• Неуведомление о намерении обрабатывать личную информацию. — от 30 тыс. до 50 тыс. руб.
• Нарушение прав потребителей: отказ заключить, исполнить, изменить или расторгнуть договор с потребителем из-за того, что он не стал проходить идентификацию (аутентификацию) по биометрии — от 50 тыс. до 100 тыс. руб.

Нарушением требований 152-ФЗ должностными лицами также является: 

• Не назначен ответственный за защиту ПДн.
• Нет журнала учета доступа к данным.
• Не исполнение требований Акта проведения проверки соответствия в рамках полученного предписания от  РКН.

4. Физические лица, при обработке персональных данных не в личных/семейных интересах.

За что:

• Неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных —  от 5000 до 10 000 рублей.
• Утечка персональных данных. Если неправомерная передача данных затронула от 1 до 10 тысяч граждан, размер штрафа от 200 000 до 400 000 рублей. Если утечка информации затронула от 10 до 100 тысяч граждан, размер штрафа составит от 200 000 до 300 000 рублей. Нарушение, затрагивающее данные более 100 тысяч граждан —  от 300 000 до 400 000 рублей.
• Утечка биометрических персональных данных - от 400 000 до 500 000 рублей.

В настоящий момент в РФ проверки заморожены до 2030 года, мораторий. Однако, согласно Постановлению Правительства РФ от 29 июня 2021 г. N 1046 Роскомнадзор проводит проверки веб-ресурсов без взаимодействия с операторами обработки персональных данных. Выполняется мониторинг  сайтов на предмет соблюдения требований 152-ФЗ: локализация баз данных, политика конфиденциальности, согласие на обработку персональных данных, соответствие объёма обрабатываемых персональных данных целям обработки. Чаще всего проверяют сайты.

• Государственных учреждений и организаций.
• Интернет-магазины (сбор ФИО, телефонов, адресов доставки).
• Сайты с формами подписки (email-рассылки без согласия).
• Соцсети и форумы (хранение профилей пользователей).
• Маркетинговые агентства (использование данных для таргета).

Подается до начала обработки через сервис РКН. Уведомление не подается в трех случаях (эти исключения перечислены в ч. 2 ст. 22 Федерального закона «О персональных данных от 27.07.2006 №152-ФЗ»):

1. Оператор выполняет обработку персональных данных вручную, без использования средств автоматизации, например полностью в бумажном варианте.
2. Обработка данных, которые включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка.
3. Обработка данных в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Размеры штрафов:

от 5 000 до 10 000 рублей — для физических лиц (к ним относятся и самозанятые граждане);

от 30 000 до 50 000 рублей — для должностных лиц государственных, муниципальных органов или некоммерческих организаций;

от 100 000 до 300 000 рублей — для организаций и индивидуальных предпринимателей.

Новые составы статьи 13.11 КоАП за не уведомление Роскомнадзора

Обязательно:

• Чекбокс согласия (не предотмеченный!);
• Гиперссылка на политику конфиденциальности;
• Четкое указание целей обработки.

Запрещено:

• Скрытые соглашения (мелкий шрифт);
• Автоматическая подписка на рассылки.

Пример правильной формы:

☐ Я согласен на обработку моих персональных данных согласно [Политике конфиденциальности]

Оператору данных рекомендуем реализовать комплекс базовых технических мер, чтобы обеспечить защиту сайта и минимизировать риски утечки персональных данных пользователей:

• SSL-сертификат (HTTPS);
• Шифрование баз данных;
• Регулярные обновления CMS;
• Ограничение доступа к данным.
• DDoS-защита.
• Двухфакторная аутентификация для администраторов сайта.

Персональные данные нельзя хранить "на всякий случай". Установите четкие сроки:

• Данные для доставки — 3-6 месяцев после выполнения заказа.
• Данные для рассылок — пока действует согласие.
• Финансовые данные — согласно требованиям 115-ФЗ.

1. Подача уведомления (если не подпадаете под исключения ст. 22 152-ФЗ).
2. Ведение реестра обработки персональных данных(для проверок).
3. Реагирование на запросы пользователей об удалении их данных.

1. Данные несовершеннолетних: требуется согласие родителей.
2. Передача данных за рубеж: только в страны с адекватной защитой (список РКН).
3. Биометрические данные: требуется письменное согласие (ст. 11 152-ФЗ).

Согласие — это юридический документ, без которого обработка персональных данных незаконна.

• Наименование оператора ПДн (ООО или ИП)
• Цель обработки (рассылка, доставка)
• Перечень данных (email, телефон)
• Срок действия (например, 3 года)
• Способ отзыва согласия

• Форма с чекбоксом (нельзя ставить галочку по умолчанию).
• Ссылка на политику конфиденциальности.
• Подпись (для бумажных форм).

Ошибка: если чекбокс предотмечен — это нарушение.

Утечка данных может привести не только к штрафам, но и к потере репутации. Чтобы избежать неприятностей в работе с персональными данными стоит уделить внимание реализации следующих мер на вашем сайте.

Технические меры защиты

• HTTPS (шифрование передаваемых данных).
• Регулярное обновление CMS и плагинов.
• Ограничение доступа к базе данных.
• Резервное копирование.

Организационные меры

• Приказ о назначении ответственного за ПДн.
• Журнал учета доступа к данным.
• Уничтожение данных после истечения срока.

Порядок передачи персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу представлен в статье 12 Федерального закона от 27.07.2006 №152-ФЗ. Трансграничная передача возможна только при соблюдении следующих условий:

1. Персональные данные предварительно собраны и сохранены в базе данных, расположенной на территории РФ.
2. Оператор уведомил Роскомнадзор о намерении осуществить трансграничную передачу, подав отдельное уведомление.
3. Обеспечено наличие законных оснований для передачи и гарантирована конфиденциальность данных. Законным основанием является соблюдение следующих условий:

• Страна-получатель входит в перечень РКН с адекватной защитой данных (например, Беларусь, Казахстан, Южная Корея).
• Получено письменное согласие субъекта ПДн на передачу.
• Передача необходима для исполнения договора с пользователем (например, доставка заказа).
• Данные обезличены или передаются в международные системы (авиаперелеты, SWIFT).

С 1 июля 2025 года в России правила передачи персональных данных за границу стали жестче: запрещено хранить и обрабатывать данные россиян в зарубежных базах данных — сначала все данные должны находиться на серверах в России. Это касается и компаний, собирающих данные, и всех подрядчиков, которые их обрабатывают. Передавать персональные данные за границу можно только после их локализации в РФ и обязательного уведомления Роскомнадзора.

Шаг 1. Определите цель и основания

• Укажите в политике конфиденциальности: "Данные могут передаваться в [страну] для [цель] на основании [согласие/договор]".

Шаг 2. Получите согласие (необходима отдельная форма -  Согласие на трансграничную передачу персональных данных)

• Включите отдельный пункт в форму согласия на сайте: 

☐ Я согласен на передачу персональных данных в [страну] для [цели].

Шаг 3. Проверьте получателя

Убедитесь, что иностранная компания:

• Подписала Стандартные договорные условия (SCC) по GDPR (для ЕС).
• Имеет сертификат Privacy Shield (для США).

Шаг 4. Зафиксируйте передачу

• Внесите запись в Журнал обработки персональных данных:

Шаг 5. Обеспечьте безопасность

При автоматической обработке персональных данных используйте:

• Шифрование (TLS 1.2+) при передаче.
• DPA (Data Processing Agreement) с обработчиком.

Для облачных сервисов (AWS, Google Cloud):

• Выбирайте регионы хранения данных (например, AWS Frankfurt для ЕС).
• Подписывайте DPA с провайдером.

Для рассылок через иностранные сервисы (Mailchimp):

• Включайте пункт о передаче в согласие.
• Отключайте геотаргетинг для запрещенных стран.

Документы для соблюдения:

• Типовой договор РКН.
• Список разрешенных стран.
• Образец журнала передач.

Владелец сайта может передавать персональные данные пользователей третьим лицам только в строго определенных случаях, предусмотренных законодательством.

1. Подписать договор поручения с третьим лицом (ст. 6 152-ФЗ):

• Указать, что данные используются только для указанных целей.
• Прописать меры защиты (шифрование, доступ по VPN).

2. Уведомить пользователей (если требуется):

• Например: "Ваши данные передаются в «Почту России» для доставки".

3. Зафиксировать в реестре обработки:

Документ необходим, если:

• Оператор (владелец сайта) передает данные обработчику (например, хостинг-провайдеру, CRM-системе, call-центру);
• Обработка осуществляется третьей стороной (не сотрудниками оператора).

Примеры:

• Хранение данных на серверах в облаке (AWS, Selectel);
• Рассылка email через сервис (Unisender, Mailchimp);
• Обзвон клиентов call-центром.

По ст. 6 152-ФЗ, в документе должны быть:

1. Перечень действий с данными (хранение, анализ, передача).
2. Способы защиты (шифрование, доступ по VPN).
3. Обязанность соблюдать 152-ФЗ (включая запрет на передачу третьим лицам без согласия оператора).
4. Сроки возврата/уничтожения данных после окончания работ.

1. Подписать отдельный договор (как в образце выше) или включить раздел в основной контракт с обработчиком.
2. Проверить лицензии обработчика (например, наличие сертификата ФСТЭК для хостингов).
3. Зарегистрировать в журнале учета поручений (если требуется внутренними регламентами).

• Оператор отвечает перед пользователями за действия обработчика.
• Обработчик обязан соблюдать условия поручения — иначе штраф до 200 тыс. руб. (ст. 13.11 КоАП).

*Актуальные правила на 2025 год с учетом последних изменений.

Назначение ответственных.

Оператор ПДн (компания) должен назначить:

• Ответственного за обработку ПДн (приказом);
• Сотрудника по информационной безопасности (если данные обрабатываются в ИС).

Документальное оформление.

Обязательные документы:

• Политика обработки ПДн (публикуется на сайте).
• Форма согласия на обработку (чекбокс с гиперссылкой на политику).
• Реестр обработки ПДн (учет всех процессов работы с данными).
• Приказы о назначении ответственных.
• Штраф за отсутствие: до 300 тыс. руб. (ст. 13.11 КоАП).

Безопасность хранения и передачи.

Обязательно:

• SSL-сертификат (HTTPS) для сайтов;
• Шифрование баз данных (AES-256);
• Регулярное резервное копирование.

Рекомендуется:

• DDoS-защита;
• Двухфакторная аутентификация для админки.

Защита от утечек.

• Ограничение доступа к данным по принципу «need to know»;
• Логирование всех действий с ПДн;
• Ежегодный аудит безопасности.

Штраф за утечку: до 6 млн руб. (ст. 13.11 КоАП).

Владельцы сайтов должны обеспечить безопасный способ сбора и передачи персональных данных с использованием доступных и понятных инструкций.

Чекбокс не должен быть предотмечен.

В форме согласия указывайте:

• Цели обработки (например, «для доставки заказа»);
• Срок действия согласия;
• Контакты для отзыва.

Сроки ответа оператора:

• 30 дней — на запрос о доступе к данным;
• 10 дней — на исправление неточных данных;
• 3 дня — на отзыв согласия.

Согласно статье 14 Федерального закона № 152-ФЗ, пользователи имеют безусловное право направлять запросы владельцу сайта (оператору ПДн) об уточнении действий (обработке) своих персональных данных, изменении. Это закреплено в 152-ФЗ, ст. 14: «Субъект ПДн имеет право на получение сведений об обработке его данных, включая цели, способы и сроки обработки».

Владелец сайта (оператор) может отказать, если:

• Запрос анонимный (нет идентификации пользователя).
• Данные необходимы для исполнения договора (например, заказ в интернет-магазине).
• Требование противоречит закону (например, сохранение финансовых данных по 115-ФЗ).

Субъект персональных данных имеет право направить оператору запрос для получения сведений об обработке персональных данных и внесению изменений (152-ФЗ, статья 21).

*Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Шаг 1. Верификация пользователя. Запросите подтверждение личности:

• Подтверждение email/телефона;
• Данные из последнего заказа (для клиентов).

Шаг 2. Фиксация запроса. Внесите в Журнал учета запросов:

Шаг 3. Исполнение требования. Для удаления:

3.1. Очистите данные из:

• CRM-системы;
• Резервных копий;
• Серверов хостинга.

3.2. Отправьте подтверждение: "Ваши персональные данные удалены из наших систем 15.07.2024." Для исправления:

• Внесите изменения во все базы данных.
• Укажите в ответе, какие поля были изменены.

Шаг 4. Уведомление третьих сторон. Если данные передавались партнерам:

1. Составьте перечень организаций.
2. Отправьте им запрос на удаление/коррекцию.
3. Уведомите пользователя о выполнении.

1. Подтверждение приема запроса:
"Уважаемый [Имя],
Ваш запрос на [доступ/удаление/исправление] персональных данных зарегистрирован [дата].
Ответ будет предоставлен до [срок]."

2. Отказ в удалении (законные основания):
"В соответствии со ст. 15 152-ФЗ, мы обязаны сохранить ваши данные
до [дата] в целях [исполнения договора/соблюдения закона].
Полный перечень оснований: [ссылка на документ]."

3. Запрос верификации:
"Для обработки запроса подтвердите личность:
Отправьте скан паспорта (стр. 1-2 с скрытыми 6 цифрами номера).
Ответьте с привязанного email/телефона."

Запросы через соцсети:

• Перенаправляйте на официальные каналы (email, форма на сайте).
• Не обсуждайте персональные данные в публичной переписке.

Анонимные запросы:

• Не подлежат исполнению (ст. 14 152-ФЗ).
• Ответьте шаблоном: "Для обработки запроса требуется идентификация."

Массовые запросы (например, от бывших сотрудников):

• Проверьте на злоупотребление правом.
• Запросите уточнение целей.

Персональные данные требуют особого внимания. Чтобы избежать проблем:

1. Получайте согласие пользователей.
2. Защищайте данные от утечек.
3. Следите за изменениями в законодательстве.

Проверить, внесён ли ваш сайт в реестр РКН, можно здесь: https://pd.rkn.gov.ru.

Дополнительные ресурсы:

• Текст 152-ФЗ.
• Методички РКН.

Соблюдайте закон — и ваш бизнес будет в безопасности!