Персональные данные на сайте: полный гайд по закону, защите и обработке

Согласно ст. 3 152-ФЗ, персональные данные (ПДн) — это любая информация, которая прямо или косвенно относится к физическому лицу и позволяет его идентифицировать.

1. Email и телефон (97% сайтов с формами обратной связи).
2. ФИО (85% интернет-магазинов и сервисов).
3. Адрес доставки (78% e-commerce площадок).
4. Платежные данные (65% коммерческих сайтов).
5. Данные устройства (92% всех сайтов через cookie).

Приведем несколько примеров использования:

• Интернет-магазины: ФИО, телефон, адрес, платежные данные;
• Соцсети: фото, интересы, список друзей;
• Медицинские сайты: данные о здоровье;
• Банковские сервисы: паспортные данные, ИНН.

Современные технологии позволяют собирать персональные данные пользователей автоматически и мгновенно. Рассмотрим основные методы и инструменты, которые используют сайты, приложения и сервисы для быстрого сбора информации.

Самый распространенный способ — формы ввода, которые пользователь заполняет вручную.

Где встречается?

• Регистрация на сайте (email, телефон, ФИО).
• Подписка на рассылку (чекбокс согласия).
• Оформление заказа (адрес доставки, платежные данные).
• Обратная связь (контактные данные).

Как ускоряют сбор?

• Автозаполнение (браузеры сохраняют данные).
• Одноэтапная регистрация (через соцсети).
• Prefill-формы (подстановка данных из CRM).

Сбор данных пользователей происходит в автоматическом режиме. Многие данные собираются без явного согласия пользователя.

Какие данные собирают автоматически?

• IP-адрес (геолокация, провайдер).
• Cookie и трекеры (история посещений).
• Данные устройства (ОС, модель телефона, разрешение экрана).
• Поведенческие данные (клики, время на странице).

Какие технологии используют?

• Google Analytics, Яндекс.Метрика (аналитика поведения).
• Facebook Pixel, TikTok Pixel (ретаргетинг).
• Heatmap-сервисы (анализ кликов).
• Session Replay (запись действий пользователя).

Данные посетителей сайта могут собираться косвенно через подключенные сервисы.

Как это работает?

1. Пользователь заходит на сайт → подгружается скрипт Google Analytics.
2. Сервис записывает его действия → передает данные в рекламные системы.
3. Пользователь видит рекламу этих товаров в другом месте.

Какие сервисы собирают данные?

• Платежные системы (данные карт).
• Соцсети (через кнопки «Войти через Facebook/VK»).
• CRM-системы (сохранение истории заказов).
• Облачные сервисы (хранение баз данных).

Некоторые сервисы намеренно ускоряют сбор данных, используя неочевидные схемы.

Какие приемы используют?

• Принудительная регистрация («Без входа нельзя купить»).
• Скрытые чекбоксы (подписка на спам в форме заказа).
• Всплывающие окна (сбор телефона за «спецпредложение»).
• Микро-игры и тесты («Узнай свой тип личности» → сбор данных).

Чтобы избавиться от надоедливой рекламы, или если вы не хотите оставлять следы своих действий в сети интернет, можно принять ряд простых мер.

1. Отключайте куки в настройках браузера.
2. Используйте VPN (скрывает IP).
3. Не входите через соцсети (лучше отдельная регистрация).
4. Читайте политику конфиденциальности (куда идут ваши данные).
5. Применяйте одноразовые email/телефоны для регистрации.

Сбор персональных данных стал мгновенным благодаря автоматизации.

• Явный сбор — через формы (регистрация, заказы).
• Скрытый сбор — трекеры, пиксели, cookie.
• Косвенный сбор — через интеграции (соцсети, CRM).

Если сайт собирает данные без согласия — это нарушение 152-ФЗ, и можно жаловаться в РКН.

152-ФЗ устанавливает строгие правила обработки персональных данных на сайте. С 1 марта 2023 года штрафы за нарушения значительно выросли.

1. Уведомление РКН (если обработка не относится к исключениям ст. 22).
2. Согласие пользователя (обязателен чекбокс, нельзя предзаполнять).
3. Политика конфиденциальности (должна быть в подвале сайта).
4. Защита данных (SSL, ограничение доступа).
5. Уничтожение после истечения срока хранения.

Закон 152-ФЗ распространяется на всех, кто обрабатывает персональные данные россиян, независимо от формы собственности и масштабов деятельности. Штрафы могут получить:

1. Юридические лица (ООО, АО, госучреждения)

Штрафы: до 6 млн рублей (по ст. 13.11 КоАП).

За что:

• Обработка данных без согласия пользователя.
• Утечка из-за плохой защиты.
• Неуведомление РКН (если деятельность не подпадает под исключения).
• Передача данных за границу без соблюдения требований.

2. Индивидуальные предприниматели (ИП)

Штрафы: до 500 тыс. рублей.

За что:

• Сбор данных без политики конфиденциальности.
• Отсутствие чекбокса согласия на сайте.
• Хранение данных дольше установленного срока.

3. Должностные лица (директора, ответственные сотрудники)

Штрафы: от 10 до 100 тыс. рублей (для руководителей).

За что:

• Не назначен ответственный за защиту ПДн.
• Нет журнала учета доступа к данным.
• Игнорирование предписаний РКН.

4. Физические лица (если обрабатывают данные без регистрации бизнеса)

Штрафы: до 200 тыс. рублей (если сбор данных связан с коммерческой деятельностью).

• Интернет-магазины (сбор ФИО, телефонов, адресов доставки).
• Сайты с формами подписки (email-рассылки без согласия).
• Соцсети и форумы (хранение профилей пользователей).
• Маркетинговые агентства (использование данных для таргета).

Подается до начала обработки через сервис РКН. Не требуется, если:

• Данные обрабатываются только для исполнения договора (ст. 22 152-ФЗ);
• Компания использует данные только для зарплатных проектов.

Штраф за неуведомление: до 200 тыс. руб.

Обязательно:

• Чекбокс согласия (не предотмеченный!);
• Гиперссылка на политику конфиденциальности;
• Четкое указание целей обработки.

Запрещено:

• Скрытые соглашения (мелкий шрифт);
• Автоматическая подписка на рассылки.

Пример правильной формы:

☐ Я согласен на обработку моих персональных данных согласно [Политике конфиденциальности]

Обязательные меры:

• SSL-сертификат (HTTPS);
• Шифрование баз данных;
• Регулярные обновления CMS;
• Ограничение доступа к данным.

Рекомендуемые:

• DDoS-защита.
• Двухфакторная аутентификация для админки.

Персональные данные нельзя хранить "на всякий случай". Установите четкие сроки:

• Данные для доставки — 3-6 месяцев после выполнения заказа.
• Данные для рассылок — пока действует согласие.
• Финансовые данные — согласно требованиям 115-ФЗ.

1. Подача уведомления (если не подпадаете под исключения ст. 22 152-ФЗ)
2. Ведение реестра обработки (для проверок)
3. Реагирование на запросы пользователей об удалении их данных

1. Данные несовершеннолетних: требуется согласие родителей.
2. Передача данных за рубеж: только в страны с адекватной защитой (список РКН).
3. Биометрические данные: дополнительное согласие по ст. 11 152-ФЗ.

Согласие — это юридический документ, без которого обработка персональных данных незаконна.

• Наименование оператора ПДн (ООО или ИП)
• Цель обработки (рассылка, доставка)
• Перечень данных (email, телефон)
• Срок действия (например, 3 года)
• Способ отзыва согласия

• Форма с чекбоксом (нельзя ставить галочку по умолчанию).
• Ссылка на политику конфиденциальности.
• Подпись (для бумажных форм).

Ошибка: если чекбокс предотмечен — это нарушение.

Утечка данных может привести не только к штрафам, но и к потере репутации. Чтобы избежать неприятностей в работе с персональными данными стоит уделить внимание реализации следующих мер на вашем сайте.

Технические меры защиты

• HTTPS (шифрование передаваемых данных).
• Регулярное обновление CMS и плагинов.
• Ограничение доступа к базе данных.
• Резервное копирование.

Организационные меры

• Приказ о назначении ответственного за ПДн.
• Журнал учета доступа к данным.
• Уничтожение данных после истечения срока.

Трансграничная передача возможна только при соблюдении одного из условий:

1. Страна-получатель входит в перечень РКН с адекватной защитой данных (например, Беларусь, Казахстан, Южная Корея).
2. Получено письменное согласие субъекта ПДн на передачу.
3. Передача необходима для исполнения договора с пользователем (например, доставка заказа).
4. Данные обезличены или передаются в международные системы (авиаперелеты, SWIFT).

Шаг 1. Определите цель и основания

• Укажите в политике конфиденциальности: "Данные могут передаваться в [страну] для [цель] на основании [согласие/договор]".

Шаг 2. Получите согласие (если требуется)

• Включите отдельный пункт в форму согласия: 

☐ Я согласен на передачу персональных данных в [страну] для [цели].

Шаг 3. Проверьте получателя

Убедитесь, что иностранная компания:

• Подписала Стандартные договорные условия (SCC) по GDPR (для ЕС).
• Имеет сертификат Privacy Shield (для США).

Шаг 4. Зафиксируйте передачу

• Внесите запись в Журнал трансграничных передач:

Шаг 5. Обеспечьте безопасность

Используйте:

• Шифрование (TLS 1.2+) при передаче.
• DPA (Data Processing Agreement) с обработчиком.

Нельзя передавать без согласия в страны:

• Не входящие в список РКН (например, Китай, ОАЭ).
• Без адекватной защиты (ст. 12 152-ФЗ).

Исключения:

• Данные для международных договоров (например, Interpol).
• Публичные данные (соцсети, открытые реестры).

Для облачных сервисов (AWS, Google Cloud):

• Выбирайте регионы хранения данных (например, AWS Frankfurt для ЕС).
• Подписывайте DPA с провайдером.

Для рассылок через иностранные сервисы (Mailchimp):

• Включайте пункт о передаче в согласие.
• Отключайте геотаргетинг для запрещенных стран.

Документы для соблюдения:

• Типовой договор РКН.
• Список разрешенных стран.
• Образец журнала передач.

Владелец сайта может передавать персональные данные пользователей третьим лицам только в строго определенных случаях, предусмотренных законодательством.

1. Подписать договор поручения с третьим лицом (ст. 6 152-ФЗ):

• Указать, что данные используются только для указанных целей.
• Прописать меры защиты (шифрование, доступ по VPN).

2. Уведомить пользователей (если требуется):

• Например: "Ваши данные передаются в «Почту России» для доставки".

3. Зафиксировать в реестре обработки:

Документ необходим, если:

• Оператор (владелец сайта) передает данные обработчику (например, хостинг-провайдеру, CRM-системе, call-центру);
• Обработка осуществляется третьей стороной (не сотрудниками оператора).

Примеры:

• Хранение данных на серверах в облаке (AWS, Selectel);
• Рассылка email через сервис (Unisender, Mailchimp);
• Обзвон клиентов call-центром.

По ст. 6 152-ФЗ, в документе должны быть:

1. Перечень действий с данными (хранение, анализ, передача).
2. Способы защиты (шифрование, доступ по VPN).
3. Обязанность соблюдать 152-ФЗ (включая запрет на передачу третьим лицам без согласия оператора).
4. Сроки возврата/уничтожения данных после окончания работ.

1. Подписать отдельный договор (как в образце выше) или включить раздел в основной контракт с обработчиком.
2. Проверить лицензии обработчика (например, наличие сертификата ФСТЭК для хостингов).
3. Зарегистрировать в журнале учета поручений (если требуется внутренними регламентами).

• Оператор отвечает перед пользователями за действия обработчика.
• Обработчик обязан соблюдать условия поручения — иначе штраф до 200 тыс. руб. (ст. 13.11 КоАП).

*Актуальные правила на 2025 год с учетом последних изменений.

Назначение ответственных.

Оператор ПДн (компания) должен назначить:

• Ответственного за обработку ПДн (приказом);
• Сотрудника по информационной безопасности (если данные обрабатываются в ИС).

Документальное оформление.

Обязательные документы:

• Политика обработки ПДн (публикуется на сайте).
• Форма согласия на обработку (чекбокс с гиперссылкой на политику).
• Реестр обработки ПДн (учет всех процессов работы с данными).
• Приказы о назначении ответственных.
• Штраф за отсутствие: до 300 тыс. руб. (ст. 13.11 КоАП).

Безопасность хранения и передачи.

Обязательно:

• SSL-сертификат (HTTPS) для сайтов;
• Шифрование баз данных (AES-256);
• Регулярное резервное копирование.

Рекомендуется:

• DDoS-защита;
• Двухфакторная аутентификация для админки.

Защита от утечек.

• Ограничение доступа к данным по принципу «need to know»;
• Логирование всех действий с ПДн;
• Ежегодный аудит безопасности.

Штраф за утечку: до 6 млн руб. (ст. 13.11 КоАП).

Владельцы сайтов должны обеспечить безопасный способ сбора и передачи персональных данных с использованием доступных и понятных инструкций.

Чекбокс не должен быть предотмечен.

В форме согласия указывайте:

• Цели обработки (например, «для доставки заказа»);
• Срок действия согласия;
• Контакты для отзыва.

Сроки ответа:

• 30 дней — на запрос о доступе к данным;
• 10 дней — на исправление неточных данных;
• 3 дня — на отзыв согласия.

Согласно статье 14 Федерального закона № 152-ФЗ и статье 18 GDPR (для работы с ЕС), пользователи имеют безусловное право направлять запросы владельцу сайта (оператору ПДн) о своих персональных данных. Это закреплено в следующих нормах:

• 152-ФЗ, ст. 14: «Субъект ПДн имеет право на получение сведений об обработке его данных, включая цели, способы и сроки обработки».
• GDPR, ст. 15: «Пользователь может запросить подтверждение обработки его данных и их копию».

Основания для отказа

• Владелец сайта может отказать, если:
• Запрос анонимный (нет идентификации пользователя).
• Данные необходимы для исполнения договора (например, заказ в интернет-магазине).
• Требование противоречит закону (например, сохранение финансовых данных по 115-ФЗ).

Шаг 1. Верификация пользователя. Запросите подтверждение личности:

• Копия паспорта (частично скрытая);
• Подтверждение email/телефона;
• Данные из последнего заказа (для клиентов).

Шаг 2. Фиксация запроса. Внесите в Журнал учета запросов:

Шаг 3. Исполнение требования. Для удаления:

3.1. Очистите данные из:

• CRM-системы
• Резервных копий
• Серверов хостинга

3.2. Отправьте подтверждение: "Ваши персональные данные удалены из наших систем 15.07.2024." Для исправления:

• Внесите изменения во все базы данных.
• Укажите в ответе, какие поля были изменены.

Шаг 4. Уведомление третьих сторон. Если данные передавались партнерам:

1. Составьте перечень организаций.
2. Отправьте им запрос на удаление/коррекцию.
3. Уведомите пользователя о выполнении.

1. Подтверждение приема запроса:
"Уважаемый [Имя],
Ваш запрос на [доступ/удаление/исправление] персональных данных зарегистрирован [дата].
Ответ будет предоставлен до [срок]."

2. Отказ в удалении (законные основания):
"В соответствии со ст. 15 152-ФЗ, мы обязаны сохранить ваши данные
до [дата] в целях [исполнения договора/соблюдения закона].
Полный перечень оснований: [ссылка на документ]."

3. Запрос верификации:
"Для обработки запроса подтвердите личность:
Отправьте скан паспорта (стр. 1-2 с скрытыми 6 цифрами номера).
Ответьте с привязанного email/телефона."

Запросы через соцсети:

• Перенаправляйте на официальные каналы (email, форма на сайте).
• Не обсуждайте персональные данные в публичной переписке.

Анонимные запросы:

• Не подлежат исполнению (ст. 14 152-ФЗ).
• Ответьте шаблоном: "Для обработки запроса требуется идентификация."

Массовые запросы (например, от бывших сотрудников):

• Проверьте на злоупотребление правом.
• Запросите уточнение целей.

Ежеквартальный аудит:

• Анализ выполнения сроков.
• Проверка журналов учета.

Обучение сотрудников:

• Проводите тренировки по обработке запросов.

Штрафные риски:

• Задержка ответа → штраф до 75 тыс. руб. (ст. 13.11 КоАП).
• Игнорирование → до 300 тыс. руб.

Дополнительные ресурсы:

• Образец журнала учета запросов.
• Онлайн-конструктор ответов.

Персональные данные требуют особого внимания. Чтобы избежать проблем:

1. Получайте согласие пользователей.
2. Защищайте данные от утечек.
3. Следите за изменениями в законодательстве.

Проверить, внесён ли ваш сайт в реестр РКН, можно здесь: https://pd.rkn.gov.ru.

Дополнительные ресурсы:

• Текст 152-ФЗ.
• Методички РКН.

Соблюдайте закон — и ваш бизнес будет в безопасности!