Каждый раз, когда посетитель сайта вводит имя, телефон или email в форму обратной связи — вы становитесь оператором персональных данных по российскому законодательству. С 2024 года штрафы за нарушения выросли до 6 000 000 рублей, а Роскомнадзор резко увеличил число проверок. При этом большинство сайтов малого и среднего бизнеса до сих пор работают без обязательных документов — и не подозревают об этом.
В этой статье — исчерпывающий разбор: что требует закон, какие документы нужны на сайте, как правильно получать согласие от пользователей и каких ошибок важно избежать.
Что такое персональные данные и зачем это важно для сайта
Персональные данные (ПДн) — это любая информация, которая прямо или косвенно позволяет идентифицировать физическое лицо. Если ваш сайт собирает хотя бы одно из следующего — вы уже обрабатываете ПДн:
- Имя и фамилия
- Номер телефона
- Адрес электронной почты
- Адрес доставки
- IP-адрес (в связке с другими данными)
- Данные cookies и поведение на сайте
- Паспортные данные, ИНН (для бизнес-форм)
Основной регулирующий документ — Федеральный закон № 152-ФЗ «О персональных данных». Он обязывает любую компанию или ИП, собирающих данные российских граждан, соблюдать строгий порядок их обработки и хранения.
| Документ | Что регулирует |
|---|---|
| 152-ФЗ «О персональных данных» | Основные права субъектов, обязанности операторов, порядок обработки ПДн |
| Приказ Роскомнадзора № 178 | Требования к уведомлению об обработке ПДн |
| GDPR (ЕС) | Актуально, если среди пользователей есть граждане ЕС |
| КоАП РФ, ст. 13.11 | Административная ответственность за нарушения |
Кто такой оператор персональных данных
Оператор ПДн — это любое юридическое лицо, индивидуальный предприниматель или физическое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. Проще говоря: если у вас есть сайт с формой обратной связи — вы оператор, независимо от размера бизнеса.
Обязанности оператора
- Уведомить Роскомнадзор о начале обработки ПДн (через портал pd.rkn.gov.ru)
- Разработать и опубликовать Политику конфиденциальности на сайте
- Получить согласие пользователя до начала обработки его данных
- Хранить данные на серверах, расположенных на территории России (ст. 18.1 152-ФЗ)
- Обеспечить право субъекта на доступ, изменение и удаление своих данных
- Уведомлять Роскомнадзор об утечках данных в течение 24 часов
Какие документы обязательны для сайта
Есть три кита корректной обработки персональных данных на сайте.
3.1. Политика конфиденциальности
Политика конфиденциальности — основной публичный документ оператора. Она должна быть размещена на отдельной странице сайта и содержать ряд обязательных пунктов.
- Полное наименование и контакты оператора
- Перечень собираемых персональных данных
- Цели обработки каждой категории данных
- Правовое основание обработки (согласие, договор, закон)
- Сроки хранения данных
- Порядок передачи данных третьим лицам
- Права субъекта персональных данных
- Порядок изменения и отзыва согласия
3.2. Форма согласия на обработку персональных данных
Согласие должно быть получено до того, как вы начнете использовать данные пользователя. Согласно 152-ФЗ, оно должно быть конкретным, информированным и сознательным.
Требования к корректному согласию:
- Чекбокс не должен быть предварительно установлен (галочка «по умолчанию» — нарушение)
- Текст согласия — понятный, без юридических перегрузок
- Рядом с чекбоксом — ссылка на полный текст Политики конфиденциальности
- Отдельные согласия для разных целей (рассылка, обработка заявки, передача партнерам)
3.3. Cookie-баннер
Если сайт использует аналитику (Яндекс.Метрика) или ретаргетинг — при первом визите пользователь должен видеть уведомление об использовании cookies с возможностью отказаться. Это требование закреплено в ст. 23 152-ФЗ и подтверждено позицией Роскомнадзора.
Виды согласия: какое использовать и когда
| Вид согласия | Когда применяется | Пример на сайте |
|---|---|---|
| Простое письменное | Обработка стандартных данных | Форма заявки, обратный звонок |
| Явное (активное) | Рассылки, маркетинг | Чекбокс «Согласен получать новости» |
| Специальное | Биометрия, здоровье, религия | Медицинские сервисы, HR-платформы |
| Конклюдентное | Продолжение пользования сайтом | Cookie-баннер с кнопкой «Принять» |
Штрафы за нарушения в 2025 году
После принятия поправок к КоАП РФ санкции существенно возросли. Ниже — актуальная таблица штрафов за нарушения при обработке ПДн.
| Нарушение | Штраф для юрлица | Статья КоАП |
|---|---|---|
| Обработка ПДн без согласия субъекта | до 300 000 ₽ (повторно — до 500 000 ₽) | ст. 13.11 ч. 2 |
| Отсутствие Политики конфиденциальности | до 60 000 ₽ | ст. 13.11 ч. 1 |
| Неуведомление Роскомнадзора об утечке | до 3 000 000 ₽ | ст. 13.11 ч. 12 |
| Незаконная передача данных третьим лицам | до 6 000 000 ₽ | ст. 13.11 ч. 11 |
| Хранение данных за рубежом | до 18 000 000 ₽ | ст. 13.11 ч. 9 |
| Нарушение требований к локализации | до 6 000 000 ₽ | ст. 13.11 ч. 8 |
Типичные ошибки при сборе персональных данных на сайте
| Ошибка | Последствие | Решение |
|---|---|---|
| Чекбокс согласия стоит по умолчанию | Недействительное согласие → штраф | Убрать предустановленную галочку |
| Политика конфиденциальности отсутствует или не обновлялась | Штраф + предписание РКН | Разработать актуальный документ |
| Один чекбокс «на все» (рассылка + обработка + передача) | Нарушение принципа конкретности | Разделить согласия по целям |
| Нет уведомления об использовании cookies | Нарушение ст. 23 152-ФЗ | Установить cookie-баннер |
| Данные хранятся на зарубежных серверах | Штраф до 18 млн ₽ | Перенести базу на российский хостинг |
| Не указан срок хранения данных | Нарушение требований к Политике | Прописать сроки для каждой категории данных |
| Нет формы для отзыва согласия | Нарушение прав субъекта | Добавить кнопку/форму «Отозвать согласие» |
Чек-лист: 7 шагов для соответствия 152-ФЗ
Используйте этот чек-лист, чтобы проверить свой сайт прямо сейчас.
- Шаг 1: Проведите аудит сайта — найдите все точки сбора ПДн (формы, чаты, корзина, подписка)
- Шаг 2: Уведомите Роскомнадзор через портал pd.rkn.gov.ru, если еще не сделали это
- Шаг 3: Разработайте Политику конфиденциальности под специфику вашего бизнеса
- Шаг 4: Добавьте чекбоксы согласия ко всем формам (без предустановленной галочки)
- Шаг 5: Установите cookie-баннер с возможностью отказа
- Шаг 6: Проверьте, где физически хранятся данные — только российские серверы
- Шаг 7: Назначьте ответственного за защиту ПДн внутри компании и регламент действий при утечке
Мы помогаем бизнесу правильно выстроить процессы сбора и обработки персональных данных — от аудита сайта до разработки пакета документов и настройки форм согласия.
Что вы получите?
- Полный аудит вашего сайта на соответствие 152-ФЗ
- Готовый пакет документов: Политика конфиденциальности + формы согласия
- Настройку корректного сбора данных через CRM
- Рекомендации по cookie-баннеру и уведомлению РКН
- Поддержку специалиста при подаче уведомления в Роскомнадзор
Часто задаваемые вопросы
Да. Даже если у вас одностраничный сайт с единственной формой сбора контактов — Политика конфиденциальности обязательна. Ее отсутствие является административным нарушением по ст. 13.11 КоАП РФ и влечет штраф до 60 000 рублей для юридических лиц.
Шаблон — лишь отправная точка. Политика должна отражать реальные процессы именно вашей компании: какие данные вы собираете, с какой целью, кому передаете. Формальный документ, не соответствующий действительности, не защитит вас при проверке.
Вы обязаны прекратить обработку данных и удалить их в течение 30 дней, если иное не предусмотрено законом или договором. Игнорирование отзыва согласия — самостоятельное нарушение 152-ФЗ.
Да. Уведомление обязательно для всех операторов ПДн, включая ИП, с рядом исключений (например, данные сотрудников исключительно для кадрового учета). Подать уведомление можно бесплатно через официальный портал РКН.
CRM фиксирует и хранит данные клиентов — значит, является частью системы обработки ПДн. Важно: CRM должна располагаться на российских серверах или иметь подтвержденную локализацию данных в РФ, а доступ к данным — разграничиваться по ролям сотрудников.
Обработка персональных данных на сайте — это не формальность, а реальное юридическое обязательство каждой компании, работающей с российскими пользователями. Правильно выстроенные процессы защищают вас от штрафов, повышают доверие клиентов и дают конкурентное преимущество.
Не откладывайте приведение сайта в соответствие с 152-ФЗ: проверки Роскомнадзора участились, а суммы штрафов выросли многократно. Начните с малого — пройдите по чек-листу из этой статьи и оцените текущее состояние вашего сайта.
