...

+7 (985) 301-05-42

Пн-Пт: с 10.00 до 20.00

Whatsapp Telegram Vk

Владелец сайта, как оператор персональных данных: как избежать штрафов и что нужно знать о новых поправках в 152-ФЗ

Разработка сайтов > Владелец сайта, как оператор персональных данных: как избежать штрафов и что нужно знать о новых поправках в 152-ФЗ

До 30 мая 2025 года все операторы персональных данных должны зарегистрироваться в Роскомнадзоре.

С 30 мая 2025 года штраф за отсутствие регистрации в реестре Роскомнадзора увеличивается до 300 000 рублей.

Если сайт или интернет-магазин собирает данные клиентов или посетителей, его владелец автоматически становится оператором персональных данных (ПД). В этой статье мы разберём, как соблюдать правила обработки ПД и требования закона 152-ФЗ.

Примечание: Обработка персональных данных пользователей без их согласия наказывается штрафом в размере от 300 до 700 тысяч рублей за первое нарушение и от 1 до 1,5 миллиона рублей — за повторное. (ст. 13.11 КоАП РФ). В 2025 году количество и размер штрафов увеличивается.

Определение из закона 152-ФЗ «О персональных данных»:
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Что считается обработкой персональных данных?

Персональные данные — это информация, позволяющая идентифицировать человека. Любые действия с такими данными (сбор, запись, хранение, передача, удаление) являются обработкой. Например, получение имени, телефона и почты через форму заявки и их использование для рассылки — это обработка ПД.

Закон не содержит чётких критериев отнесения информации к ПД, но условно идентификация возможна по комбинации данных. Так, только телефон без имени не считается ПД, а несколько данных вместе — уже обработка..

К персональным данным относятся:

  • ФИО;
  • дата рождения;
  •  адрес;
  • телефон;
  • электронная почта;
  • фотография;
  • ссылка на профиль в соцсети.

Когда владелец сайта становится оператором ПД?

Обработка начинается, когда пользователи:

  • подписываются на рассылки, оставляя контакты;
  • регистрируются в личном кабинете;
  • оформляют заказы с указанием данных;
  • заполняют заявки (на звонок, демо-доступ и т. д.);
  • скачивают приложение и авторизуются по номеру;
  • входят через соцсети для комментирования.

Кто может обрабатывать персональные данные?

Оператором ПД может быть юрлицо, ИП или физлицо. Например, самозанятый, собирающий данные клиентов через сайт, обязан уведомить Роскомнадзор.

Как начать обработку и хранение ПД?

Шаг 1. Подготовьте документы

  • Политика обработки ПД

Каждый сайт, собирающий пользовательские данные, обязан опубликовать Политику обработки персональных данных. Этот документ должен содержать:

  1. Общие сведения
    • Адрес сайта, к которому применяется политика
    • Наименование организации или ФИО ИП, обрабатывающего данные
  2. Цели обработки
    Чёткое описание, для чего собираются данные:
    • Рассылка коммерческих предложений
    • Предоставление доступа к материалам
    • Работа с cookie (указывается отдельно)
  3. Подробности обработки
    Для каждой цели необходимо указать:
    • Источники данных: посетители сайта, сотрудники, соискатели
    • Типы данных: ФИО, контакты, cookie и др.
    • Способы обработки: сбор, хранение, передача
    • Сроки хранения
    • Порядок удаления данных после выполнения целей

Политика должна быть доступна на отдельной странице сайта в формате, удобном для ознакомления.

Добавьте ссылку на политику обработки персональных данных в футер сайта.

Политика должна быть доступна на каждой странице, где собираются данные пользователей. Удобнее всего добавить ссылку в подвал сайта: он одинаковый для всех страниц, поэтому при создании новой вы точно не забудете разместить на ней ссылку на политику.

  • Согласие пользователей на обработку

Требования к оформлению форм сбора персональных данных

Под каждой формой сбора информации разместите уведомление о сборе персональных данных. Оформите это следующим образом:

  1. Добавьте чекбокс с текстом:
    «Я даю согласие на обработку своих персональных данных». Галочка не должна стоять по умолчанию, т.к. пользователь должен выразить явное согласие.
  2. Поставьте в  форму ссылку:
  • На пользовательское соглашение (если есть)
  • Или на отдельную страницу с текстом согласия

 

В согласии на обработку персональных данных должны быть:

  • наименование или ФИО и адрес оператора, получающего согласие;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых пользователь даёт согласие;
  • перечень действий с персональными данными и способы их обработки;
  • если вы поручаете обработку персональных данным сторонним лицам или компаниям, укажите их адрес, наименование или ФИО;
  • срок, в течение которого действует согласие, а также способ как можно его отозвать.
  • Пользовательское соглашение

Шаблоны можно найти на сайте Роскомнадзора.

Шаг 2. Уведомите Роскомнадзор

Сделайте это до начала обработки.

Это можно сделать на портале персональных данных. Если оператор уже подал такое уведомление — это нужно сделать заново по новой форме, утверждённой Приказом Роскомнадзора от 28.10.2022 № 180.

В законе есть три исключения, когда можно не подавать уведомление:

  • когда обрабатываемые данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • когда данные обрабатываются в рамках исполнения законодательства по устойчивому функционированию транспорта и обеспечению безопасности там;
  • когда персональные данные обрабатываются без использования средств автоматизации — только на материальных носителях.

 

Уведомление подаётся:

  • в бумажном виде в территориальное отделение;
  • онлайн через сайт Роскомнадзора или госуслуги.

В течение 30 дней данные внесут в реестр. Любые изменения также нужно сообщать.

Некоторые документы, которые проверяет Роскомнадзор при работе с персональными данными:

  1. Уведомление об обработке персональных данных. В нём нужно указать, что фирма работает с персональными данными и собирает их.
  2. Перечень работников, допущенных к обработке персональных данных.
  3. Учредительная документация (ИНН, устав и прочее).
  4. Соглашения о неразглашении персональных данных, заверенные подписями сотрудников.
  5. Документы, определяющие порядок обработки, уничтожения, учёта, защиты, передачи, а также место хранения персональных данных.
  6. Должностные инструкции и приказы о назначении сотрудников, ответственных за организацию работы с персональными данными.
  7. Типовые формы документов, содержащих персональные данные.
  8. Перечни используемых средств защиты информации.
  9. Журналы учёта носителей персональных данных, инструктажей по информационной безопасности и другие.

 

Точного перечня бумаг, которые проверяет Роскомнадзор, не существует, ведомство может затребовать и другие документы.

 

Некоторые действия, которые нужно предпринять при подготовке к проверке Роскомнадзора по персональным данным:

  1. Определить ответственного за выполнение требований закона. От этого сотрудника зависит, будет ли организация работать с персональными данными после проверки.
  2. Изучить процесс обработки данных. Нужно понять, зачем организация собирает персональные данные и как их использует.
  3. Разработать пакет документов с политикой в отношении обработки персональных данных, обязательными приказами и положениями, связанными с этим процессом Документы нужно утвердить.
  4. Ознакомить с новыми документами сотрудников, имеющих отношение к обработке данных. Важно, чтобы информация из этих документов не была доступна другим сотрудникам, которые не работают с персональными данными.
  5. Разместить в общем доступе политику по обработке персональных данных организации. Это нужно, чтобы каждый желающий мог её прочесть и убедиться в правильности действий организации.
  6. Подать в Роскомнадзор уведомление об обработке персональных данных. Это можно делать через сайт Госуслуг, сайт Роскомнадзора или в бумажном виде в отделении.
  7. Установить и зафиксировать документально места хранения персональных данных, разграничить доступ сотрудников к ним.
  8. Проинструктировать работников и включить во внутренние документы порядок поведения сотрудников, работающих с персональными данными

Шаг 3. Разместите на сайте политику и соглашение

Политику можно оформить в PDF, а в соглашении дать на неё ссылку. В формах сбора данных добавьте чекбокс с согласием на обработку ПД и ссылкой на соглашение.

Шаг 4. Уведомьте о cookies

Cookies (файлы с данными пользователя) тоже относятся к ПД. Предупредить о них можно:

  • всплывающим окном с чекбоксом;

Показывайте всем новым пользователям сайта предупреждение о том, что вы собираете cookie.

Файлы cookie считаются персональными данными, поэтому всем новым посетителям сайта нужно показывать уведомление об их сборе, и получить на это согласие.

Для этого на баннере добавьте кнопку «согласен» или пропишите в тексте предупреждения, например: «используя сайт, вы предоставляете согласие на обработку ваших персональных данных с помощью сервисов веб-аналитики».

В текст добавьте ссылку на политику обработки персональных данных.

Если пользователь не хочет, чтобы эти его данные обрабатывались, он должен покинуть сайт.

  • разделом в политике ПД;
  • упоминанием в подвале сайта.

Шаг 5. Создайте регламент ответов на запросы посетителей сайта

Пользователи могут запрашивать у владельцев сайта, для каких целей собирают их данные, как они обрабатываются, где хранятся и так далее. Раньше у компании был месяц для ответа на обращение, теперь — 10 рабочих дней.

Подготовьтесь к таким запросам заранее и закрепите во внутренних документах срок ответа. Если человек потребует прекратить обработку его персональных данных — оператор обязан это сделать также в течение 10 дней.

С 1 сентября 2022 года пользователь также имеет право не предоставлять персональные данные, которые не нужны для исполнения договора. Например, если покупатель оформляет у вас доставку товара в пункт выдачи, а вы запрашиваете его домашний адрес, человек может не предоставлять вам эти данные. Если вы откажете пользователю в доставке, то есть в исполнении договора, и он потребует объяснить, почему это произошло, нужно ответить в короткие сроки: на письменный запрос — в течение 7 дней, на устный — незамедлительно.

Это изменение будет особенно актуально для владельцев интернет-магазинов, поэтому им необходимо:

  • определить, какие персональные данные обязательны для исполнения договора купли-продажи, чаще всего это публичная оферта на сайте;
  • обосновать, зачем обрабатывается такое количество персональных данных;
  • исключить из оферты сбор данных, которые не используются для исполнения договора.

Соблюдение порядка обработки ПД и требований 152-ФЗ поможет избежать штрафов!

Избегайте штрафов!

Закажите проверку и подготовку сайта для проверки Роскомнадзором

всего за 2900р.*

Подготовка документов для размещения на сайте входит в стоимость

* Предложение не является офертой. Стоимость может меняться в зависимости от структуры сайта.

Поделиться статьей:

Новые статьи

Заказать сайт

и получить в подарок
базовую SEO-оптимизацию!