Кто несет ответственность
Оператором персональных данных считается любая компания или частное лицо, которое:
✔️собирает данные пользователей (например, имена, телефоны, email);
✔️определяет цели, зачем и как эти данные обрабатываются;
✔️организует процессы хранения, отправки или удаления информации.
Это может быть как крупная организация, так и ИП, имеющий сайт с приемом заявок.
Что такое персональные данные
Персональные данные — это любая информация, по которой можно прямо или косвенно определить конкретного человека.
Даже если вы не запрашиваете паспорт или СНИЛС — все равно обрабатываете ПДн, если на сайте есть формы, корзина или аналитика.
Как именно данные попадают под закон
Вы можете получить персональные данные:
- Вручную
когда пользователь заполняет форму (например, при заказе товара) - Автоматически
через cookie-файлы и аналитические сервисы
📌 Даже cookie могут считаться персональными данными — особенно если через них можно отследить поведение, местоположение, IP-адрес пользователя, а также действия на сайте, например, добавленные в корзину товары.
💡 Закон не содержит точного перечня того, какие данные относятся к персональным. Однако на практике Роскомнадзор и суды регулярно признают, что информация, собираемая с помощью cookie, является обработкой персональных данных, если позволяет идентифицировать пользователя или влияет на его поведение (например, используется для показа таргетированной рекламы или напоминаний о товарах).
«Я просто собираю данные, но не обрабатываю их» — это миф
Согласно закону, обработка — это не только использование, но и любые другие действия: даже если вы просто записали данные, сохранили на сервере и удалили через 5 минут, это все равно считается обработкой.
💡 Согласно ст. 3 закона № 152-ФЗ, обработка персональных данных — это любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение данных
8 важных правил, чтобы избежать штрафов за нарушение закона
1. Разместите на сайте Политику обработки персональных данных
Если ваш сайт собирает данные пользователей — будь то имя, email, номер телефона или cookie — на нём обязательно должна быть размещена Политика обработки персональных данных. Это отдельный документ, в котором описано:
- какие именно данные вы собираете;
- зачем вы это делаете;
- как и где храните информацию;
- кому ее можете передавать.
Укажите в Политике:
✅ ссылку на ваш сайт (домен, к которому относится политика);
✅ название вашей компании или ФИО индивидуального предпринимателя;
✅ цели обработки данных (например, оформление заказа, отправка рассылки, работа аналитики);
✅ категории пользователей (например: клиенты, посетители сайта, кандидаты на вакансию);
✅ перечень собираемых данных;
✅ способы хранения и срок обработки;
✅ как вы уничтожаете данные по достижении целей (автоматически, по запросу и т.д.).
‼️ Согласно ч.3 ст.13.11 КоАП РФ, отсутствие на сайте политики обработки персональных данных может привести к штрафу от 30 000 до 60 000 рублей.
💡 Важно: если вы используете cookie
Это тоже должно быть отражено как отдельная цель обработки. Например: «сбор статистики посещений и улучшение пользовательского опыта». Не забудьте прописать, что вы используете сторонние сервисы аналитики (если используете).
2. Добавьте ссылку на политику в футер сайта
Политика обработки персональных данных должна быть доступна на каждой странице, где собираются данные пользователей. Чтобы не забыть разместить ее при создании новых страниц, лучше всего добавить ссылку в подвал сайта (footer) — он отображается автоматически на всем сайте.
Это не только удобно, но и соответствует принципу «открытости» обработки персональных данных, прописанному в законе.
3. Разместите уведомление под формами сбора данных
Под каждой формой, где пользователь вводит имя, телефон, email или другие данные, нужно разместить предупреждающий текст. Это делается через:
✅ Чек-бокс с фразой: «Я даю согласие на обработку персональных данных»;
✅ Ссылку на текст согласия или пользовательское соглашение, если в нём уже прописано согласие на обработку данных.
Если в вашем пользовательском соглашении таких формулировок нет — создайте отдельную страницу с текстом согласия на обработку ПДн и добавьте на нее ссылку под формой.
В согласии обязательно укажите:
✔️название вашей компании или ФИО оператора;
✔️цель обработки (например, оформление заказа, обратная связь);
✔️перечень собираемых данных;
✔️какие действия с ними будут производиться (хранение, передача, обезличивание и т.д.);
✔️кому вы можете передавать данные (например, курьерская служба, подрядчики);
✔️срок действия согласия и способ его отзыва.
‼️ Если вы собираете персональные данные без получения согласия — это нарушение. Штраф:
- от 300 000 до 700 000 рублей за первое нарушение;
- от 1 до 1,5 млн рублей при повторном (ст. 13.11 КоАП РФ).
💡 В системе управления сайтом Megagroup есть готовый шаблон пользовательского соглашения — вы можете адаптировать его под свой бизнес и дополнить нужными разделами о персональных данных.
4. Уведомляйте пользователей о сборе cookie
Если ваш сайт использует cookie-файлы (а большинство сайтов это делают), вы обязаны уведомлять пользователей о сборе таких данных. Это касается:
- сервисов веб-аналитики (например, Яндекс.Метрика, Google Analytics);
- инструментов маркетинга и ретаргетинга;
- персонализации и корзин в интернет-магазинах.
Добавьте на сайт баннер или всплывающее окно при первом посещении. Текст может быть таким: «Продолжая использовать сайт, вы соглашаетесь на обработку ваших персональных данных с помощью cookie и аналитических сервисов».
Обязательно добавьте ссылку на политику ПДн, где cookie указаны как отдельная цель обработки.
💡 Важно: пользователь должен иметь возможность отказаться от обработки cookie. В идеале — покинуть сайт или изменить настройки в браузере.
5. Подайте уведомление в Роскомнадзор об обработке персональных данных
Если вы собираете и обрабатываете персональные данные через сайт (например, контактную форму или корзину в интернет-магазине), вы обязаны уведомить Роскомнадзор и войти в реестр операторов персональных данных.
💡 Подать уведомление можно онлайн — через портал персональных данных Роскомнадзора.
С 2022 года используется новая форма, утвержденная Приказом РКН № 180 от 28.10.2022. Если вы уже направляли уведомление раньше — нужно подать его повторно по новой форме.
3 исключения, когда уведомление в РКН не требуется
✅ Обработка данных осуществляется в рамках государственных информационных систем, созданных для нужд безопасности и общественного порядка.
✅ Данные используются в целях, связанных с транспортной безопасностью и устойчивостью транспорта.
✅ Обработка ведется исключительно без автоматизации — только на бумажных носителях.;
Всем остальным сайтам, особенно тем, кто работает с формами, аналитикой и онлайн-заказами, уведомление — обязательно.
6. Отвечайте на запросы пользователей о персональных данных
✔️ зачем вы собираете их данные;
✔️ как и где вы их храните;
✔️ как долго вы их обрабатываете;
✔️ как можно отозвать согласие или удалить данные.
С 2022 года срок ответа на такой запрос сокращен: теперь нужно ответить в течение 10 рабочих дней, а не месяца, как раньше.
Обработка жалоб — теперь под контролем
Если пользователь потребует удалить свои данные или прекратить обработку — вы обязаны выполнить это в те же 10 рабочих дней.
‼️ Игнорирование запроса или нарушение сроков может повлечь штраф от 40 000 до 80 000 рублей (ч.5 ст.13.11 КоАП РФ).
Информация для интернет-магазинов
С 1 сентября 2022 года действует правило: пользователь может не предоставлять лишние персональные данные, если они не требуются для исполнения договора. Пример:
- Если доставка идет в пункт самовывоза, домашний адрес запрашивать не обязательно.
- Если вы откажете в услуге из-за отказа предоставить лишние данные — по закону вы обязаны это обосновать.
Сроки ответа:
✅На письменный запрос — в течение 7 календарных дней
✅На устный — немедленно
Что нужно сделать:
✔️ определить, какие данные действительно необходимы для выполнения заказа;
✔️обновить публичную оферту;
✔️исключить сбор «на всякий случай»;
✔️прописать в документации обоснования для каждого поля формы.
7. Передаете данные за границу? Обязательно подайте уведомление в Роскомнадзор
Если вы передаете персональные данные пользователей в другие страны — например, в зарубежные вузы, сервисы email-рассылок или CRM — это называется трансграничной передачей. Под нее подпадает даже использование популярных платформ, если их серверы находятся за пределами России (например, Mailchimp, Notion, Trello, Zoho CRM и другие).
Что нужно сделать:
С 1 марта 2023 года до начала трансграничной передачи данных нужно:
- Подать уведомление в Роскомнадзор — через портал персональных данных.
- Подождать 10 рабочих дней. Если за это время не получен запрет или ограничение, вы можете передавать данные.
💡 Повторно уведомление подавать не нужно, если вы уже сделали это ранее.
Как понять, можно ли передавать данные в другую страну?
Все страны делятся на:
- ✅ те, кто обеспечивает адекватную защиту ПДн — например, Болгария, Польша, Литва, Словения, и другие страны, подписавшие Евроконвенцию;
- ❌ те, кто не обеспечивает (все остальные).
💡 Перечень стран и их статус закреплен в приказе Роскомнадзора от 17.02.2023 № 08-10201.
8. Если обрабатывает подрядчик — нужен договор с поручением
Если вы передаете обработку персональных данных подрядчику (например, маркетинговому агентству, дата-центру или аутсорс-компании), это должно быть официально оформлено в договоре.
Что обязательно указать в договоре:
✅ какие именно данные передаются (перечень);
✅ зачем и какие действия с ними можно выполнять;
✅ гарантии конфиденциальности и защиты данных;
✅ обязательства подрядчика по соблюдению законодательства;
✅ обязанность использовать базы данных, размещенные на территории РФ;
✅ ссылки на ст. 18 и 19 закона № 152-ФЗ, которые описывают технические и организационные меры по защите данных.
‼️ За отсутствие договора с поручением:
- первый штраф: от 100 000 до 300 000 рублей;
- повторный: от 300 000 до 500 000 рублей (с 30 мая 2025 года).
Даже если подрядчик просто отправляет письма или анализирует трафик, он считается обработчиком. А значит — обязанность подписать договор лежит на вас.
Итого
Соблюдение требований закона о персональных данных — это не только юридическая обязанность, но и способ выстроить доверие к вашему сайту и бизнесу. Роскомнадзор уже усилил контроль, а с 30 мая 2025 года штрафы за нарушения станут еще более значительными.
💡 Проверьте сайт по чек-листу, убедитесь, что все оформлено корректно. Это поможет вам избежать рисков, сохранить репутацию и работать в правовом поле без страха внезапных проверок.
Проверьте себя прежде, чем это сделает Роскомнадзор!
