Приводим сайт в соответствие федеральному закону 152
Ни для кого не секрет, что персональные данные пользователей, которые так или иначе контактируют с юридическими или физическими лицами, нужно правильно хранить и не допускать их распространения.
Иное влечет за собой много неприятностей, вплоть до крупных штрафных сумм – для юридических лиц штрафы могут варьироваться от 100 тысяч до 18 млн рублей. Разбираемся как сайту соответствовать закону о персональных данных, чтобы не получить штрафы от Роскомнадзора.
Регулирует отношения между персональными данными и теми, кто их собирает Федеральный закон № 152 «О персональных данных». В нем, конечно, говорится не только о сборе и хранении информации в сети интернет, но и вообще в целом о любой работе с персональными данными в руках третьих лиц.
Если у вас нет грамотного специалиста, вы можете заказать аудит соответствия сайта 152 ФЗ у наших проверенных юристов.
Конкретно в нашей статье мы раскрыли зону ответственности именно сайтовладельца, что нужно сделать на своем интернет ресурсе, чтобы соответствовать закону и быть белыми и пушистыми как перед Роспотребнадзором, так и перед своими пользователями.
Персональные данные – это, вообще, что?
Персональные данные пользователя – это любая информация, по которой этого самого пользователя можно идентифицировать, хоть прямо, хоть косвенно.
И к ним относятся:
- Фамилия, Имя и Отчество
- Биометрические данные
- Личный номер телефона, как мобильного, так и городского
- Почтовый электронный адрес
- Данные паспорта
- Информация о дате и месте рождения
- Адрес проживания или регистрации
- Гео метки или информация о местоположении человека
- Фото и видео контент с участием пользователя
- Данные о семейном положении, о наличии имущества (движимого и недвижимого)
- Данные об образовании, профессии и месте работы
- IP адреса устройств, через которые совершается выход в сеть Интернет
- Ссылки на любые учётные записи пользователя
- И т.д.
Cookie-файлы также можно отнести к понятию личных данных, т.к. они собирают и хранят информацию о том, какие сайты, во сколько, откуда и с каких устройств посещал человек, какими товарами и услугами интересовался и т.д.
Все ли обязаны соблюдать закон «О персональных данных»?
Если пользователь в том или ином виде предоставляет вам какие-то из вышеперечисленных личных данных - значит на вас распространяется действие Федерального закона, и вы обязаны на сбор этих данных получать у пользователей согласие.
И неважно каким из способов вы получаете эти данные: посредством cookie-файлов, методами сайта или оффлайн (если потом вы храните их в электронном виде).
Например, сбором персональной информации на сайте считаются:
- Форма обратной связи / обратного звонка
- Форма регистрации на сайте
- Возможность авторизации на сайте с помощью аккаунтов в социальных сетях
- Форма заказа товара или услуги
- Форма подписки на рассылку
- Блок для отзывов
- Устный сбор данных, путем обзвона клиентов менеджером.
Правила обработки и сбора персональных данных
Хранение данных должно происходить на территории РФ
Сайты и базы данных, где собирается и хранится информация, должны располагаться только на российских хостингах и серверах. Если вы хотите воспользоваться услугами иностранных хостинг-провайдеров, вам нужно убедиться, что у них есть серверы в России и ваш сайт будет находиться именно на одном из них.
Узнать о расположении сервера можно у вашего хостинг-провайдера напрямую, если вы не найдете этих данных в открытых источниках.
Штрафы за выявление факта нарушения:
- Физ.лица: 30 – 100 тыс. рублей
- Юр.лица и ИП: 1 – 18 млн. рублей.
- Должностные лица: 100 – 800 тыс. рублей.
Уведомьте Роскомнадзор о том, что вы планируете собирать персональные данные
Перед тем, как подать заявку в Роскомнадзор у вас уже дожны быть проработаны нормативные акты, отражающие систему работы с персональными данными организации. Эти документы содержат несколько десятков позиций, поэтому составлены должны быть с помощью юриста!
Если у вас нет грамотного специалиста, вы можете проверить сайт на соответствие ФЗ 152 у наших проверенных юристов.
Какие действия нужно совершить владельцу сайта, чтобы правильно организовать работу с персональными данными и не нарваться на штрафы:
- Разработать и утвердить Политику конфиденциальности и Согласие пользователя на обработку персональных данных
- Разработать и утвердить акты, регулирующие работу с персональными данными в компании
- Сформировать должным образом уведомление о начале обработки персональных данных и направить в Роскомнадзор. Для этого нужно заполнить форму на их официальном сайте.
- Регулярно отслеживать актуальность внедренных документов. Если у юр.лица изменится сайт или сфера деятельности, но это не будет отражено в документах, при выявлении такого нарушения Роскомнадзор будет вправе наложить штрафные санкции. А они с 2025 года очень большие.
- Отслеживать исполнение сотрудниками правил в обработке и хранении персональных данных Опять же, как и в предыдущем пункте, при выявлении ошибок - штрафы.
В поданных в Роскомнадзор документах вы должны отразить следующую информацию:
- Что именно, какие действия вы совершаете с персональными данными
- Какие способы обработки используете
- Если передаете данные, то куда
- Какие меры предпринимаете для защиты данных пользователей – издаете локальные документы для сотрудников, используете тех.средства (пароли, антивирус, шифрование и т.д.)
- Осуществляете ли вы трансграничную передачу данных и в какие именно государства
- По какому адресу расположены серверы с вашими сайтами и базами данных
О любых изменениях в сборе и хранении информации вы обязаны уведомить Роскомнадзор в течение 10 дней.
Новые штрафы с 30 мая 2025 года за непредставление в Роскомнадзор уведомления о начале обработки персональных данных, ч.10 ст.13.11 КоАП РФ:
- Физ.лица: 5 000 – 10 000 рублей
- Юр.лица и ИП: 100 000 – 300 000 рублей
- Должностные лица: 30 000 – 50 000 рублей.
Составьте документ «Согласие на обработку персональных данных»
В тексте документа прописываете данные, предусмотренные текущей и действующей редакцией федерального закона. Ссылка на документ должна находиться в footer'e вашего сайта.
Например:
- Типы персональных данных, которые вы собираете
- С какой целью вы это делаете
- Срок, на который пользователь дает вам свое согласие
- Действия с персональными данными, которые вы планируете совершать: собирать, хранить, передавать третьим лицам, систематизировать и т.д.
- Если собираетесь передавать персональные данные третьим лицам, то кому
- Указать как пользователю можно отозвать разрешение на обработку своих данных
Если ваше «Согласие на обработку персональных данных» не будет соответствовать требованием текущего законодательства, то это может повлечь за собой привлечение к административной ответственности. Обязательно пропишите в документе, что пользователь на все эти действия согласен.
Если у вас нет грамотного юриста, вы можете обратиться за консультацией к нашим специалистам.
Составьте документ «Политика конфиденциальности»
Это будет отдельный документ, где будут прописаны правила сбора, хранения и обработки персональных данных. Ссылка на документ должна находиться в footer'e вашего сайта.
Ссылка на эту страницу должна быть на каждой странице сайта, где вы собираете пользовательские данные.
Пользователь должен дать согласие на обработку своих данных
Для этого клиент должен быть ознакомлен с обоими текстами документов, о которых мы писали в пунктах 3 и 4 (ссылки на сами документы должны быть хорошо видны пользователю на сайте или в моб. приложении).
А затем должен подтвердить свое согласие, например, с помощью формы для сбора данных на сайте, где можно либо вставить текст о том, что отправляя форму клиент согласен с обработкой персональных данных, либо вставить поле для простановки галочки о согласии.
Если у вас есть форма на рассылку, то с ней пользователь должен согласиться отдельно. Как и со сбором cookie-файлов.
Согласие считается выраженным, если пользователь явно вам его дал, поставил где нужно галочку или нажал на кнопку, уведомил об этом устно менеджера, расписался в бланке и т.д. Повторимся еще раз: никакие автоматически заполненные графы и бездействие пользователя в ответ на просьбу согласиться с политикой сбора данных не дает вам права на сбор и обработку данных такого пользователя. И это будет штрафоваться в ответ на какую-либо жалобу.
Храните согласие всех пользователей
Как в течение всего времени, пока вы работаете с персональными данными, так и 3 года после. Если клиент обратится с жалобой, вы будете обязаны предоставить Роскомнадзору эти данные.
Собирайте только необходимую вам для работы информацию
По закону вы не имеете права собирать персональные данные пользователей, которые для вашей работы не пригодятся.
Пример: клиент заказал у вас доставку, чтобы оказать услугу, вам нужно знать только адрес и контактный номер телефона встречающего. Вся остальная информация не имеет к вашей услуге отношения и собираться не должна.
Имейте ответственное за сбор персональных данных лицо
Это может быть как сотрудник в рамках вашей компании, так и отдельная компания на аутсорсе, занимающаяся сбором и хранением информации.
Ответственный должен:
- Следить за изменениями в федеральном законодательстве по этой теме
- Обновлять «Согласие на обработку» и «Политику конфиденциальности», согласно последним требованиям закона
- Писать инструкции по работе и раздавать указания сотрудникам, занимающимся сбором и хранением персональных данных
- Реагировать на просьбы субъектов персональных данных – это могут быть просьбы о прекращении сбора данных или уточнения данных, которыми владеет оператор. Сроки реагирования должны составлять до 10 рабочих дней.
Обеспечьте безопасность и сохранность персональных данных
Вы можете сделать это как самостоятельно, так и с помощью специальных агентств с лицензией Федеральной службы по техническому и экспортному контролю (ФСТЭК) на деятельность по технической защите конфиденциальной информации.
Если вы работаете с подрядчиком, то между вами должен быть составлен Договор, в котором вы обязаны отразить следующие моменты:
- Перечислить все персональные данные, цели их обработки и операции, с ними совершаемые
- Обязанности обработчика информации
- Требования, предъявляемые к защите персональных данных.
В случае утечки персональных данных оператор обязан в течение суток уведомить об инциденте Роскомнадзор, и в течение 72 часов разобраться в ситуации и сообщить ведомству о его результатах.
Новые штрафы за непредставление в Роскомнадзор уведомлений об утечке персональных данных, ч.11 ст.13.11 КоАП РФ:
- Физ.лица: 50 000 – 100 000 рублей
- Юр.лица и ИП: 1 млн. – 3 млн. рублей
- Должностные лица: 400 000 – 800 000 рублей.
Подытожим: что юр.лицо должно внедрить на своем сайте, чтобы соответствовать закону о персональных данных
- Опубликованную, заметную и хорошо читаемую Политику конфиденциальности и Согласие на обработку персональных данных. Ссылки на документы должны находиться в footer'e вашего сайта.
- Согласие пользователя на обработку персональных данных должно проставляться во всех формах на сайте, где пользователь их оставляет. Напоминаем, галочку о согласии он должен проставлять самостоятельно.
- Пользователь должен согласиться со сбором Cookie на сайте.
- На сайте должно быть опубликовано юр.лицо компании. И деятельность сайта должна совпадать с зарегистрированными ОКВЭДами.
- Сайт не должен нарушать требования к трансграничной передаче данных (попросите своего программиста просмотреть, чтобы в коде сайта не были установлены счетчики Google). Технически, осуществлять трансграничную передачу данных и работать с Google Analytics вы можете, но для этого в РКН нужно подавать специальное уведомление. И скорее всего, вы у них будете на особом счету. А учитывая размеры штрафов: оно вам надо?
Штрафы Роскомнадзора за нарушения в работе с персональными данными с 30 мая 2025 года.
Вид штрафа | Физ.лица | Юр.лица | Должностные лица |
Штрафы за неправомерную передачу третьим лицам персональных данных граждан численностью от 1 000 до 10 000 человек, ч.12 ст.13.11 КоАП РФ | 100 000 – 200 000 рублей | 3 млн. – 5 млн. рублей | 200 000 – 400 000 рублей |
Штрафы за неправомерную передачу третьим лицам персональных данных свыше 10 тысяч, но не более 100 тысяч человек, ч.13 ст.13.11 КоАП РФ | 200 000 – 300 000 рублей | 5 млн. – 10 млн. рублей | 300 000 – 500 000 рублей |
Штрафы за неправомерную передачу третьим лицам персональных данных более 100 тысяч человек, ч.14 ст.13.11 КоАП РФ | 300 000 – 400 000 рублей | 10 млн. – 15 млн. рублей | 400 000 – 600 000 рублей |
Штрафы за неправомерную передачу третьим лицам персональных данных без законных оснований, ч.15 ст.13.11 КоАП РФ | 400 000 – 600 000 рублей | 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение | 800 000 – 1, 2 млн. рублей |
Штрафы за незаконную передачу биометрических сведений, ч.17 ст.13.11 КоАП РФ | 400 000 – 500 000 рублей | 15 млн. – 20 млн. рублей | 1, 3 млн. – 1, 5 млн. рублей |
Штрафы за повторную передачу биометрических данных без законных оснований, ч.18 ст.13.11 КоАП РФ | 500 000 – 800 000 рублей | Юр.лица и ИП: от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров, работ и услуг за календарный год, предшествующий году, в котором было выявлено нарушение | 1, 5 млн. – 2 млн. рублей |
Соблюдайте законодательство и это убережет вас от большого количества проблем и финансовых потерь, штрафы с 2025 года являются весьма ощутимыми.
ВОПРОС-ОТВЕТ
Почему так сильно выросли штрафы?
Пару лет назад в новостной повестке регулярно мелькали истории утечек персональных данных (в дальнейшем ПД), касающихся крупных компаний с большим массивом данных.
Государство не могло оставить это без внимания, но моментов, которые можно было бы урегулировать в этой сфере не очень много, поэтому, чтобы к закону прислушались, решили действовать самым верным способом – повысить штрафы, где-то раз в 10.
А так как в последнее время есть тренд на восполнение дефицита бюджета, то с вероятностью в 90% штрафы будут рабочими.
Надеемся, что, практика сначала отправлять уведомление с требованием исполнить предписание, а затем уже штрафовать – будет сохраняться. Но мы бы, конечно, не ждали уведомлений, потому что:
- Есть шанс его просто пропустить, контролировать, получили вы его или нет никто не будет
- После единоразового предписания (если у вас выявили нарушение), скорее всего, проверки станут для вас регулярными (например: раз в год), чтобы смотреть, как вы себя ведете и не нарушаете ли больше законодательство.
Поэтому, конечно, мы бы рекомендовали не попадать на крючок изначально.
Как себя проверить, что у нас на сайте всё в порядке?
- Прочитайте еще раз внимательно нашу статью.
- Сверьтесь по нашему чек-листу
- Обязательно проконсультируйтесь со своим юристом или воспользуйтесь помощью наших
Можно ли оставить на сайте Google Analytics?
Есть два мнения:
- Да
- Нет
Рассмотрим все «за» и «против».
В целом Google Analytics (далее GA) не запретный продукт. И если вы хотите его использовать, РКН делать это не запрещает. Достаточно будет отправить доп. уведомление на трансграничную передачу данных. Если в течение 10 рабочих дней вы не получите отказа или просьбы предоставить доп. документы, то можете смело работать.
НО, есть во всем этом большое НО.
Напомним, что РКН парсит сайты в автоматическом режиме и код GA на вашем сайте – это супер-очевидный маячок для проверки.
Если вы еще не подавали уведомление о трансграничной передаче данных, то вас попросят исправить нарушение и, возможно, отстанут (за вовремя не поданное уведомление штрафы для юр. лиц стартуют от 100К (Статья КоАП ч. 10 ст. 13.11).
Но если у вас есть какие-то более серьезные нарушения, например: неизвестная клиентская база, по которой вы решили сделать рассылку, зарубежные сервисы, в которые так или иначе попадают данные ваших клиентов (например, CRM системы и т.д.), то лучше GA в таком случае удалить, чтобы в случае более пристальной проверки вы не попали на серьезные санкции.
И еще важный момент. У нас есть закон о локализации данных: все хранимые персональные данные российских пользователей должны находиться на российских серверах. При работе с Google Analytics данные передаются на зарубежные сервера, как правило американские.
И согласно закону о локализации данных – это нарушение.
Пока претензий от РКН на этот счет не было, достаточно было иметь поданное заявление о трансграничной передаче данных. Но всё может измениться.
Поэтому держим это в уме и понимаем риски.
Касается ли трансграничная передача данных только Google Analytics?
Нет, после подачи уведомления в РКН о работе с персональным данными, ведомство в течение 30 дней проверяет заявление по своим базам, по выпискам из налоговых и т.д., на предмет соответствия заявленным данным.
И если у вас одним из соучредителей является иностранное юр. лицо, то вам уже нельзя сказать, что у вас нет трансграничной передачи данных (это же касается и публикации доп. иностранных офисов с местными контактными данными на сайте и т.д. – нужно в случае запроса иметь подтверждение того, что все данные пользователей остаются на территории РФ).
Но это уже частные моменты, которые требуют согласования с вашим юристом.
Какой бизнес в зоне риска?
- Кто собирает и хранит большие массивы данных
- Кто работает с особенными видами данных: юридические, банковские, медицинские и т.д. (штрафы за утечку от 10 млн руб. - Статья КоАП ч. 16, 18 ст. 13.11)
- У кого есть дыры в безопасности. Но даже если вас взломали и начали вымогать деньги, не сидите и не ждите, тем более не платите – обращайтесь в полицию, к своим юристам и т.д.
Если у вас digital-студия и вы работаете с базами пользователей ваших клиентов, например, даете на них рекламу / рассылку и т.д. Убедитесь, что в Договоре с клиентом есть поручение на обработку персональных данных, переданных клиентом. Если в Договоре такого пункта нет, то можно заключить Доп. соглашение на эту тему.
Потому что в случае спорных ситуаций, у вас должны быть данные о том, что вы выполняете только агентскую функцию и что переданная вам база изначально законная.
В противном случае в суде может получиться так, что виновными окажетесь и вы и ваш клиент.
Клиент незаконно передал третьей стороне персональные данные без согласия пользователей, а вы эту базу получили незаконным путем (украли) и используете (неважно в чьих интересах).
Если я собираю обезличенные данные, нужно ли мне подавать уведомление в РКН?
Если эти данные зашифрованы, но в принципе поддаются дешифровке, то это все равно массив персональных данных и значит, к вам данный закон применим.
Cookie, да в принципе любые паттерны поведения, не привязанные прямо к персоне, но собирающие ту или иную информацию о их действиях, являются по закону персональными данными и требования к ним предъявляются такие же, как если бы это были ФИО.
Можно ли автоматически заполнять чек-боксы согласия в формах обратной связи?
По закону – нет. Клиент должен явно и самостоятельно дать вам разрешение на обработку его персональных данных. Иначе это смогут расценить как принуждение, если возникнет спорный момент.
Тут еще важно подсветить такой момент, если клиент сегодня согласился на рассылку рекламных или любых других материалов, а завтра написал вам лично или отписался самостоятельно от ваших материалов, то вы должны сразу прекратить с ним взаимодействие, иначе следующим шагом клиента будет пойти и заполнить форму жалобы в РКН, а РКН уже придет с проверками к вам. Оно вам надо?
Что делать, если клиент звонит или пишет нам сам?
Если клиент вам позвонил, и вы телефонный звонок не записали, никуда дальше его не передали, то делать ничего не надо.
Если у вас ведется запись звонков и личных данных, то лучше в приветствии записать голосое сообщение о том, что дальнейшим разговором клиент дает свое согласие на обработку его данных. Этого будет достаточно.
Если клиент пишет вам в мессенджер – официальный аккаунт вашей компании, то лучше при подключении к чату оставлять дисклеймер, что, обращаясь к нам, вы согласны на обработку ваших перс. данных.
По поводу чат-ботов.
Здесь нужно ориентироваться на то, где находятся сервера мессенджера, если в РФ, также берем согласие на продолжение общение.
Если нет, можно попасть под закон о локализации (данные клиентов идут напрямую заграницу) – эти риски нужно понимать, штрафы за обработку ПД в базах данных, расположенных за границей, для юр. лиц начинается от 1 млн. рублей (Статья КоАП ч. 8 и 9 ст. 13.11).
Какие факторы риска нарваться на штрафные санкции?
- Вы допускаете полный хаос в обработке ПД
- Обрабатываете очень большие массивы данных
- Не обеспечиваете особую защиту чувствительных ПД (финансовых данных, медицинских данных, биометрии и т.д.)
- Становитесь объектами взлома и сливов данных со стороны киберпреступников в связи со слабым уровнем защиты.
- Не реагируете на обращения или жалобы со стороны ваших пользователей
Также нужно понимать, что РКН может зацепиться не только за то, что лежит на поверхности: код GA, отсутствие Cookie, Политики конфиденциальности, но может в рамках проверки запрашивать какие угодно документы: нормативные акты, узнавать, как у вас устроена работа по обработке и хранению данных и выявлять ошибки и на этих этапах тоже. Поэтому убедитесь, что вы хотя бы «на поверхности» со всем разобрались, чтобы зацепиться было не за что.
Есть возможность снизить суммы штрафов, если до этого дошло, следующим образом: показать, что вы максимально белые и пушистые и делаете все, чтобы беды не случилось, а раз она случилась, то вы сделали почти все, что могли:
- Ваши расходы на защиту информации не менее 0,1% от выручки в течение 3 лет подряд
- Вы соблюдаете все требования к обработке ПД
- У вас есть ответственное за ПД лицо (если его нет, им автоматически становится генеральный директор, но если доходит до суда, то большую лояльность проявляют к тем, кто не поленился назначить специального человека отдельным документом, даже если это тот же директор).
- Вы проводите аудит каждые 12 месяцев (актуальности документов, средств обработки и хранения и т.д.)
- У вас отсутствуют нарушения в технической защите информации.
С учетом вышеперечисленного штраф за нарушение все равно заплатить придется, просто он будет минимальным.
Можно скопировать Политику обработки ПД у другой компании и просто вставить к себя на сайт?
В идеале данный документ должен быть составлен юристом, потому что он должен содержать много разной информации, касаемой именно вашего конкретного сайта и юр. лица:
- цели обработки ПД
- категории обрабатываемых ПД
- категории субъектов, данные которых собираются
- способы и сроки обработки
- порядок уничтожения ПД
- сведения о реализуемых требованиях к защите ПД
За некорректно составленную Политику обработки персональных данных или ее отсутствие на сайте предусмотрен штраф для юр. лиц: от 10 000 до 60 000 (Статья КоАП ч. 3 ст. 13.11)