Эксперт:

Что такое персональные данные

Статья 3 Федерального закона «О персональных данных» (№ 152-ФЗ) дает такое определение: это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Например, к персональным относятся следующие типы данных:

• личные: фамилия, имя, отчество; телефоны, email, адреса, паспортные данные;
• технические: IP-адрес, cookies посетителей — информация, которой браузер пользователя делится с сайтом по его запросу;
• поведенческие: время просмотра страницы, просматриваемый контент и прочее.

Категории персональных данных

Закон № 152-ФЗ выделяет три категории персональных данных:

1. Общие — это стандартные личные данные, такие как Ф. И. О., адрес проживания, информация об образовании и трудоустройстве, контактный телефон и электронная почта, а также иная информация, которая не относится к специальной категории или биометрическим персональным данным.
2. Специальные — информация о личности человека, включая расовую и национальную принадлежность, политические, религиозные и философские убеждения, состояние здоровья, сведения об интимной жизни, информацию о судимостях.
3. Биометрические — физиологические или биологические характеристики, которые используются для идентификации человека. Это может быть фотография, отпечатки пальцев, результаты анализа ДНК, группа крови, рост, цвет глаз, вес.

Почему нужно защищать персональные данные

Есть несколько причин, по которым бизнесу необходимо защищать данные своих клиентов:

• Личные данные относятся к частной жизни человека, их защита позволяет соблюдать права и свободы, гарантированные Конституцией и другими правовыми актами.
• Незащищенные персональные данные могут стать объектом кражи, злоупотребления или компрометации, что приведет к серьезным последствиям для пострадавших лиц.
• Компании, которые эффективно защищают персональные данные клиентов и сотрудников, пользуются доверием и уважением. Это важно для их репутации.
• В случае утечки данных компании могут столкнуться с финансовыми потерями, штрафами и репутационными рисками, что негативно скажется на их экономической стабильности.

Защита персональных данных — это требование закона, за невыполнение которого грозят большие штрафы, а в будущем они будут только увеличиваться.

Что значит обработка персональных данных

Обработка персональных данных — это любые действия с данными пользователей, совершаемые оператором — человеком или компанией. Если у владельца бизнеса есть в телефонной книге номера клиентов, то это хранение данных. Если предприниматель знает, как зовут его покупателей, значит когда-то он собрал их персональные данные — фамилии, имена и отчества. Если он присылает клиентам письма с выгодными предложениями, то происходит обработка адресов электронной почты.

Как понять, что мой сайт собирает персональные данные

Чтобы понять, собирает ли сайт персональные данные, нужно посмотреть, что именно он запрашивает у посетителей. Речь идет о персональных данных, если:

• сайт собирает технические сведения (например, данные браузера, IP-адреса, файлы cookie);
• сайт содержит формы, в которых собирается информация о конкретном человеке (например, Ф. И. О., номер телефона, адрес электронной почты): подписки на рассылку, обратной связи, регистрации личного кабинета или размещения комментариев.

Бизнес вправе собирать персональные данные для оказания клиенту услуги или передачи товара, авторизации посетителей сайта. Конкретный состав персональных данных, которые компания может собирать, ограничен целью сбора. Например, чтобы доставить товар, продавцу не нужно знать семейное положение покупателя: достаточно адреса и имени.

Как организовать обработку персональных данных на сайте

Чтобы организовать обработку персональных данных, нужно выполнить несколько шагов.

1. Сообщить в Роскомнадзор об обработке персональных данных

Направить уведомление ведомству можно:

• электронно (с помощью усиленной квалифицированной электронной подписи или Единой системы идентификации и аутентификации);
• в бумажном виде (на адрес территориального отдела Роскомнадзора по месту регистрации бизнеса).

Форму документа можно найти на портале Роскомнадзора или в приказе ведомства.

В случае изменения сведений, поданных в уведомлении, предпринимателю нужно сообщить об этом в Роскомнадзор не позднее 15 числа месяца, следующего за месяцем, в котором были изменения.

2. Локализовать хранение, уточнение и извлечение собранных персональных данных в базах данных, расположенных на территории России

Будет считаться нарушением использование Google-форм или других иностранных сервисов для первичного сбора персональных данных, так как их базы данных расположены за пределами РФ. Чтобы избежать штрафов, стоит позаботиться о правильном хранении и обработке собранных персональных данных клиентов до запуска сайта и обеспечить их сбор, хранение и использование с применением отечественных информационных систем.

3. Разместить на сайте политику обработки персональных данных

Политика должна быть общедоступной. Нужно разместить ссылку на документ в футере сайта (раздел внизу страницы) и на каждой форме сбора персональных данных. В политике должны быть отображены особенности обработки данных в конкретной компании.

Не стоит копировать первый попавшийся шаблон или политику чужой интернет-страницы: любой документ необходимо адаптировать под себя.

Что должно быть в политике обработки персональных данных:

1. Общие положения: основные определения — оператор, субъект, обработка и другие понятия, на что распространяется политика, принципы обработки, основные права и обязанности оператора и пользователя, информация о компании.
2. Конкретные цели, для которых компания или ИП собирает персональные данные. Для каждой цели необходимо указать категории субъектов, состав данных, основание, способы обработки.
3. Организация обработки персональных данных: порядок сбора, хранения, уничтожения и передачи персональных данных третьим лицам.
4. Порядок рассмотрения обращений и запросов субъектов персональных данных: куда направлять запросы, их форма и сроки рассмотрения.
5. Меры, которые бизнес предпринимает для защиты персональных данных.
6. Использование cookie-файлов: цели обработки и виды cookie-файлов, а также порядок отказа субъекта от обработки его cookie-файлов.
7. Порядок изменения политики и место ее размещения.

Бизнес может разместить два документа: политику обработки персональных данных (процессы и методы обработки персональных данных в компании в целом) и политику конфиденциальности (документ, в котором подробно рассказано, как обрабатываются данные на сайте).

4. Выбрать правильное основание обработки персональных данных

Выбор основания зависит от цели, для которой нужна персональная информация. В статье 6 закона № 152-ФЗ перечислены возможные основания, при наличии которых обработка персональных данных правомерна:

• Согласие на обработку персональных данных. Оно подтверждает добровольное решение человека передать оператору личные сведения для определенных целей.
• Договор. Данные необходимы для исполнения соглашения, стороной которого является физическое лицо.
• Участие лица в судопроизводстве.
• Исполнение полномочий государственных или муниципальных органов и фондов. Обработка данных нужна для оказания государственных и муниципальных услуг.
• Требования законодательства, когда на оператора возложены определенные обязанности. Например, работодатель должен передать персональные данные в налоговые органы.
• Защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно.
• Законный интерес. Данные обрабатываются, чтобы не нарушать баланс между правами субъекта и интересами других лиц. Например, проверка контрагентов проводится в соответствии с процедурой, принятой в компании.
• Статистические и исследовательские цели при условии обезличивания персональных данных.
• Судебные акты, акты других органов или должностных лиц.
• Обработка данных, подлежащих опубликованию или раскрытию. Например, информация о доходах и имуществе представителей власти размещается на официальных сайтах государственных органов.

5. Правильно публиковать отзывы клиентов

Анонимные отзывы можно публиковать без ограничений, так как персональные данные на сайте не отображаются. Если компания хочет размещать отзывы с персональными данными, нужно в форме для сбора и публикации отзывов разместить поля с фамилией и именем, которые клиент может заполнить по желанию. Если предприниматель хочет опубликовать отзыв, который ему написали лично, например в мессенджере, он должен спросить разрешения на его размещение.

6. Соблюдать правила обработки cookies

Сookies включают данные об устройстве и настройках, активностях пользователя, хранятся на устройстве пользователя и передаются сайту, когда тот его посещает. Считаются персональными данными. Обрабатывать cookies нужно, чтобы обеспечить корректную и стабильную работу сайта, сделать его удобным для пользования посетителями и отслеживать их действия на сайте.

Для работы с cookies нужно:

• в политике обработки персональных данных (или в политике конфиденциальности) подробно описать, как и зачем используются разные виды cookies, каким образом пользователь может отключить их передачу;
• при входе на сайт демонстрировать посетителям баннер с уведомлением о том, что на сайте идет обработка cookies, — необходимо также прикрепить ссылку на политику и предусмотреть функционал, который поможет пользователю отказаться от передачи всех cookies, кроме необходимых.

7. Сообщить об использовании рекомендательных технологий

Это специальный алгоритм, который анализирует профиль, запросы, клики и другую персональную информацию о пользователе. Затем он показывает посетителям то, что они хотят увидеть. Бизнесу нужно разместить на сайте:

• «Правила применения рекомендательных технологий» — документ, в котором описаны процессы и методы сбора, анализа и систематизации пользовательских предпочтений, сведения о пользователе и его поведении, которые используются;
• адрес электронной почты для направления юридически значимых сообщений, Ф. И. О. ИП или наименование компании;
• уведомление об использовании рекомендательных технологий на главной странице сайта со ссылкой на правила.

Как подготовить согласие на обработку данных

Согласно пункту 1 статьи 9 закона № 152-ФЗ, согласие на обработку ПД должно быть конкретным, предметным, информированным, сознательным и однозначным.

Согласие должно содержать:

• персональные данные субъекта (фамилию, имя, отчество, адрес, паспортные данные);
• персональные данные представителя субъекта (при наличии), которые включают фамилию, имя, отчество, адрес, паспортные данные и реквизиты доверенности;
• данные об операторе (наименование юрлица или Ф. И. О. индивидуального предпринимателя, адрес);
• цель обработки персональных данных;
• список ПД, которые будут обрабатываться;
• информацию о третьих лицах, которым данные будут переданы (при наличии);
• данные о действиях с персональными данными и способах их обработки;
• срок действия согласия и порядок его отзыва;
• подпись субъекта ПД.

Пример текста согласия на сайте:

«Я, [Ф. И. О., адрес, паспортные данные], даю свое согласие [наименование оператора, адрес] (далее — оператор) на обработку (сбор, запись, систематизацию, уточнение (обновление, изменение), накопление, хранение, извлечение, использование, предоставление, доступ, блокирование, удаление, уничтожение) предоставленных мной персональных данных [список] способами [указать способы обработки персональных данных] в целях [указать конкретную цель] на срок, необходимый для достижения указанной цели или до момента отзыва. Порядок отзыва согласия: направление заявления на электронный адрес [email компании]».

Как оформить пользовательское соглашение

Пользовательское соглашение — это договор, который заключается между владельцем сайта и пользователем и содержит правила использования ресурса, в том числе правила обработки персональных данных. Например, если на сайте можно создать личный кабинет, в пользовательском соглашении необходимо описать процедуру регистрации и наполнение пользовательского профиля, в том числе порядок обработки персональных данных.

Во вступительной части пользовательского соглашения перечисляют наименования сторон, указывают на публичную оферту и порядок присоединения к договору. Далее нужно:

1. Перечислить термины, которые используются в тексте, и раскрыть, что они означают.
2. Прописать предмет договора, права и обязанности сторон, их ответственность за нарушение соглашения.
3. Указать, как будут разрешаться возможные споры и претензии сторон.
4. Предупредить о сборе персональных данных на сайте и дать ссылку на политику конфиденциальности.
5. В конце соглашения указать дополнительные условия, срок действия соглашения, условия его изменения и прекращения.

Ответственность за нарушение закона «О персональных данных»

Ответственность за нарушение законодательства в области персональных данных прописана в статье 13.11 Кодекса России об административных правонарушениях (КоАП). С 30 мая 2025 года в частях 10–18 статьи 13.11 КоАП вводятся новые штрафы за утечку персональных данных.

При этом за незаконное использование, передачу, сбор и хранение персональных данных и за создание сайтов для этих действий предусмотрена уголовная ответственность. Нарушителей ждет штраф до 300 тыс. руб., принудительные работы сроком до четырех лет или лишение свободы на тот же срок. Если действия повлекли тяжкие последствия или были совершены организованной группой, то наказание составит до десяти лет тюрьмы со штрафом до 3 млн руб. Остальные меры наказания за нелегальное распространение персональных данных можно посмотреть здесь.