Главная
Юристу
Персональные данные
Что нужно знать владельцам интернет-сайтов про обработку и защиту персональных данных

Туркина Елена Алихановна Практикующий юрист

19 августа 2025 1 026

Что нужно знать владельцам интернет-сайтов про обработку и защиту персональных данных

Размер шрифта:

Сейчас практически каждая уважающая себя компания или индивидуальный предприниматель стараются заявить о себе миру и потенциальным клиентам путем создания собственного сайта. Но если вы не просто рекламируете в интернете себя любимого, а, например, разместили на своем сайте форму обратной связи или используете куки, то вы уже являетесь оператором персональных данных и должны соблюдать установленные законом требования и ограничения. Расскажу, что нужно знать владельцу интернет-сайта, чтобы не нарушить законодательство о защите персональных данных и не нарваться на очень неприятные штрафы.

Коротко о главном: 5 пунктов

Вся информация о человеке, например, имя или адрес, считается персональными данными и требует защиты.
Если сайт собирает такие сведения, его владелец становится ответственным за их обработку.
Обязательно нужно получить согласие пользователя и сообщить ему, что планируете делать с его персданными.
Защитой личной информации надо заниматься серьёзно — ограничивать доступ, хранить безопасно и удалять по просьбе владельца.
Если нарушить правила, то придется заплатить крупный штраф.

Какие персональные данные можно собирать на сайте

Сбор персональных данных — это получение любой информации, которая прямо или косвенно относится к конкретному человеку. ПД являются:

имя и фамилия;
место проживания;
адрес эл. почты;
номер телефона;
ИНН;
фото;
ссылка на профиль в соцсетях;
иные касающиеся человека сведения, которые прямо или косвенно дают возможность установить его личность.

Подробнее: что относится к персональным данным

Поэтому владелец интернет-сайта становится оператором персональных данных (со всеми вытекающими последствиями), если на ресурсе имеются:

подписка на рассылки;
авторизация на сайте;
формы обратной связи и комментариев;
заказ обратного звонка;
регистрация личного кабинета;
формы загрузки фотографий;
использование куков.

Как владельцу сайта выполнить требования законодательства о персональных данных

Чтобы не нарушить закон, владелец интернет-сайта, являющийся оператором ПД, обязан выполнить ряд специальных действий, которые, как считает государство, должны обеспечить защиту конфиденциальной информации о пользователях (Федеральный закон № 152-ФЗ от 27.07.2006).

Какие документы и уведомления пользователя нужно разместить на сайте

Во-первых, необходимо разработать и утвердить политику обработки персональных данных (ее иногда называют политикой конфиденциальности). Этот документ описывает, какая личная информация собирается, для каких целей, как она хранится и защищается, в том числе права пользователей в отношении их личных данных. В силу ч. 2 ст. 18.1 ФЗ-152 владелец интернет-ресурса обязан опубликовать документ на своем сайте и обеспечить возможность доступа к нему. Текст обычно размещается на отдельной странице, ссылка на которую дается в удобном для пользователей месте сайта.

В политике обработки ПД необходимо отразить информацию о том, как разрешено отозвать согласие на обработку своих данных.

Во-вторых, перед началом обработки ПД конкретного человека закон требует получить его осознанное согласие на такие действия.

Получить такое согласие можете в любой форме, позволяющей подтвердить факт его получения. Например, установить специальную кнопку или чекбокс — пункт, в котором пользователь обязан поставить галочку при заполнении формы, предполагающей внесение личной информации: регистрации на сайте, подписки на рассылку, отправки заявки и т.п.

При использовании чекбокса нельзя проставлять галочку, обозначающую согласие на обработку ПД: по умолчанию пользователь обязан сделать это самостоятельно.

Многие люди искренне недоумевают: зачем необходимо какое-то согласие, если человек сам добровольно отправляет, например, свой адрес эл. почты. Как-то один мой знакомый возмущался, что оплатил услугу через интернет и для получения чека на e-mail программа предлагала согласиться на обработку ПД, проставив соответствующую галочку в чекбоксе. Получить чек он хотел, а ставить галочку — нет. Пришлось объяснять человеку, что это не прихоть владельца ресурса, а попытка законодателя проявить заботу о гражданах.

Если на вашем ресурсе используются куки-файлы, собирающие и анализирующие информацию о поведении пользователей в сети, то на сайте надо разместить соответствующе уведомление. Обычно это делается в виде всплывающего окна, которое появляется при открытии сайта и так сильно всех раздражает. Но, увы, это требование закона.

Скачать форму политики обработки персональных данных Скачать форму согласия на обработку персональных данных

Как уведомить Роскомнадзор

До начала обработки персональных данных оператор обязан уведомить о своем намерении их обрабатывать специальный уполномоченный орган — Роскомнадзор. Это можете сделать несколькими способами:

в электронном виде через портал Госуслуг (если уведомление подается от имени юр. лица, то надо использовать учетную запись этой организации);
в бумажном виде — на адрес территориального отдела Роскомнадзора;
на портале Роскомнадзора в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.

Лично мне представляется более удобным делать это через Госуслуги: не надо вручную вводить реквизиты организации, т.к. программа подтягивает их сама.

Форма такого уведомления утверждена Приказом Роскомнадзора № 180 от 28.10.2022.

Если вы сомневаетесь, надо ли вам направлять уведомление, как его заполнять и что именно в нем указывать, то желательно обратиться за помощью к профессиональному юристу, специализирующемуся на таких вопросах. Или можете просмотреть уведомления о начале обработки ПД аналогичных организаций, которые находятся в свободном доступе в реестре операторов персональных данных. Для поиска потребуется указать ИНН или название организации-оператора.

Узнайте, как зарегистрироваться в Роскомнадзоре в качестве оператора персональных данных

Как организовать защиту персональных данных в редакции сайта

Как правило, работу по наполнению и обслуживанию любого интернет-ресурса выполняют наемные сотрудники. И владелец сайта обязан организовать эту работу так, чтобы исключить утечку конфиденциальной информации. Для этого необходим целый комплекс мероприятий:

назначьте приказом сотрудника, ответственного за обработку ПД;
определите круг лиц, которые для исполнения служебных обязанностей должны иметь доступ к личной информации пользователей и иных лиц, ограничив доступ иным сотрудникам;
возьмите с работников, получивших доступ к ПД, письменное обязательство о неразглашении;
ознакомьте всех сотрудников проекта с утвержденными правилами по обращению с персональными данными;
обеспечьте технические меры защиты информации от несанкционированного доступа.

Надо знать: какие меры необходимо принимать для защиты персональных данных

Что нужно знать об уничтожении персональных данных

Человек, передавший оператору свои персональные данные и давший согласие на их обработку, в любой момент имеет право передумать и отозвать согласие. В таком случае обработку ПД конкретного лица надо прекратить, а саму конфиденциальную информацию уничтожить в течение 30 дней (если ее сохранение более не требуется для целей обработки). Также персональная информация пользователей подлежит уничтожению в следующих случаях:

если выяснится, что данные обрабатывались неправомерно, — на это отводится 10 дней;
при достижении конечной цели обработки ПД — на уничтожение дается 30 дней.

Если же обнаружится, что персональные данные были получены незаконно или не являются необходимыми для заявленной цели обработки, то оператор по требованию субъекта ПД обязан уничтожить такую информацию в течение 7 рабочих дней.

Когда по объективным причинам уничтожить информацию в установленные законом сроки невозможно, то данные необходимо заблокировать и принять все возможные меры для их уничтожения в течение не более чем 6 месяцев.

Уничтожение информации должно проводиться способом, исключающим ее восстановление. Для этих целей владельцу сайта необходимо сформировать комиссию по уничтожению данных, а еще определить способы уничтожения, учитывая объем данных и имеющиеся ресурсы. Факт уничтожения данных пользователя надо задокументировать актом, в котором отразите информацию о дате уничтожения, использованном методе, в том числе сведения о том, какие конкретно ПД были уничтожены.

Читайте об этом: как уничтожать персональные данные

Какие штрафы ждут в случае нарушений законодательства о защите персональных данных

Штрафы за нарушение обработки ПД с 30 мая 2025 года значительно выросли. В соответствии с новой редакцией ст. 13.11 КоАП РФ нарушителям теперь придется заплатить:

За обработку данных, не предусмотренную законом: гражданам от 15 000 до 30 000 руб., а организациям — от 150 000 до 300 000 руб. При повторном нарушении юр. лицо могут оштрафовать на полмиллиона руб.
За обработку ПД человека без его согласия: гражданам — от 10 000 до 15 000 руб., организациям — от 300 000 до 700 000 руб. При повторном нарушении юр. лицо оштрафуют на 1 млн 500 000 руб., а гражданина — на 30 000 руб.
Если не опубликовать политику оператора в отношении обработки ПД — штраф составит от 30 000 до 60 000 руб. для юр. лица и от 10 000 до 30 000 руб. для ИП.
Неисполнение обязанности по блокировке или уничтожению ПД обойдется организации от 50 000 до 90 000, а ИП — от 20 000 до 40 000 руб. За повторное нарушение юр. лицо могут оштрафовать на 500 000 руб., а индивидуального предпринимателя — на 100 000 руб.
За неуведомление или несвоевременное уведомлению Роскомнадзора о намерении осуществлять обработку персональных данных штраф для юр. лица составит от 100 000 до 300 000 рублей, а для физического лица — от 5000 до 10 000 руб.
Самые же большие штрафы установлены для виновных в незаконной передаче или утечке данных. В зависимости от количества пострадавших или объема переданной информации штраф для организации может достигать 15 млн руб. Если утечка данных была допущена повторно — в зависимости от квалификации правонарушения штраф составит до 500 млн руб.

ВАЖНО!

При обнаружении утечки персональных данных пользователей, владелец сайта обязан в течение 24 часов сообщить о произошедшем в региональный орган Роскомнадзора (ст. 21 ФЗ-152). За неисполнение этого требования предусмотрен административный штраф в размере до 3 млн руб.

Обработка персональных данных на сайте: частые вопросы

Что такое персональные данные пользователя интернет-ресурса?

Любая информация, относящаяся прямо или косвенно к определенному физическому лицу.

В каком случае владелец сайта является оператором персональных данных?

Во всех ситуациях, когда на его сайте осуществляется обработка ПД.

Относится ли к персональным данным адрес эл. почты, который пользователь указывает для получения рассылки?

Да, относится.

Что делать, если пользователь требует уничтожить свои данные, которые ранее сам оставил на сайте?

Выполнить желание пользователя.

Станет ли нести ответственность владелец, если сайт взломали и утечка данных пользователей произошла не по его вине?

Да, будет, т.к. он обязан обеспечить защиту информации от несанкционированного доступа.

Какое наказание последует, если не сообщать Роскомнадзору об утечке ПД?

Крупный денежный штраф — до 3 млн рублей.

Приказ Роскомнадзора от 28.10.2022 N 180

Федеральный закон от 27.07.2006 N 152-ФЗ

Статья 13.11 КОАП РФ. Нарушение законодательства Российской Федерации в области персональных данных

Оставить комментарий Распечатать

Туркина Елена Алихановна Практикующий юрист

Все статьи автора

Помощник по этой статье

Что это?

Сориентирует по тому, что написано на этой странице — быстро и по делу.

Это автоматический помощник, работающий на основе искусственного интеллекта. Он отвечает только на основе текста этой страницы и размещённых на ней ссылок. Если какого-то факта в статье нет, помощник честно сообщит об этом.

Например: «Каков порядок действий?», «Каковы сроки?», «Какие документы нужны?».

Комментарии

Туркина Елена Алихановна
2025-08-19 11:10:54

Если сайт используется чисто в информационных целях и данные пользователей не собираются, но владелец сайта использует наемный труд и, например, начисляет зарплату сотрудникам не на счетах, а с использованием программного обеспечения — по мнению закона, он является оператором ПД в отношении своих работников. Подавать уведомление в Роспотребнадзор все равно придется.

Что-то непонятно? Спрашивайте!

Персональные данные: ответы по темам

1 вопрос 9 сентября 2025

Оформление согласия на обработку персональных данных на сайте

Обсуждаем, как с учетом изменений с 1 сентября оформить согласия на обработку персональных данных на сайте, если нет отдельного раздела про персональные данные.

1 238

1 вопрос 7 июля 2025

Как разрешено пересылать документы с персональными данными в рамках закона о персональных данных РФ?

Обсуждаем, как пересылать внутри и вне компании документы с персональными данными, чтобы не нарушить № 152-ФЗ.

3 302

1 вопрос 17 июня 2025

«Политика конфиденциальности» и «Политика обработки персональных данных» это разные документы?

Разбираемся, «Политика конфиденциальности» и «Политика обработки персональных данных» являются разными документами, или один из них включён в другой?

3 834

1 вопрос 30 апреля 2025

Как составить согласие на обработку персональных данных, чтобы оно соответствовало требованиям ФНС по раскрытию налоговой тайны?

Обсуждаем, что включить в согласие на обработку персональных данных, чтобы оно соответствовало требованиям ФНС по раскрытию налоговой тайны.

2 233

Вам может быть интересно: