Проверка сайта на соответствие РКН и 152-ФЗ

Saitscan.ru logo

Ответственность и штрафы за нарушение политики конфиденциальности на сайте

Владелец небольшого сайта запускает форму обратной связи и не думает об юридических документах. Кажется, что штрафы — это для крупных компаний с базами на миллионы пользователей. Но российское законодательство не делает такого разграничения.

Если сайт собирает имя и телефон через форму, он уже стал оператором персональных данных. И к нему применяются те же требования 152-ФЗ, что и к банку или интернет-магазину.

Разбираемся, какие документы обязательны, за что именно штрафуют и как выглядит процедура проверки.

Ответственность и штрафы за нарушение политики конфиденциальности на сайте

Правовое регулирование персональных данных в интернете

Основной документ — Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 года. Он регулирует, как любая организация или предприниматель вправе собирать, хранить и использовать сведения о людях.

Закон распространяется на всех, кто собирает данные граждан России, — независимо от размера бизнеса, юридической формы и того, сколько человек оставляло заявки.

Законодательные требования к владельцам сайтов

152-ФЗ обязывает оператора персональных данных выполнить несколько условий до начала сбора информации о пользователях.

Во-первых, опубликовать политику обработки персональных данных — документ, в котором описано, какие данные собираются, зачем, как хранятся и передаются. Во-вторых, получить согласие пользователя до того, как данные будут обработаны. В-третьих, уведомить Роскомнадзор о том, что организация является оператором — если она не попадает под исключения.

Несоблюдение любого из этих условий — отдельное нарушение со своим штрафом.

Что считается персональными данными при посещении веб-ресурса

Персональные данные — это любая информация, которая позволяет прямо или косвенно идентифицировать конкретного человека. Для сайта это гораздо более широкий список, чем кажется.

1

Контактные данные

Имя, фамилия, телефон, email, адрес доставки — всё, что пользователь вводит в форму на сайте.

2

Технические данные

IP-адрес, идентификаторы устройства, данные браузера, геолокация — собираются автоматически при визите на сайт, в том числе через файлы cookie.

3

Поведенческие данные

История просмотров, клики, время на странице — если сайт использует системы аналитики (Яндекс.Метрика, Google Analytics), эти данные тоже обрабатываются.

4

Данные из учётных записей

Логины, данные профиля, история заказов — при регистрации или входе через социальные сети.

Важно понимать

Даже сайт-визитка без форм может собирать данные через счётчики аналитики или рекламные пиксели. Факт обработки данных не зависит от намерения владельца — он возникает автоматически при подключении таких сервисов.

Обязательные документы для размещения на сайте

Закон требует от оператора двух вещей: рассказать пользователям, как работает сайт с их данными, и получить на это их согласие. Для каждой из этих задач — свой документ.

Политика конфиденциальности: назначение и структура

Политика конфиденциальности — это публичный документ, который объясняет, какие данные сайт собирает, зачем, как хранит и кому может передавать. Его обязан опубликовать каждый оператор персональных данных.

Документ должен быть доступен всем пользователям без регистрации и авторизации. Стандартное место — ссылка в футере сайта на отдельной странице.

Что обязательно должно быть в политике:

  • Наименование и контакты оператора — кто собирает данные
  • Цели обработки — для чего конкретно используются данные
  • Перечень категорий данных — что именно собирается
  • Правовые основания обработки — согласие, договор или иное
  • Сроки хранения данных
  • Передача третьим лицам — если данные уходят в CRM, сервисы аналитики, рассылки
  • Права субъектов — как пользователь может отозвать согласие или потребовать удаления данных
  • Меры защиты данных

Если сайт использует сторонние аналитические или рекламные сервисы, это тоже нужно отражать в политике. Яндекс.Метрика, Google Analytics, пиксели рекламных систем — всё это передача данных третьим лицам.

Готовый шаблон можно найти в генераторе политики конфиденциальности. Но шаблон нужно адаптировать под конкретный сайт: указать реальные данные оператора и реальные категории данных, которые собираются.

Согласие на обработку данных и правила его получения

Согласие — это действие пользователя. Он должен сам, добровольно подтвердить, что ознакомился с условиями обработки и принимает их. Согласие на обработку персональных данных оформляется через чек-бокс рядом с каждой формой, где собираются личные сведения.

Закон устанавливает несколько обязательных условий для того, чтобы согласие считалось действительным.

1

Добровольность

Чек-бокс по умолчанию должен быть пустым. Предустановленная галочка не означает согласия — пользователь не совершал никакого действия.

2

Информированность

Рядом с чек-боксом должна быть кликабельная ссылка на политику обработки персональных данных. Фраза «согласен» без ссылки на документ не позволяет пользователю узнать, с чем именно он соглашается.

3

Конкретность

Согласие должно быть дано для конкретной цели. Одно согласие на «любую обработку данных» без указания целей — не соответствует требованиям закона.

4

Возможность отзыва

Пользователь вправе отозвать согласие в любой момент. В форме или в политике должно быть указано, как это сделать: письмо на email, заявка через сайт, иной способ.

Административная ответственность за отсутствие документов

Нарушения в сфере персональных данных регулируются Кодексом об административных правонарушениях (КоАП РФ). Статья 13.11 содержит несколько составов — каждый с отдельным размером санкции.

С 2023–2024 годов размеры штрафов существенно выросли. Законодатель последовательно ужесточает ответственность, реагируя на увеличение числа утечек и несоблюдение базовых требований.

Размеры штрафов для ИП и юридических лиц

Нарушение Для граждан Для ИП / должн. лиц Для юр. лиц
Обработка данных без согласия 10 000 — 15 000 ₽ 100 000 — 300 000 ₽ 300 000 — 700 000 ₽
Обработка данных без согласия (повторно) 15 000 — 30 000 ₽ 300 000 — 500 000 ₽ 500 000 — 1 500 000 ₽
Отсутствие политики обработки ПДн 1 500 — 3 000 ₽ 6 000 — 12 000 ₽ 30 000 — 60 000 ₽
Незаконная передача данных третьим лицам 10 000 — 15 000 ₽ 100 000 — 200 000 ₽ 300 000 — 500 000 ₽
Нарушения при трансграничной передаче данных 10 000 — 15 000 ₽ 50 000 — 100 000 ₽ 100 000 — 300 000 ₽
Несоблюдение требований при утечке данных 400 000 — 800 000 ₽ 1 000 000 — 3 000 000 ₽

Штрафы могут суммироваться

Каждое нарушение — отдельный состав. Если у сайта нет политики, нет согласия под формой и данные передаются в Google Analytics без уведомления — это три разных нарушения. Штрафы по ним назначаются независимо друг от друга.

Риски при некорректном оформлении политики конфиденциальности

Штраф грозит не только при отсутствии документа, но и при его ненадлежащем оформлении. Несколько ситуаций, которые создают риски.

error_outline

Скопированный шаблон с чужими реквизитами

Политика есть, но в ней указана другая компания. Юридически это означает, что оператор не раскрыл информацию о себе — нарушение статьи 18.1 152-ФЗ.

error_outline

Не упомянуты сторонние сервисы

Сайт использует Яндекс.Метрику, но в политике об этом ни слова. Передача данных третьим лицам должна быть отражена — иначе согласие пользователя неинформированно.

error_outline

Политика не обновлялась после изменений

Добавили новую форму, подключили CRM, изменили юридическое лицо — а политику не поправили. Документ должен соответствовать реальной практике сайта.

error_outline

Политика недоступна без регистрации

Закон требует, чтобы документ был открыт для «неограниченного круга лиц». Если пользователь не может прочитать политику до того, как ввёл данные — это нарушение.

Типичные нарушения при сборе данных через формы обратной связи

Большинство проблем на практике связано не с намеренным обходом закона, а с незнанием требований. Разберём наиболее распространённые ситуации, которые фиксирует Роскомнадзор при проверках.

Избыточный сбор информации о пользователях

152-ФЗ прямо запрещает собирать данные сверх того, что необходимо для заявленной цели. Если сайт принимает заявки на консультацию и при этом просит указать дату рождения, ИНН или паспортные данные — это нарушение принципа минимизации.

Форма должна содержать только те поля, которые реально нужны для обработки запроса. Если для обратного звонка достаточно телефона — поле с адресом или должностью не нужно.

Избыточный сбор данных создаёт дополнительные риски: чем больше данных хранится, тем выше последствия при их утечке. С 2024 года штрафы за утечки стали исчисляться миллионами рублей.

Отсутствие уведомлений об использовании файлов cookie

Cookie-файлы, которые идентифицируют конкретного пользователя или отслеживают его поведение, относятся к персональным данным. Если сайт их использует — пользователь должен знать об этом до начала сессии.

Стандартный способ — всплывающий баннер при первом посещении с кнопкой принятия или отклонения. Отсутствие такого уведомления при наличии аналитических или рекламных cookies — это нарушение, даже если политика конфиденциальности на сайте есть.

Подробнее о том, почему сайт запрашивает согласие на cookie, и какие именно файлы требуют уведомления — отдельный вопрос, который касается многих владельцев сайтов с подключёнными счётчиками.

Порядок проведения проверок контролирующими органами

Контролирующий орган в сфере персональных данных — Роскомнадзор. Именно он проводит проверки, выдаёт предписания и направляет материалы в суд для назначения штрафов.

Как Роскомнадзор выявляет нарушения в сети

Существует несколько источников, по которым ведомство инициирует проверку.

1

Жалобы пользователей

Самый частый повод для проверки. Пользователь пожаловался, что не мог найти политику на сайте, не давал согласия на рассылку или получает письма после того, как потребовал удалить данные.

2

Плановые проверки

Роскомнадзор формирует план проверок на год. В него включаются операторы, которые уведомили ведомство о своей деятельности, а также организации из отдельных отраслей — здравоохранение, финансы, образование.

3

Внеплановые проверки

Назначаются при поступлении жалобы или по результатам мониторинга. В отличие от плановых, о них могут не предупреждать заранее.

4

Мониторинг интернета

Роскомнадзор ведёт автоматизированный мониторинг сайтов. Отсутствие политики конфиденциальности или ссылки на неё в футере может быть выявлено без обращения пользователей.

5

Утечки данных

С 2022 года операторы обязаны уведомлять Роскомнадзор об утечках. После уведомления автоматически начинается проверка соблюдения требований безопасности.

Сроки давности по нарушениям в области персональных данных

По общему правилу срок давности привлечения к административной ответственности за нарушения в сфере персональных данных составляет один год с момента совершения или обнаружения нарушения.

Это означает, что проверяющие могут предъявить претензии не только за текущее состояние сайта, но и за нарушения, которые были выявлены в течение последнего года. Если жалоба поступила сегодня, а нарушение существовало год назад — оно всё ещё в пределах давности.

При длящемся нарушении (когда форма на сайте продолжает работать без согласия) срок исчисляется с момента обнаружения, а не с момента начала нарушения.

Если Роскомнадзор выявил нарушение, сначала он вправе выдать предписание об его устранении. Штраф назначается через суд. Но наличие предписания само по себе не гарантирует, что дело до суда не дойдёт — особенно при повторных или грубых нарушениях.

Рекомендации по минимизации юридических рисков

Привести сайт в соответствие с 152-ФЗ не так сложно, как кажется. Большинство требований закрываются несколькими базовыми документами и изменениями в форме обратной связи.

Чек-лист по приведению сайта в соответствие с законом

Минимальный набор для любого сайта:

  • Политика обработки персональных данных опубликована на отдельной странице сайта
  • Ссылка на политику размещена в футере на каждой странице
  • Под каждой формой с личными данными есть незаполненный чек-бокс
  • Рядом с чек-боксом есть кликабельная ссылка на политику
  • Форму нельзя отправить без отметки согласия
  • В политике указаны реальные реквизиты оператора
  • В политике упомянуты все сторонние сервисы (Яндекс.Метрика, CRM, сервис рассылки)
  • Есть баннер об использовании cookie — если сайт использует счётчики аналитики
  • Описан порядок отзыва согласия и удаления данных
  • Оператор уведомил Роскомнадзор о ведении деятельности по обработке ПДн (если нет исключений)

Аудит текущих процессов обработки информации

Прежде чем обновлять документы, полезно понять, какие данные реально собираются и куда они попадают. Проверка защиты и обработки персональных данных помогает выявить слабые места до того, как это сделает Роскомнадзор.

Несколько вопросов для самостоятельного аудита:

1

Какие формы есть на сайте и что они собирают?

Составьте список всех форм: обратная связь, заказ, подписка, регистрация. Для каждой — перечень полей. Это и есть перечень данных, которые нужно упомянуть в политике.

2

Куда уходят данные после заполнения формы?

На почту, в CRM-систему, в Google-таблицу? Каждый получатель данных — это третье лицо, которое нужно указать в политике.

3

Какие сторонние сервисы подключены к сайту?

Яндекс.Метрика, Google Analytics, пиксель ВКонтакте, Facebook Pixel, Calltouch — все они получают данные о посетителях. Это нужно отразить в политике.

4

Есть ли передача данных за рубеж?

Если сайт использует Google-сервисы, иностранные CRM или облачные хранилища — данные могут уходить за пределы России. Это трансграничная передача персональных данных, для которой предусмотрены отдельные требования и процедура уведомления Роскомнадзора.

5

Как долго хранятся данные?

Заявки в почтовом ящике, список контактов в CRM, архив рассылки — всё это хранится бессрочно, если нет регламента удаления. Закон требует удалять данные, когда цель обработки достигнута или согласие отозвано.

После ответа на эти вопросы станет понятно, какие изменения нужны: обновление политики, добавление чек-бокса, настройка баннера cookie или подача уведомления в Роскомнадзор.

Полезно периодически проверять сайты на нарушения требований о персональных данных — это помогает отслеживать типичные ошибки, которые замечают проверяющие.

Частые вопросы

Нужна ли политика конфиденциальности, если на сайте нет форм?

expand_more
Зависит от того, подключены ли на сайте сторонние сервисы. Если работает Яндекс.Метрика, Google Analytics или рекламные пиксели — они собирают технические данные о посетителях: IP-адрес, идентификаторы браузера, поведение на сайте. Это тоже обработка персональных данных. Политика обязательна. Если сайт — статичная страница без какой-либо аналитики и без форм, формально он не обрабатывает персональные данные. Но на практике таких сайтов крайне мало.

Может ли физическое лицо получить штраф за сайт?

expand_more
Да. КоАП разграничивает ответственность граждан, должностных лиц (в том числе ИП) и организаций. Для граждан штрафы меньше, чем для юридических лиц, но они существуют. Если физическое лицо ведёт сайт, собирает заявки и получает коммерческую выгоду — оно может быть признано оператором персональных данных со всеми вытекающими последствиями.

Что будет, если Роскомнадзор выявит нарушение на сайте?

expand_more
Сначала, как правило, выдаётся предписание об устранении нарушения с указанием срока. Если нарушение не устранено или оно грубое — материалы передаются в суд для назначения штрафа. При первичном нарушении и готовности оператора его исправить до суда дело нередко ограничивается предписанием. Повторные нарушения разбираются значительно строже.

Нужно ли уведомлять Роскомнадзор, если сайт собирает данные только через форму?

expand_more
По общему правилу — да, операторы обязаны уведомлять Роскомнадзор до начала обработки данных. Но есть исключения: если данные обрабатываются только для исполнения договора с субъектом, без передачи третьим лицам и без автоматизированной обработки для принятия решений — уведомление не требуется. Простая форма обратного звонка с именем и телефоном, данные которой приходят только на почту владельца, может подпадать под это исключение. Если есть CRM, рассылки или аналитика — скорее всего, уведомление нужно.

Можно ли использовать шаблон политики конфиденциальности из интернета?

expand_more
Шаблон — допустимая отправная точка. Но его нужно обязательно адаптировать: указать реальные данные оператора, перечислить только те категории данных, которые реально собираются, и упомянуть все сторонние сервисы. Шаблон с чужими реквизитами или данными, которые не соответствуют реальной практике сайта, при проверке создаёт дополнительные риски.

Как часто нужно обновлять политику конфиденциальности?

expand_more
Закон не устанавливает периодичности. Политику нужно обновлять при изменениях: добавили новую форму, подключили новый сервис, изменились цели обработки, сменилось юридическое лицо. Хорошая практика — проверять соответствие политики реальному состоянию сайта раз в год или после каждого значимого изменения.

Главное

Штрафы за нарушения в сфере персональных данных в России значительно выросли за последние годы. Для юридических лиц они могут достигать нескольких миллионов рублей — особенно при повторных нарушениях или утечках данных.

При этом большинство требований, которые снижают риск проверок, несложно выполнить: опубликовать политику, добавить чек-бокс с согласием, настроить баннер cookie. Это базовый набор, который закрывает главные основания для претензий.

Риски возникают не из-за злого умысла, а из-за того, что владельцы сайтов просто не знают о требованиях. Регулярная проверка сайта на соответствие 152-ФЗ позволяет выявить пробелы до того, как это сделают контролирующие органы.