Проверка сайта на соответствие РКН и 152-ФЗ

Saitscan.ru logo

Какие бывают виды обработки персональных данных на сайте

Когда человек оставляет заявку, регистрируется или просто заходит на сайт, его данные начинают где-то храниться, передаваться или использоваться. Всё это называется обработкой персональных данных.

Закон 152-ФЗ разделяет эту обработку на несколько видов, и каждый из них требует разного подхода к защите информации. Владельцу сайта важно понимать, что именно происходит с данными пользователей, чтобы правильно описать это в политике конфиденциальности и не нарушить закон.

Простыми словами: обработка — это любое действие с данными человека. Записали email в базу — обработали. Отправили имя клиента в CRM — тоже обработали. Даже просто показали менеджеру список заявок — уже обработка.

Какие данные посетителя сайта относят к персональным

Персональные данные — это любая информация, которая позволяет узнать конкретного человека.

Имя и фамилия, телефон, email, адрес, дата рождения — очевидные примеры. Но к персональным данным относятся и менее явные вещи: IP-адрес, cookies, идентификатор устройства, геолокация. Даже фотография или голосовое сообщение могут быть персональными данными, если по ним можно понять, кто это.

Примеры персональных данных на сайте:

  • check_circle ФИО, указанное в форме заявки
  • check_circle Номер телефона для обратной связи
  • check_circle Email для рассылки или регистрации
  • check_circle Адрес доставки в интернет-магазине
  • check_circle IP-адрес и данные браузера (собираются автоматически)
  • check_circle Cookies и идентификаторы сессий

Если информация анонимна и по ней нельзя установить личность, она не считается персональными данными. Например, общая статистика посещений без привязки к конкретным пользователям.

Основные виды обработки персональных данных

Закон выделяет несколько базовых действий с данными. Каждое из них — отдельный вид обработки.

1

Сбор

Момент, когда данные попадают на сайт. Человек заполнил форму — данные собраны. Браузер передал cookies — тоже сбор.

2

Запись и хранение

Данные сохраняются в базе, на сервере, в CRM-системе. Это может быть файл, таблица или облачное хранилище.

3

Использование

Данные применяются для конкретной цели: отправка заказа, звонок менеджера, показ персонализированной рекламы, аналитика поведения на сайте.

4

Передача

Данные отправляются третьим лицам: сервису доставки, email-рассылок, платёжной системе, рекламной сети. Даже если данные передаются автоматически через API — это обработка.

5

Изменение и обновление

Клиент поменял номер телефона в личном кабинете, менеджер исправил адрес в CRM — это тоже обработка.

6

Блокирование и удаление

Пользователь запросил удаление своих данных, или истёк срок хранения — данные должны быть заблокированы или стёрты.

Закон не требует, чтобы на сайте использовались все виды обработки. Важно честно описать в политике конфиденциальности те, которые реально применяются.

Цель обработки персональных данных посетителей сайта

Закон требует, чтобы у любой обработки была чёткая цель. Нельзя просто собирать данные «на всякий случай» или «вдруг пригодятся».

Цель — это конкретная причина, зачем данные нужны. Она должна быть понятной и законной.

Типичные цели обработки на сайтах:

  • Обработка заявок и обратная связь — чтобы связаться с клиентом, ответить на вопрос, выслать коммерческое предложение
  • Выполнение договора — доставка товара, оказание услуги, обработка платежа
  • Регистрация и авторизация — создание личного кабинета, вход на сайт
  • Аналитика и улучшение сайта — изучение поведения пользователей, A/B-тестирование, оптимизация интерфейса
  • Маркетинг и реклама — персонализированные предложения, ретаргетинг, email-рассылки
  • Техническая поддержка — помощь пользователям, исправление ошибок

Если сайт использует данные для нескольких целей одновременно (например, и для выполнения заказа, и для рекламы), все цели нужно указать в политике конфиденциальности. Пользователь имеет право знать, что будет происходить с его информацией.

Зачем владельцу сайта разбираться в видах обработки

Без понимания видов обработки невозможно правильно составить политику конфиденциальности.

Если в документе написано, что сайт только собирает данные, но на самом деле он ещё передаёт их в Яндекс.Метрику или Google Analytics — это нарушение. Роскомнадзор может выписать штраф за неполное информирование пользователей.

Что важно учесть:

  • arrow_right Если на сайте есть формы, чат, личный кабинет — происходит сбор и хранение данных
  • arrow_right Если подключена аналитика (Яндекс, Google, VK) — данные передаются третьим лицам
  • arrow_right Если используется CRM или email-сервис — тоже передача данных
  • arrow_right Если есть возможность редактировать профиль — происходит изменение данных

Все эти виды обработки нужно честно описать в политике. Иначе пользователь не понимает, что происходит с его информацией, а владелец сайта рискует получить претензии от Роскомнадзора.

Автоматическая и неавтоматическая обработка

Закон разделяет обработку ещё на два типа: автоматическую и неавтоматическую.

Автоматическая — когда данные обрабатываются программами без участия человека. Сайт сохранил заявку в базу, система отправила email, скрипт передал информацию в CRM. Всё это происходит само.

Неавтоматическая — когда человек работает с данными вручную. Менеджер открыл Excel-файл со списком клиентов, распечатал договор, записал телефон в блокнот.

Большинство сайтов используют оба типа обработки. Форма заявки работает автоматически, но потом сотрудник звонит клиенту по этому номеру — уже неавтоматическая обработка.

Важно: Если на сайте происходит автоматическая обработка, владелец обязан уведомить об этом Роскомнадзор. Для этого нужно подать специальное уведомление в течение 30 дней после начала обработки или 10 рабочих дней после изменения сведений.

Распространённые вопросы

Нужно ли указывать все виды обработки, если сайт просто собирает заявки?

expand_more
Да. Даже простая форма обратной связи предполагает минимум три вида обработки: сбор (данные попали на сайт), хранение (они где-то записаны) и использование (менеджер звонит по этому номеру). Если форма отправляет заявку в CRM или на email — добавляется передача данных. Всё это нужно указать в политике конфиденциальности.

Считаются ли cookies персональными данными?

expand_more
Да, если cookies позволяют идентифицировать конкретного пользователя. Например, идентификаторы сессий, cookies аналитики или рекламных сетей — это персональные данные. Даже если сайт не знает имени человека, но может отследить его поведение через уникальный идентификатор — это уже обработка персональных данных.

Что будет, если не описать все виды обработки в политике?

expand_more
Роскомнадзор может расценить это как неполное информирование пользователей. Штраф для ИП — до 10 000 рублей, для юридических лиц — до 30 000 рублей. При повторном нарушении суммы увеличиваются. Кроме того, рекламные площадки (Яндекс.Директ, VK Реклама) могут заблокировать кампании, если политика конфиденциальности составлена некорректно.

Нужно ли спрашивать согласие на обработку для всех видов?

expand_more
Не всегда. Если обработка нужна для выполнения договора (например, доставка заказа), согласие не требуется. Но если сайт передаёт данные для маркетинга, аналитики или рекламы, пользователь должен явно согласиться. Обычно это делается через чекбокс при отправке формы или через уведомление о cookies.

Коротко

Обработка персональных данных — это любое действие с информацией о пользователе: от сбора до удаления.

Закон требует честно описывать все виды обработки, которые происходят на сайте, и объяснять, зачем данные собираются. Это защищает и пользователей, и владельца сайта от возможных проблем.

Если не уверены, какие виды обработки используются на вашем сайте, проще воспользоваться генератором политики конфиденциальности — он задаст нужные вопросы и сформирует правильный текст.