Поиск по сайту Поиск

Как собирать персональные данные пользователей на сайте, не нарушая закон

Многие из нас постоянно регистрируются на разных ресурсах в Сети, подписываются на рассылки, заполняют формы и оставляют комментарии. Все эти действия так или иначе подразумевают сбор персональных данных. Мы расскажем, как обрабатывать персональные данные пользователей сайта и при этом избежать серьёзных нарушений и штрафов.

Если вы собираете данные пользователей из России, то основной документ, на который нужно полагаться — Федеральный закон № 152-ФЗ «О персональных данных». Давайте разберёмся, в чём его суть и как организовать сбор персональных данных законным путём.

Что такое персональные данные?

В соответствии с определением вышеупомянутого закона: «Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных)». 

То есть, к персональным данным (далее ПД) можно отнести: ФИО, дату рождения, телефон, адрес, ИНН, сведения о работе, ссылки на аккаунты в соцсетях или личный сайт и другую подобную информацию. 

На любые данные найдётся тот, кто их обрабатывает — то есть делает все те вещи, которые описаны в соглашениях на обработку ПД (вы наверняка это знаете, если когда-нибудь читали подобные документы). А именно сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение. Человек, обрабатывающий ПД, называется оператором персональных данных. Он несёт ответственность за незаконную обработку ПД и может быть как юридическим, так и физическим лицом.

Вас можно считать оператором персональных данных, если на вашем сайте есть формы:

  • подписки на рассылку;
  • регистрации личного кабинета;
  • заявки или обратной связи;
  • системы онлайн-чата или онлайн-консультанта;
  • размещения комментариев.

Обратите внимание, что не все данные являются персональными сами по себе, но их совокупность позволяет им приобрести такой статус. Например, если пользователь укажет только своё имя, то этого явно не хватит для идентификации его личности. А вот имя и e-mail уже дают более полноценное определение. В то же время такие сведения, как номер телефона или ИНН, сами по себе уже являются ПД, так как при наличии доступа к соответствующей базе данных они позволяют получить полную информацию о человеке.

Поэтому определить, являетесь ли вы оператором ПД, можно в зависимости от того, какие именно данные вы собираете через формы обратной связи на сайте.

Что делать, если я обрабатываю ПД у себя на сайте?

Собирая информацию о пользователях, вы можете задаться вопросом: «Как обрабатывать ПД, чтобы избежать штрафных санкций?». Сущесвтует ряд условий обработки персональных данных для сайта. Вам необходимо:

  1. Установить защищённый протокол передачи персональных данных на сайте (SSL-сертификат). В выборе сертификата вам поможет хостинг-провайдер: например в REG.RU базовый SSL-сертификат можно получить даже бесплатно.
  2. Составить политику конфиденциальности и разместить её на сайте.
  3. Спрашивать согласие посетителей на обработку их ПД.
  4. Уведомить Роскомнадзор, что вы собираете персональные данные.

На всякий случай подчеркнём, что нужно выполнить все эти шаги. Пройдёмся по каждому из пунктов.

SSL-сертификат

SSL-сертификат — стандарт безопасности для обмена данными между сайтом и пользователем. Главное преимущество SSL-сертификата — зашифрованное соединение, которое защищает трафик, не давая перехватить его и использовать оставленные на сайте персональные данные в мошеннических целях.

Критически важно перейти на протокол SSL всем сайтам, где есть информация первой и второй категории (подробнее о категориях информации можно узнать здесь). Это, например, данные банковских карт, логины и пароли от аккаунтов, формы с указанием полного имени и адреса и прочее.

Политика конфиденциальности

Составляя политику конфиденциальности, обратите внимание на принципы обработки персональных данных. В ней необходимо указать следующую информацию:

  1. Наименование оператора обработки персональных данных. Если сайт принадлежит ИП или просто физическому лицу — указать ФИО, если юридическому лицу — название компании и ИНН.
  2. Адрес оператора: юридический (для юридических лиц) или фактический (для физических лиц).
  3. Список собираемых данных: ФИО, почта, телефон, файлы-cookies, паспортные данные и другое. Список должен быть максимально полным и подробным. 
  4. Цель сбора данных. Обязательно укажите, для чего будут использоваться ПД. Собирайте только необходимые данные.
  5. Сроки обработки данных. Персональные данные после их использования по назначению подлежат удалению. Их обработка возможна только в течение ограниченного времени. 
  6. Факт привлечения третьих лиц к обработке данных. Сюда относятся также различные партнёрские программы, например партнёрская программа REG.RU. Если вы приводите новых клиентов в другую компанию, то она является третьим лицом, которое будет обрабатывать ПД.
  7. Свои контактные данные. В реквизитах политики конфиденциальности укажите контакты, по которым с вами можно связаться. Такая информация будет полезна для ваших клиентов, если они захотят удалить или изменить свои персональные данные.
  8. Меры обеспечения безопасности данных. Расскажите клиентам, что их персональные данные хранятся на защищённых серверах, располагающихся на территории России (да, по закону хранить данные российских граждан можно только на серверах, находящихся в РФ).

Посетители вашего сайта должны иметь возможность беспрепятственно ознакомиться с политикой конфиденциальности, поэтому мы советуем разместить её в футере каждой страницы.

Согласие на обработку персональных данных

В соответствии с законом «О персональных данных» пользователь должен самостоятельно решать, предоставлять ли вам свои данные, и давать согласие на их обработку. При этом согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Сделайте чекбокс с уведомлением о том, что клиент соглашается на обработку ПД и ознакомлен с политикой конфиденциальности (не забудьте дать на неё ссылку). Посетитель сайта должен самостоятельно поставить галочку в чекбоксе, и делать это за него мы не рекомендуем.

Но есть ряд случаев, когда согласие на обработку ПД можно получить и другим способом. К ним относится, например, подписание договора, одной из сторон которого является пользователь. 

Уведомление Роскомнадзора

Закон «О персональных данных» гласит, что вам необходимо уведомить Роскомнадзор о сборе и обработке персональных данных посетителей вашего сайта. Сделать это можно через специальную форму.

Но есть и исключения, когда уведомлять Роскомнадзор не обязательно. Среди них, например, обработка общедоступной информации (то есть той, которую пользователь сделал доступной для неопределённого круга лиц, например данные о себе, опубликованные на личном сайте или в открытом профиле социальной сети) или данных, включающих в себя только ФИО.

Совет эксперта

Мы попросили Ольгу Красюк, Руководителя отдела правового сопровождения общей деятельности и работ с персональными данными Рег.ру, перечислить основные ошибки малого бизнеса:

Негласный сбор данных: форма на сайте есть, а галочки нет.
Вечное хранение: срок хранения должен быть ограничен и обозначен.
Нет уведомления: многие забывают подать уведомление в Роскомнадзор о начале обработки данных. Да, это нужно делать, за исключением редких случаев – проверить свой бизнес можно на сайте Роскомнадзора в сервисе «Реестр операторов».
Отказ от удаления: если клиент требует удалить данные (воспользоваться «правом на забвение»), а вы игнорируете, то это прямой путь к конфликту и проверке.

Руководитель отдела правового сопровождения общей деятельности и работ с персональными данными Рунити


Выводы

1. Персональные данные — это любая информация, по которой можно прямо или косвенно определить человека.

2. Если вы обрабатываете ПД — подключите к сайту SSL-сертификат, разместите политику конфиденциальности и уведомите Роскомнадзор.

3. У посетителей сайта необходимо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику конфиденциальности.

4. Храните персональные данные людей, проживающих в РФ, на серверах, располагающихся на территории России.

Финансовый результат: что это и как его анализировать
Продажи растут, клиентов становится больше, а денег на развитие всё равно не хватает. С таким сталкиваются даже прибыльные на первый...
Read More
Договор подряда: что это, как работает и на что обратить внимание
Если вы собираетесь заказать разработку сайта, дизайн-проект, ремонт или другую работу с конкретным результатом, лучше закрепить отношения письменно. Для этого...
Read More
5 этапов продаж для менеджера: особенности, техники, правила и примеры
На старте бизнеса часто бывает так, что поток клиентов держится на одном ключевом менеджере или личном контроле владельца. Отсутствие системы...
Read More
Федеральный закон «О персональных данных» 152-ФЗ: что нужно знать бизнесу в 2026 году
Клиенты могут оставить вам свой телефон через форму обратной связи на сайте — и вот вы уже не просто бизнес,...
Read More
Как анализировать эффективность маркетинговых каналов
Рекламный бюджет есть, а продажи не растут — знакомая ситуация для многих предпринимателей. В этой статье разберем, как владельцу бизнеса...
Read More
MVP: зачем нужен бизнесу и как его разработать
Запускаете новый продукт? Не спешите вкладывать месяцы работы и крупный бюджет в разработку. Сначала проверьте, нужен ли продукт рынку. Для...
Read More
Нейросетевой поиск: как подготовить сайт и не отстать от конкурентов
Если сайт попадает в нейровыдачу, он получает новый канал привлечения клиентов — ответы, которые генерирует ИИ. Нужно ли это бизнесу?...
Read More
Как зарабатывать на нейросетях в 2026 году
Нейросети открывают новые возможности для заработка — но они не заменят экспертность, а только помогут работать быстрее. В этой статье...
Read More
Как вывести сайт в выдачу нейросетей
Раньше клиенты переходили на сайт из поисковой выдачи, теперь нейросети дают ссылки на сайт в ИИ-ответах. Если ваш бизнес входит...
Read More
Как SEO и GEO продвигают ваш сайт: конкуренты или союзники
Поисковая оптимизация (SEO) помогает сайту попасть в топ выдачи. Генеративная оптимизация (GEO) отвечает за видимость бренда в нейроответах.  (далее…)
Read More