Связаться со мной:

Помощь по вашему проекту или 2 бесплатных курса по SEO

смайлик

Связаться со мной:

  1. Главная /
  2. Блог /
  3. Закон о персональных данных: что обязательно должно быть на вашем сайте?

Закон о персональных данных: что обязательно должно быть на вашем сайте?

автор

статья от

Алексей Лазутин

Специалист по поисковому маркетингу

В современном цифровом мире сбор и обработка персональных данных стали неотъемлемой частью онлайн-бизнеса. Каждый раз, когда пользователь оставляет имя в форме обратной связи, подписывается на рассылку или добавляет товар в корзину — он передаёт личную информацию. Но кто гарантирует, что эти данные не будут использованы неправомерно? В России на этот вопрос отвечает Федеральный закон № 152-ФЗ «О персональных данных». Этот нормативный акт не является рекомендацией — он обязательен к исполнению. Несоблюдение требований закона влечёт за собой штрафы, блокировки сайтов и потерю доверия клиентов. В этой статье мы подробно разберём, какие элементы должны присутствовать на любом сайте, который собирает данные пользователей, и как правильно организовать их обработку в соответствии с законом.

Политика конфиденциальности: основа доверия

Политика конфиденциальности — это юридически значимый документ, который информирует посетителей о том, как именно собираются, хранятся и используются их персональные данные. Это не просто «договорённость» или красивый текст в подвале сайта — это обязательный элемент, требуемый законом. Без него сайт считается незаконным в части обработки данных.

Что должно быть включено в политику конфиденциальности?

  • Перечень собираемых данных: имя, фамилия, отчество, номер телефона, адрес электронной почты, IP-адрес, геолокация, данные о браузере и устройстве. Даже если вы считаете, что собираете «только email» — уточните это явно.
  • Цели обработки: зачем нужны эти данные? Например: «для оформления заказа», «для отправки коммерческих предложений», «для улучшения работы сайта». Каждая цель должна быть конкретной и понятной.
  • Способы обработки: описаны ли автоматизированные процессы? Используется ли анализ поведения пользователей? Есть ли передача данных в сторонние системы (например, CRM или платёжные шлюзы)?
  • Передача третьим лицам: если вы используете внешние сервисы (почтовые рассылки, аналитика, таргетинг), это нужно прямо указать. Укажите названия компаний или типы организаций, которые получают данные.
  • Меры защиты: как вы обеспечиваете безопасность? Используете ли шифрование, двухфакторную аутентификацию, ограничения доступа к базам данных?
  • Права пользователей: закон даёт им право на доступ к своим данным, их исправление, удаление и отзыв согласия. Эти права должны быть чётко сформулированы.
  • Сроки хранения: сколько времени вы храните данные? После окончания цели обработки — когда они удаляются?
  • Контакты ответственного лица: кто отвечает за соблюдение закона? Нужно указать контактные данные (электронная почта, телефон) для обращений по вопросам обработки данных.

Политика должна быть написана простым, понятным языком. Юридические термины — не повод усложнять текст. Пользователь должен без усилий понять, что с его данными происходит. Размещать её следует в видимом месте: ссылка на политику конфиденциальности обязательна в футере сайта, в формах регистрации и в каждом окне сбора данных. Не стоит прятать её за несколькими кликами — это нарушение.

Как проверить, что политика соответствует закону?

Существует несколько критериев, по которым можно оценить качество политики:

  1. Она должна быть актуальной. Если вы изменили способ сбора данных — политику нужно обновить в течение 30 дней.
  2. Она должна быть доступной. Нельзя размещать её только в PDF-файле без ссылки на него.
  3. Она должна быть индексируемой поисковыми системами. Не используйте noindex или robots.txt для блокировки этой страницы.
  4. Она должна содержать все пункты, перечисленные в статье 18 закона № 152-ФЗ.

Специалисты рекомендуют регулярно проводить аудит политики — раз в квартал. Это особенно важно, если вы интегрируете новые сервисы (например, чат-боты, аналитику или CRM). Каждая новая интеграция может потребовать дополнительных расписаний в политике.

Согласие на обработку персональных данных: как его правильно получить

Согласие — это фундаментальная основа законной обработки персональных данных. Без него даже самая грамотно написанная политика конфиденциальности не имеет юридической силы. Закон требует, чтобы согласие было добровольным, конкретным и осознанным.

Какие ошибки чаще всего допускают владельцы сайтов?

  • Автоматическая установка галочки «Согласен» — это нарушение. Пользователь должен сам поставить галочку.
  • Согласие даётся при клике по кнопке «Отправить» — без отдельного чекбокса. Это не считается согласием.
  • Согласие скрыто в условиях использования сайта — пользователь не видит, что именно он подтверждает.
  • Согласие берётся один раз и применяется ко всем формам — даже если цели обработки отличаются.

Правильная реализация согласия выглядит так:

  1. В каждой форме, где собираются персональные данные (заказ, регистрация, подписка), должен быть отдельный чекбокс.
  2. Чекбокс не должен быть предварительно отмечен. Он всегда — в состоянии «не выбрано».
  3. Рядом с чекбоксом должна быть ссылка на Политику конфиденциальности — не просто слово «согласие», а именно ссылка на документ.
  4. Текст рядом с чекбоксом должен быть понятным. Пример: «Я даю согласие на обработку моих персональных данных в соответствии с Политикой конфиденциальности».
  5. Пользователь должен иметь возможность отозвать согласие в любое время — и это должно быть легко реализовано.

Важно: согласие не может быть условием для доступа к контенту, если обработка данных не является необходимой для предоставления услуги. Например: если вы предлагаете бесплатную электронную книгу, но требуете согласие на обработку данных для «маркетинговых целей» — это незаконно. В этом случае вы можете требовать только email для отправки книги, а маркетинговая рассылка — опциональна.

Документальное подтверждение согласия

Закон требует не только получения согласия, но и его документального подтверждения. Это означает, что вы должны хранить записи о том, когда, где и как именно пользователь дал согласие.

Что нужно сохранить:

  • Дата и время подтверждения.
  • IP-адрес пользователя на момент согласия.
  • Текст политики, актуальный на момент подписания.
  • Полное содержание формы с чекбоксом и его статусом.

Эти данные следует хранить не менее трёх лет после последнего действия пользователя. Это необходимо на случай проверки Роскомнадзора или досудебных претензий. Просто иметь политику на сайте — недостаточно. Нужно доказать, что пользователь действительно дал согласие именно на эту версию документа.

Уведомление о файлах cookie: обязательный элемент

Файлы cookie — это небольшие текстовые файлы, которые сохраняются на устройстве пользователя при посещении сайта. Они используются для аналитики, персонализации контента, сохранения сессий и таргетинга. Но закон требует, чтобы пользователь был информирован об их использовании и мог дать согласие.

Важно понимать: не все cookie требуют согласия. Существует два типа:

  • Технические cookie: необходимы для функционирования сайта (например, хранение корзины, сессия авторизации). Их использование не требует согласия.
  • Целевые cookie: используются для рекламы, аналитики (Google Analytics, Яндекс.Метрика), таргетинга, ретаргетинга. Для них требуется явное согласие.

Как реализовать уведомление о cookie?

  1. При первом заходе на сайт должен появляться баннер или всплывающее окно.
  2. В тексте должно быть указано: «Мы используем файлы cookie для улучшения работы сайта и персонализации контента. Продолжая использовать сайт, вы соглашаетесь с этим».
  3. Должна быть кнопка «Принять» и кнопка «Отклонить» — обе должны работать корректно.
  4. Ссылка на Политику конфиденциальности должна быть в тексте уведомления.
  5. Если пользователь нажимает «Отклонить», все необязательные cookie должны быть отключены, и сайт должен работать без них.

Не допускается использование «поп-апов», которые исчезают через 5 секунд, или баннеров, которые нельзя закрыть. Это нарушение права пользователя на выбор.

Какие cookie запрещены без согласия?

Тип cookie Требует согласия? Примеры
Технические Нет Сессии входа, корзина, предпочтения языка
Аналитические Да Яндекс.Метрика, Google Analytics, Hotjar
Рекламные Да TikTok Pixel, Facebook Pixel, Google Ads
Персонализирующие Да Рекомендации товаров, сохранённые фильтры
Социальные Да Кнопки «Поделиться» в соцсетях, виджеты чатов

Если вы используете аналитику или рекламные системы — убедитесь, что ваша система cookie-согласия позволяет отключать их при отказе пользователя. Некоторые плагины и системы автоматически удаляют код аналитики при отказе — это правильный подход.

Форма для запросов пользователей: как реализовать право на доступ к данным

Согласно закону, каждый пользователь имеет право:

  • Получить копию своих персональных данных.
  • Требовать исправления неточных или неполных сведений.
  • Запросить удаление данных, если они больше не нужны для целей обработки.
  • Отозвать согласие на обработку данных.

Именно для этого должна существовать форма запросов пользователей. Это не просто «обратная связь» — это отдельный, структурированный канал для обработки запросов по персональным данным.

Как должна выглядеть такая форма?

  1. Отдельная страница: не объединяйте её с формой обратной связи. Дайте пользователю понять, что он обращается именно за данными.
  2. Поля для идентификации: пользователь должен ввести ФИО, email, телефон — чтобы вы могли найти его данные в базе.
  3. Выбор типа запроса: «Запросить данные», «Исправить информацию», «Удалить данные», «Отозвать согласие».
  4. Поле для комментариев: чтобы уточнить детали запроса.
  5. Уведомление о сроках ответа: «Мы ответим в течение 30 дней».
  6. Ссылка на Политику конфиденциальности: для прозрачности.

Обязательно укажите, что ответ будет направлен на электронную почту, указанную в запросе. Не используйте телефон для отправки персональных данных — это рискованно.

Как обрабатывать запросы?

Когда пользователь отправляет запрос:

  • Проверьте подлинность: убедитесь, что это действительно владелец данных. Запрос по email без дополнительной идентификации — не всегда достаточен. Можно запросить частичные данные для подтверждения личности.
  • Сроки ответа: закон требует ответить в течение 30 дней. В исключительных случаях — до 90 дней, но только с уведомлением пользователя.
  • Форма ответа: отправьте данные в формате, удобном для пользователя (PDF, TXT, CSV). Если запрошено удаление — убедитесь, что данные удалены из всех систем: база данных, CRM, почтовые сервисы, резервные копии.
  • Документируйте запрос: храните копию запроса и ответа минимум 3 года.

Не игнорируйте запросы. Даже если вы не собираете много данных — у вас может быть список подписчиков, база клиентов или исторические заказы. Все они подпадают под закон.

Защита персональных данных: технические и организационные меры

Закон требует не только документального оформления, но и фактической защиты данных. Это значит: вы не просто пишете «мы защищаем данные» — вы должны это делать.

Основные меры защиты:

1. SSL-сертификат (HTTPS)

Обязательно! Все формы, где собираются персональные данные (включая форму обратной связи), должны работать только по протоколу HTTPS. Шифрование трафика предотвращает перехват данных злоумышленниками. Если сайт работает по HTTP — это прямое нарушение закона.

2. Обновление ПО и плагинов

Устаревшие CMS, плагины и скрипты — главная причина утечек данных. Регулярно обновляйте ядро сайта, темы, расширения. Используйте только проверенные источники (официальные репозитории). Установите автоматические обновления там, где это возможно.

3. Ограничение доступа

Не все сотрудники должны иметь доступ к базам с персональными данными. Настройте уровни доступа: менеджеры по продажам — только к своим клиентам, аналитики — только к агрегированным данным. Используйте двухфакторную аутентификацию для административных панелей.

4. Регулярные аудиты безопасности

Один раз в полгода проводите аудит: проверяйте, где хранятся данные, кто к ним имеет доступ, есть ли уязвимости. Можно использовать бесплатные инструменты (например, OWASP ZAP) или привлекать специалистов.

5. Резервное копирование

Данные должны быть защищены от потери. Регулярно делайте резервные копии баз данных и файлов сайта. Храните их в зашифрованном виде, вне основного сервера.

6. Обучение персонала

Сотрудники, работающие с данными, должны проходить обучение по защите персональных данных. Это не просто «оформление» — это обязанность работодателя.

7. Внешние сервисы

Если вы используете облачные хранилища, почтовые сервисы или CRM — проверьте их соответствие закону. Убедитесь, что они имеют соглашения о обработке данных (DPA) и не передают данные за пределы РФ без разрешения.

Обновление информации: как поддерживать актуальность

Закон требует, чтобы информация о обработке персональных данных была актуальной. Если вы добавили новую аналитическую систему, изменили политику или переехали в другое здание — вы обязаны обновить данные.

Что нужно делать?

  • Регулярный аудит: раз в квартал проверяйте, какие сервисы используются, какие данные собираются.
  • Уведомление пользователей: если вы вносите изменения — уведомляйте их. Лучший способ: email-рассылка или баннер на сайте с ссылкой на обновленную версию политики.
  • Версии документов: сохраняйте все версии политики с датами. Это поможет при проверке, если пользователь утверждает, что согласие было дано на старую версию.
  • Логирование изменений: ведите журнал, кто и когда менял политику. Это доказательство вашей осознанной работы.

Не ждите, пока Роскомнадзор пришлёт предписание. Проведите аудит сейчас — и вы избежите штрафов, которые могут достигать 1% от оборота компании или до 6 миллионов рублей.

Последствия нарушений: штрафы и репутационные риски

Несоблюдение закона № 152-ФЗ не является «мелким нарушением». Это серьёзное правонарушение с прямыми финансовыми и репутационными последствиями.

Штрафы

Роскомнадзор может наложить штрафы в следующих размерах:

Нарушение Штраф для ИП/ООО Компании с оборотом более 30 млн руб.
Отсутствие политики конфиденциальности от 10 000 до 50 000 руб. от 200 000 до 1 000 000 руб.
Отсутствие согласия на обработку данных от 30 000 до 100 000 руб. от 500 000 до 2 000 000 руб.
Нарушение требований к защите данных от 50 000 до 100 000 руб. от 2 000 000 до 6 000 000 руб.
Несоблюдение требований к передаче данных за границу от 100 000 до 300 000 руб. от 1 500 000 до 6 000 000 руб.
Отказ в предоставлении данных пользователю от 10 000 до 30 000 руб. от 100 000 до 500 000 руб.

Кроме штрафов — возможна блокировка сайта Роскомнадзором. Это означает, что сайт исчезнет из поисковых систем и станет недоступен для пользователей в России. Даже если вы не собрали миллионы данных — достаточно одной жалобы, чтобы начать проверку.

Репутационные риски

Потеря доверия — это то, что нельзя восстановить за день. Если пользователь узнает, что его данные «проданы» или утекли — он больше не будет покупать у вас. Он предупредит друзей, напишет негативные отзывы, уйдёт к конкурентам. А в эпоху социальных сетей одна утечка может обойтись в десятки миллионов рублей упущенной выгоды.

В 2024 году более 68% российских пользователей отмечают, что они отказываются от покупок, если на сайте нет политики конфиденциальности или согласия на cookie. Доверие — это ваш главный актив в цифровой экономике.

Чек-лист: 10 обязательных пунктов для соответствия закону

Чтобы не пропустить ничего важного, используйте этот чек-лист. Проверьте каждый пункт — и убедитесь, что ваш сайт соответствует требованиям закона № 152-ФЗ.

  1. На сайте есть страница «Политика конфиденциальности» — она доступна в футере и на всех формах сбора данных.
  2. Политика содержит все обязательные пункты: цели, способы, права, контакты, сроки хранения.
  3. На всех формах сбора данных есть чекбокс с текстом согласия — не предварительно отмеченный.
  4. Чекбокс содержит ссылку на актуальную версию Политики конфиденциальности.
  5. На сайте есть уведомление о cookie — с кнопками «Принять» и «Отклонить».
  6. При отказе от cookie — рекламные и аналитические скрипты не загружаются.
  7. Есть отдельная страница с формой запросов на доступ, исправление и удаление данных.
  8. На сайте используется HTTPS-шифрование на всех страницах с формами.
  9. Проводится регулярное обновление ПО, плагинов и систем безопасности.
  10. Политика обновляется при изменениях — и пользователи уведомляются об этом.

Этот чек-лист — ваша юридическая защита. Даже если у вас небольшой сайт или интернет-магазин с 50 заказами в месяц — вы обязаны его соблюдать.

Заключение: закон как инструмент доверия

Закон о персональных данных — это не бремя, а инструмент. Он защищает вас от штрафов, но ещё важнее — он укрепляет доверие пользователей. В эпоху, когда каждый второй клиент боится, что его данные «продадут», прозрачность становится вашим конкурентным преимуществом.

Сайт, на котором чётко прописаны правила обработки данных, вызывает чувство безопасности. Пользователь чувствует: «Здесь меня уважают». Это повышает конверсию, снижает отток клиентов и создаёт лояльность.

Не ждите, пока придёт штраф. Начните с простого: добавьте политику конфиденциальности, включите чекбокс согласия и настройте уведомление о cookie. Это займёт не более одного рабочего дня. Затем — проведите аудит безопасности и обучите сотрудников.

Помните: закон не требует идеала. Он требует осознанности. Если вы действуете добросовестно, документируете действия и уважаете права пользователей — вы уже на шаг впереди большинства конкурентов.

Ваш сайт — не просто рекламный инструмент. Он — цифровая площадка, где люди доверяют вам свои данные. И это доверие стоит дороже любой рекламной кампании.

Содержание

Увеличенная версия изображения