Практическая инструкция по законному сбору и обработке персональных данных на сайтах в России в 2025 году

1. Законодательная основа

Сбор и обработка персональных данных в России регулируются Федеральным законом № 152-ФЗ «О персональных данных», а также рядом подзаконных актов. К персональным данным относятся любые сведения, прямо или косвенно относящиеся к физическому лицу: имя, адрес электронной почты, номер телефона, IP-адрес и иные идентификаторы.

Если сайт собирает подобные данные — даже в минимальном объеме — он обязан соблюдать требования закона.

___________________________________________________________________________________________

2. Регистрация оператора персональных данных

Юридические лица и индивидуальные предприниматели, использующие персональные данные в рамках своей деятельности, обязаны зарегистрироваться в Роскомнадзоре как операторы персональных данных.

Обязательная регистрация требуется, если:

• сайт собирает контактные данные через формы;
• осуществляется рассылка новостей;
• ведется клиентская база;
• используется веб-аналитика с идентификацией пользователей;
• обрабатываются заявки, заказы или бронирования.

Регистрация не требуется, если:

• данные обрабатываются только в личных целях;
• речь идет о сотрудниках и взаимодействии в рамках трудовых отношений;
• используются обезличенные или исключительно общедоступные данные.

Процедура регистрации включает:

1. Подачу уведомления через официальный портал Роскомнадзора
2. Указание сведений о юридическом лице/ИП, перечня целей обработки, описания ИТ-систем и назначение ответственного.
3. После регистрации данные компании появляются в публичном реестре.

Как проверить регистрацию:
Откройте страницу поиска по реестру операторов персональных данных и введите ИНН или наименование организации. При отсутствии регистрации есть риск штрафа от 3 000 до 80 000 рублей и приостановки работы сайта.

___________________________________________________________________________________________

3. Правильное оформление согласия пользователя

Сбор данных должен сопровождаться предварительным и осознанным согласием пользователя.

Для этого необходимо:

• предоставить полную информацию о целях обработки;
• разместить согласие в виде отдельного чекбокса без автозаполнения;
• опубликовать Политику конфиденциальности с указанием всех реквизитов оператора;
• обеспечить возможность ознакомиться с документами до нажатия кнопки отправки формы.

Согласие не может быть скрыто в тексте пользовательского соглашения или объединено с другими условиями. Для несовершеннолетних младше 14 лет согласие дает законный представитель.

___________________________________________________________________________________________

4. Формулировка целей обработки

Формулировки в согласии и Политике конфиденциальности должны быть конкретными и однозначными. Недопустимы общие фразы.

Примеры допустимых формулировок:

• регистрация личного кабинета;
• оформление и доставка заказа;
• отправка уведомлений и акций;
• сбор обратной связи и аналитики.

Для каждой цели следует предусмотреть отдельное согласие. Если меняется способ обработки или появляется новая цель, согласие нужно обновить.

___________________________________________________________________________________________

5. Учет сторонних сервисов

Если на сайте используются сторонние сервисы (веб-аналитика, виджеты обратного звонка, email-рассылки), пользователь должен быть проинформирован об этом заранее.

Информация о сторонних операторах должна быть:

• указана в Политике конфиденциальности;
• отражена в текстах согласий;
• дополнена перечнем данных, которые передаются третьим лицам.

___________________________________________________________________________________________

6. Хранение и защита персональных данных

С 1 сентября 2015 года действует требование о локализации: данные граждан РФ должны храниться на территории России. Хранение на зарубежных серверах без дублирования внутри страны — нарушение закона.

Обеспечьте:

• техническую защиту (антивирусы, шифрование, контроль доступа);
• организационные меры (назначение ответственного, регламенты, инструкции);
• ограничение доступа к данным только для сотрудников, которым это необходимо по должностным обязанностям.

___________________________________________________________________________________________

7. Права субъектов персональных данных

Пользователь имеет право:

• получить информацию о том, какие его данные хранятся и кем обрабатываются;
• потребовать исправления, блокировки или удаления данных;
• отозвать согласие в любой момент;
• обратиться в Роскомнадзор с жалобой.

Вы обязаны отреагировать на такие запросы в течение 30 календарных дней.

___________________________________________________________________________________________

8. Практические рекомендации

• Размещайте на сайте подробную и актуальную Политику конфиденциальности.
• Добавляйте отдельные чекбоксы на каждую цель обработки.
• Указывайте полные реквизиты юридического лица и контактные данные.
• Используйте системы логирования для фиксации момента получения согласия.
• Обновляйте регистрацию в Роскомнадзоре при изменении перечня обрабатываемых данных или целей.
• Проводите регулярный аудит соответствия сайта требованиям закона.