Защита персональных данных на сайте (152-ФЗ)
152-ФЗ и сайты: что нужно знать владельцу бизнеса
Федеральный закон №152-ФЗ «О персональных данных» обязывает любой сайт, собирающий данные пользователей, соблюдать требования по их защите. Если на вашем сайте есть форма обратной связи, регистрация, корзина — вы оператор персональных данных.
Штрафы за нарушение: до 300 000 ₽ за первое нарушение, до 500 000 ₽ за повторное. Роскомнадзор проводит как плановые, так и внеплановые проверки по жалобам.
Что относится к персональным данным
Персональные данные — любая информация, по которой можно идентифицировать человека:
- ФИО, дата рождения, адрес
- Телефон, email
- Cookies, IP-адрес (по мнению Роскомнадзора)
- Фотографии, геолокация
- Данные банковских карт
Даже имя + телефон в форме заявки — уже персональные данные.
Обязательные документы на сайте
Политика конфиденциальности
Обязательный документ, описывающий: какие данные собираете, зачем, как обрабатываете, кому передаёте, как защищаете. Должна быть доступна с каждой страницы сайта (обычно ссылка в подвале).
Согласие на обработку
Каждая форма на сайте должна содержать чекбокс: «Я согласен на обработку персональных данных в соответствии с Политикой конфиденциальности». Чекбокс не должен быть предзаполнен.
Cookie-баннер
Информирование об использовании cookies. Не строго обязательно по российскому законодательству, но рекомендуется: показывает заботу о пользователе и защищает при проверках.
Уведомление Роскомнадзора
Оператор обязан уведомить Роскомнадзор до начала обработки персональных данных. Подаётся через портал pd.rkn.gov.ru. Бесплатно, занимает 15–30 минут.
Исключения: данные сотрудников (трудовые отношения), данные для исполнения договора (если обработка только для этого). Но лучше подать уведомление — проще, чем доказывать исключение.
Технические меры защиты
Для сайта
- SSL-сертификат: HTTPS обязателен для любого сайта с формами
- Шифрование базы данных: персональные данные хранятся в зашифрованном виде
- Контроль доступа: минимальные привилегии, двухфакторная аутентификация для админки
- Регулярные бэкапы: для восстановления в случае инцидента
- Обновления: CMS, плагины, серверное ПО — всё актуальное
Для компании
- Назначение ответственного за обработку ПД
- Внутренние регламенты обработки данных
- Обучение сотрудников
- Журнал обработки запросов субъектов ПД
Локализация данных
По 242-ФЗ, персональные данные граждан РФ должны храниться на серверах в России. Если ваш сайт хостится за рубежом — перенесите на российский хостинг или используйте серверы в РФ.
Использование Google Analytics, Meta Pixel и других иностранных сервисов — серая зона. Рекомендуем Яндекс.Метрику как основной инструмент аналитики.
Утечки данных
С 2023 года оператор обязан уведомить Роскомнадзор об утечке в течение 24 часов, а о результатах расследования — в течение 72 часов. Штрафы за утечки растут: обсуждаются оборотные штрафы до 3% годовой выручки.
Что делать при утечке:
- Локализовать проблему (закрыть уязвимость)
- Оценить масштаб
- Уведомить Роскомнадзор
- Уведомить пострадавших субъектов
- Провести расследование и принять меры
Часто задаваемые вопросы
Нужна ли политика конфиденциальности, если на сайте только форма обратной связи?
Да, обязательно. Даже сбор имени и телефона — это обработка персональных данных. Политика должна быть на сайте, а под формой — чекбокс согласия.
Кто проверяет соблюдение 152-ФЗ?
Роскомнадзор. Проверки бывают плановые (по реестру операторов) и внеплановые (по жалобам пользователей). Жалобу может подать любой человек через сайт Роскомнадзора.
Как привести сайт в соответствие с 152-ФЗ?
Минимум: политика конфиденциальности, чекбоксы согласия на формах, SSL-сертификат, уведомление Роскомнадзора. Полный комплект: + внутренние регламенты, ответственный за ПД, аудит технической защиты. Поможем провести аудит и подготовить документы.