Персональные данные на сайте компании: главные правила

В середине января 2025 года появилась новость: Роскомнадзор будет отслеживать нарушения требований к обработке персональных данных с помощью автоматизированных систем. Сервисы регулятора будут сканировать сайты, проверяя наличие cookie, правильность согласий и политик об обработке, а также локализацию данных.

Разбираем, кого будут проверять, что будет смотреть регулятор, и как выполнить требования.

Положение об обработке ПДН

Основной документ, который необходим всем компаниям для того, чтобы выполнить требования регулятора с точки зрения ФЗ-152 – это Политика/положение об обработке персональных данных. Она не имеет ничего общего с договором оферты, политикой конфиденциальности* и т.д.

Это документ, который устанавливает выполнение требований с точки зрения мер 152-ФЗ и других нормативно-правовых актов (НПА) для того, чтобы реализовать систему защиты ПДн любой информационной системы (ИС) — веб, клиент-серверной, локальной и т.д.

Политика об обработке должна быть опубликована в общедоступном месте – чаще всего, это сайт. Если у организации нет сайта, то это должен быть другой общедоступный источник. Если мы говорим о сайте, то Политика должна быть размещена на каждой странице, посредством которой осуществляется сбор/размещение ПДн.

Невыполнение обязанности по предоставлению неограниченного доступа к политике, сведениям о реализуемых требованиях к защите ПДн грозит наказанием в соответствии с ч.3 ст 13.11 КОАП РФ. 

Вот основные рекомендации по содержанию документа, определяющего политику оператора в отношении обработки ПДн

— Информация об операторе (наименование или ФИО, ИНН), его контактная информация;

— Цели обработки ПДн – понятные, соответствующие тому, какие именно данные собираем. Лайфхак: цели можно “подсмотреть” на сайте РКН, в электронной форме Уведомления об обработке ПДн 

— Категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований;

— Правовые основания обработки ПДн. Чаще всего это НПА, в соответствии с которыми мы собираем/размещаем данные. Если говорим, например, про сферу услуг, то правовым основанием может быть договор оферты, который также размещается на сайте;

— Перечень мер, принимаемых оператором и направленных на обеспечение выполнения оператором обязанностей, предусмотренных ФЗ-152. Здесь указываем меры, которые применяются на данный момент, не нужно придумывать “воздушные замки”, если, например, технические меры не реализуются – это легко проверить;

— Информация о передаче оператором ПДН третьим лицам с указанием правового основания, цели, состава передаваемых ПДн.

Если ПДн с сайта передаются куда-то ещё, помимо нашего юридического лица, то это нужно зафиксировать в Политике по обработке. То есть, указываем факт передачи, цели и конкретные названия юрлиц

— Вероника Нечаева, директор по ИБ CORTEL

— Сведения об осуществлении трансграничной передачи ПДн с указанием стран, на территорию которых передаются ПДн (при осуществлении).

Здесь уточню – необязательно выкладывать на сайт всю Политику по обработке ПДн в организации. То есть, внутри компании могут происходить различные процессы – работа с кадрами, с контрагентами, с партнёрами, поставщиками и т.д.

А на сайте мы собираем и публикуем ограниченную информацию – например, только клиентов. Так вот – регулятор не запрещает создавать и публиковать отдельную политику для данных, которые размещены на сайте.

Это делается для пользователей – чтобы они, в случае прочтения Политики, не задавались вопросом, почему сайт собирает у них информацию о, например, стаже работы

— Вероника Нечаева, директор по ИБ CORTEL

Подробно о том, как составлять, и что должна содержать Политика по обработке – рассказывали здесь. 

Кто попадает под проверки Роскомнадзора

Например, не так давно я видела письмо РКН к одному из юрлиц о том, что была проведена дистанционная проверка сайта и выявлены нарушения, которые влекут за собой штрафные санкции в размере до 300 тыс. руб. Для небольшой организации это существенный штраф. Поэтому лучше предотвратить такие нарушения, чем потом разбираться с последствиями

— Вероника Нечаева, директор по ИБ CORTEL

РКН проверяет на сайте:

1. Хостинг сайта — требования по размещению баз данных и самого ресурса на территории РФ.

2. Наличие Политики и согласия на обработку. Формы согласий и требования к Политике изменились в 2023 году. Если эта работа проводилась ранее, до 1 марта 2023, нужно пересмотреть документы на соответствие изменившимся требованиям.

3. Наличие cookie-баннеров и различных инструментов по сбору аналитики (например, Яндекс Метрики). На баннере должна быть «галочка» о согласии на обработку cookie, перечень инструментов их сбора, конкретные cookie и цели на их обработку, так как cookie — это тоже персональные данные. Всю эту информацию размещаем либо в отдельном Положении об обработке, либо пунктом в Положении, которое уже есть.

А вот здесь можно почитать об использовании и применении рекомендательных технологий в соответствии с требованиями регуляторов.

Для всех, кто до сих пор использует Google Analytics — есть плохие новости. Это трансграничная передача, и вы обязаны уведомить об этом факте РКН. А дальше начинается самое интересное — в дружественной ли стране находятся сервера Google, выполняются ли требования к защите там.

На моей практике с клиентами, Google на эти вопросы не отвечает, ссылаясь на то, что не поддерживает Россию. Это очень проблематично с точки зрения выполнений требований законодательства по трансграничной передаче, поэтому я бы порекомендовала вообще уходить от использования этого инструмента

— Вероника Нечаева, директор по ИБ CORTEL

Основные нарушения в ходе проверок Роскомнадзора

1. Компании нет в реестре операторов Роскомнадзора

С 2023 года изменились требования о подаче уведомления об обработке. Если компания не работает на оборону страны или не обрабатывает данные ТОЛЬКО на бумаге — она обязана подать уведомление.

Если вы считаете, мол, «не подал уведомление — не найдут» — спешу вас разочаровать. На публичных выступлениях представители Роскомнадзора регулярно подчёркивают, что могут найти любую организацию в едином перечне юрлиц РФ

— Вероника Нечаева, директор по ИБ CORTEL

2. Сбор данных без согласия субъекта ПДн

Согласие субъекта обязательно за исключением ряда случаев — например, когда пользователь заключает с компанией договор оферты. Согласие должно размещаться под каждой формой, посредством которой собирают ПДн. На сайте согласие нужно брать практически всегда, так как чаще всего данные собираются с целью улучшения качества обслуживания, а также в рекламных целях.

Здесь же важно отметить, что с 1 сентября 2024 года изменился закон «О рекламе». Согласие на информационную, рекламную рассылку должно браться отдельно от всех остальных и не являться обязательным.

3. Отсутствие актуальной Политики по обработке ПДн

Ещё раз: не является Политикой договор оферты и Политика конфиденциальности.

4. Сбор избыточных ПДн. То есть, данные, которые не требуются для работы с физлицом для выполнения указанных целей.

Как РКН проверяет цели обработки? Просто: смотрит ОКВЭДы, которые есть в вашем юрлице и какую деятельность в связи с этим вы можете вести. Смотрит Устав организации — с какими данными вы можете работать, и на основании этого делает выводы

— Вероника Нечаева, директор по ИБ CORTEL

5. Трансграничная передача ПДн — неуведомление РКН о факте трансграничной передачи и невыполнение требований. Здесь же важно отметить, что обезличенные ПДн не перстают быть ПДн, к ним просто предъявляются иные требования.

Мы готовы провести аудит вашего сайта на соответствие требованиям регуляторов. Заполните форму — и наш отдел ИБ свяжется с вами.