Подготовка сайта к требованиям РКН и 152-ФЗ: что должно быть на сайте

Любой сайт, который собирает данные пользователей, должен соответствовать требованиям законодательства о персональных данных. В России основным документом является Федеральный закон № 152-ФЗ «О персональных данных», а контроль за соблюдением требований осуществляет Роскомнадзор (РКН).

Если на сайте есть форма заявки, обратный звонок, регистрация, онлайн-чат, подписка на рассылку, корзина интернет-магазина, сервис аналитики или рекламные пиксели — скорее всего, сайт обрабатывает персональные данные и должен быть подготовлен юридически и технически.

В этой статье разберём, что должно быть на сайте, чтобы снизить риски нарушений и претензий со стороны РКН.

Что считается персональными данными

Персональные данные — это любая информация, которая относится к прямо или косвенно определённому физическому лицу.

На сайтах чаще всего собираются:

• имя и фамилия;
• номер телефона;
• адрес электронной почты;
• город;
• адрес доставки;
• комментарий к заявке;
• IP-адрес;
• cookie-файлы;
• данные о поведении на сайте;
• идентификаторы устройств и браузеров;
• данные, передаваемые через формы обратной связи, заявки, регистрацию или заказ.

Даже если сайт не запрашивает паспортные данные, но собирает телефон или email — это уже обработка персональных данных.

Кому нужно приводить сайт в соответствие

Требования 152-ФЗ актуальны практически для всех коммерческих сайтов:

• сайтов компаний и организаций;
• интернет-магазинов;
• лендингов;
• сайтов услуг;
• образовательных проектов;
• медицинских сайтов;
• сервисов с личным кабинетом;
• сайтов с онлайн-записью;
• сайтов с формами обратной связи;
• проектов, использующих Яндекс.Метрику, Google Analytics, VK Pixel и другие системы аналитики.

Если сайт получает данные от пользователей — владелец сайта становится оператором персональных данных.

Что обязательно должно быть на сайте

Для базового соответствия требованиям законодательства на сайте необходимо предусмотреть несколько важных элементов.

1. Политика конфиденциальности / политика обработки персональных данных

На сайте обязательно должен быть отдельный документ — Политика обработки персональных данных. Часто её называют политикой конфиденциальности, но с юридической точки зрения корректнее использовать формулировку именно про обработку персональных данных.

В политике необходимо указать:

• наименование оператора персональных данных;
• юридический адрес и контактные данные оператора;
• какие персональные данные собираются;
• цели обработки персональных данных;
• правовые основания обработки;
• способы обработки данных;
• сроки хранения данных;
• порядок передачи данных третьим лицам;
• меры по защите персональных данных;
• права пользователя как субъекта персональных данных;
• порядок отзыва согласия;
• контакт для обращений по вопросам персональных данных;
• сведения об использовании cookie, метрик и аналитических сервисов.

Где разместить политику

Ссылка на политику должна быть доступна пользователю до отправки данных. Обычно её размещают:

• в футере сайта;
• рядом с каждой формой обратной связи;
• на странице регистрации;
• в корзине или форме оформления заказа;
• в модальных окнах сбора заявок;
• в баннере cookie.

Важно: политика не должна быть спрятана. Пользователь должен иметь возможность легко её открыть и ознакомиться до передачи данных.

2. Согласие на обработку персональных данных

Одной политики недостаточно. Если пользователь оставляет данные через форму, сайт должен получить его согласие на обработку персональных данных.

На практике это реализуется через чекбокс рядом с формой.

Пример текста:

Нажимая кнопку «Отправить», я даю согласие на обработку персональных данных и соглашаюсь с Политикой обработки персональных данных.

Однако лучше использовать отдельный чекбокс:

☐ Я даю согласие на обработку персональных данных в соответствии с Политикой обработки персональных данных.

Ссылка на политику должна быть кликабельной.

Важные требования к чекбоксу

• чекбокс не должен быть заранее отмечен;
• отправка формы без согласия должна быть невозможна;
• текст согласия должен быть понятным;
• пользователь должен совершить активное действие;
• согласие должно фиксироваться технически.

Желательно сохранять факт согласия: дату, время, IP-адрес, форму, с которой было получено согласие, и версию текста документа.

3. Отдельное согласие на рекламные и маркетинговые рассылки

Если сайт собирает email или телефон для рассылок, акций, уведомлений рекламного характера, необходимо отдельное согласие.

Согласие на обработку персональных данных и согласие на рекламу — это не одно и то же.

Для рассылки можно добавить отдельный чекбокс:

☐ Я согласен получать информационные и рекламные сообщения на указанный email/телефон.

Такой чекбокс также не должен быть заранее проставлен.

Кроме того, в каждой email-рассылке должна быть возможность отписаться.

4. Cookie-баннер

Если сайт использует cookie-файлы, необходимо уведомлять пользователя об этом. Cookie могут использоваться для:

• работы сайта;
• сохранения пользовательских настроек;
• авторизации;
• аналитики;
• рекламы;
• ретаргетинга;
• персонализации контента.

Cookie-баннер обычно появляется при первом посещении сайта.

Пример текста:

Мы используем cookie-файлы для улучшения работы сайта, анализа трафика и персонализации контента. Продолжая пользоваться сайтом или нажимая «Принять», вы соглашаетесь с использованием cookie в соответствии с Политикой обработки персональных данных.

Что желательно предусмотреть в cookie-баннере

• кнопку «Принять»;
• ссылку на политику обработки персональных данных;
• возможность узнать подробнее о cookie;
• по возможности — настройки категорий cookie;
• фиксацию согласия пользователя.

Для более строгого подхода можно разделить cookie на категории:

• необходимые;
• аналитические;
• маркетинговые;
• функциональные.

Необходимые cookie могут использоваться для работы сайта, а аналитические и рекламные желательно активировать после согласия пользователя.

5. Согласие на использование систем аналитики

Многие сайты используют системы аналитики:

• Яндекс.Метрика;
• Google Analytics;
• VK Pixel;
• Roistat;
• Calltouch;
• CoMagic;
• Top.Mail.ru;
• рекламные пиксели социальных сетей.

Такие сервисы могут собирать IP-адреса, cookie, данные о действиях пользователя на сайте, параметры устройства и браузера.

Поэтому информацию об использовании аналитики нужно отразить:

• в политике обработки персональных данных;
• в cookie-баннере;
• при необходимости — в настройках согласия на cookie.

Отдельно стоит обратить внимание на Яндекс.Метрику. Если на сайте включены Вебвизор, карта кликов или запись поведения пользователя, следует явно указывать это в документах и уведомлениях.

Пример формулировки:

На сайте используются сервисы веб-аналитики, включая Яндекс.Метрику, которые позволяют анализировать действия пользователей на сайте с использованием cookie-файлов и аналогичных технологий.

6. Формы обратной связи и заявки

Каждая форма, через которую пользователь отправляет данные, должна быть проверена.

Это могут быть:

• форма заявки;
• форма обратного звонка;
• форма регистрации;
• форма подписки;
• форма комментариев;
• форма заказа;
• онлайн-калькулятор;
• квиз;
• форма скачивания презентации;
• форма записи на консультацию.

У каждой формы должны быть:

• ссылка на политику обработки персональных данных;
• чекбокс согласия;
• запрет отправки без согласия;
• корректный текст кнопки и уведомления;
• защита от спама и несанкционированной отправки.

Если форма собирает данные для разных целей, например заявку и рассылку, лучше использовать разные чекбоксы.

7. Уведомление Роскомнадзора об обработке персональных данных

Во многих случаях оператор персональных данных должен подать уведомление в Роскомнадзор о начале обработки персональных данных.

Это не элемент сайта, но важная часть подготовки бизнеса к требованиям 152-ФЗ.

Уведомление подаётся через сайт Роскомнадзора. В нём указываются:

• сведения об операторе;
• цели обработки данных;
• категории персональных данных;
• категории субъектов;
• правовое основание обработки;
• меры защиты;
• сведения о трансграничной передаче, если она есть;
• дата начала обработки.

После включения в реестр операторов данные компании становятся доступными в реестре РКН.

Важно учитывать, что обязанности по уведомлению зависят от конкретной ситуации. Поэтому перед подачей рекомендуется проконсультироваться с юристом или специалистом по персональным данным.

8. Локализация персональных данных граждан РФ

Согласно требованиям российского законодательства, при сборе персональных данных граждан РФ запись, систематизация, накопление, хранение, уточнение и извлечение таких данных должны осуществляться с использованием баз данных, находящихся на территории России.

На практике это означает, что нужно проверить:

• где расположен хостинг сайта;
• где хранится база заявок;
• где размещена CRM;
• куда уходят заявки с сайта;
• где хранятся резервные копии;
• какие сторонние сервисы получают данные;
• используются ли зарубежные сервисы аналитики, рассылок или обработки лидов.

Если сайт передаёт данные в зарубежные сервисы, необходимо оценить законность такой передачи и отразить её в документах.

9. Трансграничная передача персональных данных

Если персональные данные передаются за пределы России, например в зарубежную CRM, email-сервис, облачное хранилище или аналитику, это может считаться трансграничной передачей персональных данных.

В таком случае необходимо:

• определить страны, куда передаются данные;
• проверить основания передачи;
• отразить передачу в политике;
• при необходимости уведомить Роскомнадзор;
• получить корректные согласия пользователей;
• оценить риски использования зарубежных сервисов.

Для многих сайтов это актуально при использовании иностранных сервисов:

• Google Analytics;
• Meta Pixel;
• зарубежные CRM;
• Mailchimp;
• Notion;
• Airtable;
• Zapier;
• иностранные облачные хранилища.

10. Согласие на обработку персональных данных: отдельный документ или текст под формой

Для надёжности на сайте можно разместить не только политику, но и отдельный документ — Согласие на обработку персональных данных.

Политика описывает общие правила обработки данных, а согласие фиксирует волеизъявление пользователя.

В согласии желательно указать:

• кто является оператором;
• какие данные пользователь передаёт;
• для каких целей;
• какие действия совершаются с данными;
• срок действия согласия;
• порядок отзыва;
• ссылку на политику;
• контактные данные оператора.

Ссылка на согласие может располагаться рядом с чекбоксом:

☐ Я даю согласие на обработку персональных данных на условиях Согласия и Политики обработки персональных данных.

11. Пользовательское соглашение

Пользовательское соглашение не всегда обязательно, но часто необходимо для сайтов, где есть:

• личный кабинет;
• регистрация;
• онлайн-оплата;
• подписки;
• доступ к цифровым материалам;
• размещение пользовательского контента;
• бонусные программы;
• сервисные функции.

Пользовательское соглашение регулирует правила использования сайта и сервиса. В нём можно описать:

• порядок регистрации;
• права и обязанности сторон;
• ограничения ответственности;
• порядок оплаты и возврата;
• правила использования материалов сайта;
• условия доступа к личному кабинету;
• порядок блокировки аккаунта;
• применимое право и порядок разрешения споров.

12. Информация о владельце сайта

На сайте желательно разместить достоверные сведения о компании или ИП:

• полное наименование юридического лица или ИП;
• ИНН;
• ОГРН/ОГРНИП;
• юридический адрес;
• контактный email;
• телефон;
• реквизиты при необходимости.

Эти данные обычно размещаются:

• в футере;
• на странице «Контакты»;
• в политике обработки персональных данных;
• в пользовательском соглашении.

Прозрачность повышает доверие пользователей и помогает подтвердить, кто является оператором персональных данных.

13. Защита сайта и данных пользователей

Соответствие 152-ФЗ — это не только документы, но и техническая безопасность.

Минимальные меры:

• использование HTTPS-сертификата;
• защита административной панели;
• сложные пароли и двухфакторная аутентификация;
• регулярное обновление CMS, модулей и плагинов;
• ограничение доступа к заявкам;
• резервное копирование;
• защита от спама и ботов;
• журналирование действий администраторов;
• ограничение доступа к базе данных;
• антивирусная проверка файлов;
• настройка прав пользователей;
• безопасная передача заявок в CRM и почту.

Особенно важно проверить, куда отправляются данные из форм: на email, в CRM, в мессенджеры, в таблицы или внешние сервисы.

14. Хранение согласий и логирование

Чтобы подтвердить факт получения согласия, желательно настроить хранение технических данных:

• дата и время согласия;
• IP-адрес пользователя;
• страница или форма, где было получено согласие;
• текст согласия или его версия;
• отметка о согласии на cookie;
• отметка о согласии на рассылку;
• источник заявки.

Это особенно важно при спорных ситуациях или проверках.

15. Возможность отозвать согласие

Пользователь имеет право отозвать согласие на обработку персональных данных. Поэтому в политике нужно указать порядок отзыва.

Например:

Пользователь вправе отозвать согласие на обработку персональных данных, направив соответствующее обращение на адрес электронной почты оператора.

Желательно указать конкретный email, например:

privacy@site.ru

Если сайт отправляет рассылки, в письмах должна быть ссылка для отписки.

16. Что проверить перед запуском сайта

Перед публикацией сайта стоит пройтись по чек-листу:

• На сайте есть политика обработки персональных данных.
• В политике указаны реальные данные оператора.
• В политике описаны цели, состав и способы обработки данных.
• Указаны cookie, аналитика и сторонние сервисы.
• У каждой формы есть чекбокс согласия.
• Чекбоксы не проставлены заранее.
• Форма не отправляется без согласия.
• Есть отдельное согласие на рекламную рассылку.
• Настроен cookie-баннер.
• Согласие на cookie фиксируется.
• Подключён HTTPS.
• Проверены CRM, почтовые сервисы и интеграции.
• Данные граждан РФ хранятся с учётом требований локализации.
• Проверена необходимость уведомления Роскомнадзора.
• Указан способ отзыва согласия.
• Настроена защита сайта и административной панели.

Частые ошибки на сайтах

Нет политики обработки персональных данных

Самая распространённая ошибка — сайт собирает заявки, но не содержит политики. Это создаёт риск претензий со стороны пользователей и контролирующих органов.

Чекбокс согласия уже отмечен

Пользователь должен выразить согласие активным действием. Предустановленная галочка может быть признана некорректной.

Одна галочка на всё

Нельзя объединять согласие на обработку заявки и согласие на рекламную рассылку, если цели разные. Для рассылки лучше использовать отдельный чекбокс.

Политика скопирована с другого сайта

Шаблонная политика часто содержит чужие реквизиты, неверные сервисы, неактуальные цели обработки и не отражает реальную работу сайта.

Не указаны метрики и cookie

Если на сайте подключены системы аналитики, рекламные пиксели и вебвизор, это нужно отразить в документах и уведомлениях.

Используются зарубежные сервисы без оценки рисков

Передача данных в иностранные сервисы требует отдельного анализа и корректного оформления.

Что может сделать веб-студия АДМ

АДМ помогает подготовить сайт к требованиям 152-ФЗ и РКН комплексно — как с технической, так и с пользовательской стороны.

Мы можем:

• провести аудит сайта и форм сбора данных;
• проверить подключённые метрики, пиксели и сторонние сервисы;
• внедрить cookie-баннер;
• добавить чекбоксы согласия во все формы;
• настроить запрет отправки формы без согласия;
• разместить политику и необходимые ссылки;
• настроить фиксацию согласий;
• проверить безопасность форм и передачи данных;
• подготовить сайт к корректной работе с аналитикой;
• дать рекомендации по CRM, рассылкам и хранению данных.

Юридические тексты лучше готовить совместно с профильным юристом, но техническая реализация на сайте — зона ответственности команды разработки.

Итог

Подготовка сайта к требованиям РКН и 152-ФЗ — это не просто размещение ссылки на политику конфиденциальности. Необходимо проверить весь путь пользователя: от первого захода на сайт и cookie-баннера до отправки формы, передачи заявки в CRM и хранения согласий.

Минимальный набор для большинства сайтов:

• политика обработки персональных данных;
• согласие на обработку персональных данных у каждой формы;
• отдельное согласие на рассылку;
• cookie-баннер;
• информация об аналитике и метриках;
• корректная работа форм;
• защита данных и сайта;
• проверка интеграций и хостинга.

Если вы хотите привести сайт в порядок и снизить юридические риски, веб-студия АДМ поможет провести аудит, доработать формы, настроить cookie-уведомления и подготовить сайт к требованиям законодательства.