menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Форма на сайте, куки и политика: за что можно получить штраф уже на первом экране

лонгриды
13.01.2023
18/09/25
Б-152
Лонгриды
События /
Форма на сайте, куки и политика: за что можно получить штраф уже на первом экране
Владельцы бизнеса привыкли думать, что главные риски в работе с персональными данными скрываются в масштабных IT-системах и CRM, где накапливаются массивы клиентских профилей. 
Однако в реальности все обстоит иначе: сегодня контролирующие органы все чаще обращают внимание на «первый экран» сайта — те самые формы подписки, баннеры и cookie-файлы, которые видит посетитель сразу при заходе. Ошибки здесь стоят дорого: штрафы достигают миллионов рублей, а репутационные издержки еще выше. 
До 2030 года действует мораторий на проверки Роскомнадзора, и часто владельцы бизнеса считают, что можно не торопиться с исправлениями сайта, внутренних документов. Однако, даже когда действует мораторий, РКН может проверить сайт без взаимодействия с Оператором. Сейчас РКН использует автоматизированные системы для проверки сайтов, поэтому количество подобных проверок увеличилось.
Так, поверка сайта может проходить без уведомления Оператора, поэтому важно подготовить документы на сайте и проверить их на соответствие 152-ФЗ. 
Политика обработки ПДн
Ошибки бизнеса
Содержание
Почему cookie — ПДн
Локализация
Ответственность
Как определить, что происходит трансграничная передача
Формы на сайте
Ответственность за нарушения
Что сделать, чтобы минимизировать риски
Заключение
Политика обработки ПДн
Ошибки бизнеса
Содержание
Почему cookie — ПДн
Локализация
Ответственность
Как определить, что происходит трансграничная передача
Формы на сайте
Ответственность за нарушения
Что сделать, чтобы минимизировать риски
Заключение

Политика обработки ПДн

Политика не является правовым основанием для обработки ПДн по смыслу ст. 6 152-ФЗ. При этом на каждой странице сайта, где происходит сбор ПДн, оператор обязан обеспечить наличие ссылки на Политику конфиденциальности (в силу ч. 2 ст. 18.1 152-ФЗ). 
Совет: рекомендуем размещать ссылки на Политику и под каждой формой сбора, и в футере сайта.
В соответствии с п. 2 ч. 1 ст. 18.1 152-ФЗ в Политике конфиденциальности должны быть отражены для каждой цели обработки персональных данных:
  • категории и перечень обрабатываемых персональных данных,
  • категории субъектов, персональные данные которых обрабатываются,
  • способы, сроки их обработки и хранения,
  • порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований,
  • а также процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
Важно, чтобы политика была доступна на каждой странице сайта, где происходит сбор ПДн. Обычно политика размещена в футере сайта, также можно разместить гиперссылку на политику рядом с формами сбора ПДн.
Если сайт предполагает регистрацию, и ПДн пользователя собираются до начала регистрации, важно, чтобы политика была доступна свободно, без регистрации, например. 

Ошибки бизнеса

  1. Политика скопирована у другого оператора и не отражает реальную деятельность.
  2. Документ размещен только в личном кабинете, но не в открытом доступе.
  3. Политика устарела. Например, указаны старые реквизиты компании и процессы, которых нет.

Почему cookie — ПДн

На сайте должен быть cookie-баннер, это является согласием на обработку cookies.
Файлы cookie относятся к персональным данным исходя из толкования ч. 1 ст. 3 ФЗ-152, потому что определяют субъекта, который заходит на сайт и совершает определенные действия. Cookie запоминают эти действия, составляя портрет пользователя, отделяя его от других.
РКН рекомендует размещать cookie-баннер на сайте, т.к. отсутствие баннера может быть признано нарушением, как, например, прямо пишет РКН в результатах проверки:«Осуществление сбора метрических данных в отсутствие информирования пользователей об использовании файлов-cookies и согласия пользователя». 
В судебных решениях cookies упоминаются как ПДн, т. е. судебная практика подтверждает это толкование:
Стандартная формулировка:
«На нашем сайте используются cookie-файлы, в том числе сервисов веб-аналитики. Используя сайт, вы соглашаетесь на обработку персональных данных при помощи cookie-файлов. Подробнее об обработке персональных данных вы можете узнать в Политике конфиденциальности».
Как оформить баннер правильно:
Ссылка на политику должна быть кликабельной.
  • Баннер должен быть виден сразу при заходе на сайт;
  • Ссылка на политику должна быть кликабельной.

Локализация

Согласно ч. 5 ст. 18 152-ФЗ, оператор обязан обеспечить запись, систематизацию, накопление, хранение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.
Иными словами, если оператор собирает персональные данные россиян, сервер для их первичного хранения должен находиться в России.
Рекомендуем использовать российские аналоги для аналитики поведения пользователей. Однако, в недавних ответах на запросы РКН отмечал, что не запрещает использование GA при условии уведомления о трансграничной передаче и получении согласия пользователя.
Важно: сервер GA находится в США. Эта страна не относится к странам, обеспечивающим адекватную защиту ПДн. 
Это значит, что при подаче уведомления о трансграничной передаче необходим особый порядок проведения оценки: оператор обязан проанализировать правовую базу страны на предмет наличия правовых норм, подождать 10 рабочих дней после подачи уведомления. Роскомнадзор может ограничить или запретить передачу.
Как это связано с cookie
Если cookie собираются с помощью зарубежных сервисов аналитики, например, Google Analytics и других, то данные пользователей первично собираются на серверах за пределами РФ. Это и есть нарушение требования о локализации.

Ответственность

За нарушение локализации предусмотрены большие санкции:
  • Административный штраф до 6 млн рублей за первичное нарушение  (ч. 8 ст. 13.11 КоАП РФ),
  • До 18 млн рублей — за повторное нарушение (ч. 9 ст. 13.11 КоАП РФ).

Как определить, что происходит трансграничная передача

Субъекты ПДн в ИСПДн

Ситуация: Предоставление доступа к ИСПДн иностранным лицам. Даже если основная база данных находится в России, передача персональных данных сотрудникам иностранной компании или государственным органам другой страны для обработки, контроля или аналитики считается трансграничной. Здесь также требуется уведомление РКН и анализ правовой базы принимающей страны на предмет адекватной защиты ПДн.
Организация командирования и обучения работников

Ситуация: Оформление билетов, бронирование мест проживания для отправки в командировку и обучения работников.
Если оператор использует иностранные онлайн-сервисы для бронирования билетов, отелей или учебных платформ, персональные данные работников автоматически передаются за границу. В таких случаях необходимо обеспечить согласие сотрудников на трансграничную передачу.
Посетители сайта

Ситуация: Использование на сайте зарубежных метрических программ, например, Google Analytics.
Данные о посетителях сайта (поведение, клики, геолокация) первично собираются на серверах за пределами РФ. Оператор обязан уведомить РКН, указать в СОПД наличие трансграничной передачи ПДн пользователей.

Формы на сайте

Каждая форма обратной связи, подписки или заявки на сайте должна содержать:
  • Ссылку на политику конфиденциальности;
  • Отдельное согласие на обработку персональных данных.
Например, для формы обратной связи может быть предусмотрен такой текст: «отправляя письмо на электронный адрес, я даю согласие на обработку персональных данных. Также подтверждаю, что ознакомлен с политикой обработки персональных данных».
Для формы подписки на email-рассылку нужно добавить чек-бокс, который нажимает пользователь, соглашаясь получать рекламные рассылки на электронную почту. Это важно, потому что заранее проставлять галочку в согласии на рекламу нельзя.

Ответственность за нарушения

Незаконная обработка персональных данных (в т.ч. cookie без согласия)
ч. 1 ст. 13.11 КоАП РФ:
  • для граждан — от 10 000 до 15 000 рублей;
  • для должностных лиц — от 50 000 до 100 000 рублей;
  • для юридических лиц — от 150 000 до 300 000 рублей.
Нарушение требований к опубликованию политики обработки персональных данных
ч. 3 ст. 13.11 КоАП РФ:

  • для граждан — от 1 500 до 3 000 рублей;
  • для должностных лиц — от 6 000 до 12 000 рублей;
  • для индивидуальных предпринимателей — от 10 000 до 20 000 рублей;
  • для юридических лиц — от 30 000 до 60 000 рублей.
Нарушение требования о локализации персональных данных ч. 8 ст. 13.11 КоАП РФ:
  • для граждан — от 30 000 до 50 000 рублей;
  • для должностных лиц — от 100 000 до 200 000 рублей;
  • для юридических лиц — от 1 млн до 6 млн рублей.
Нарушение требования о локализации персональных данных (повторное)
ч. 9 ст. 13.11 КоАП РФ:

  • для граждан — от 50 000 до 100 000 рублей;
  • для должностных лиц — от 500 000 до 800 000 рублей;
  • для юридических лиц — от 6 млн до 18 млн рублей.

Что сделать, чтобы минимизировать риски

Аудит сайта
  1. Проверить все формы и наличие обязательных согласий;
  2. Убедиться в наличии кликабельных ссылок на политику.
Обновление документов
  1. Актуализировать политику конфиденциальности;
  2. Внести реальные цели и перечень обрабатываемых ПДн.
Техническая доработка
  1. Создать или скорректировать чек-боксы согласий для рекламных рассылок;
  2. Убрать баннер из футера и разместить его в зоне видимости пользователя;
  3. Обеспечить свободный доступ к политике до регистрации или заполнения форм.
Внутренний контроль
  1. Назначить ответственного за обработку и публикацию документов (часто это юрист или комплаенс-специалист);
  2. Обновлять политику и согласия при изменении процессов обработки.
Локализация и трансграничная передача
  1. Проверить, где физически хранятся данные, собираемые сайтом;
  2. Отказаться от зарубежных сервисов аналитики и CRM, если данные пользователей изначально уходят за границу;
  3. В документах отразить порядок трансграничной передачи и наличие согласия пользователей, если необходимо
  4. Подать  уведомление о трансграничной передаче в РКН.
Важно: согласно позиции РКН, хранить ПДн за пределами РФ нельзя, т. е. база данных с ПДн пользователей, клиентов или иных субъектов ПДн должна находиться в России.

Заключение

Ошибки на сайте — это вопрос стратегической устойчивости бизнеса.
Проверка персональных данных начинается не с серверов и не с массивов клиентских профилей, а с того, что видит посетитель при первом заходе: баннер, форма и политика. Именно здесь компании получают первые предписания и штрафы.
Добавим к этому еще один фактор — локализацию персональных данных. Даже идеально оформленный сайт рискует оказаться в зоне блокировки, если данные первично собираются за пределами РФ (например, через Google Analytics).
Простые шаги — корректный cookie-баннер, актуальная политика, грамотно оформленные формы и контроль локализации — позволяют закрыть до 80% рисков и демонстрируют клиентам ответственное отношение к их данным.
Для бизнеса это означает не только снижение юридических угроз, но и рост доверия со стороны клиентов и партнеров, а также гарантированную возможность работать на российском рынке без риска блокировки.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме