Безопасность и доверие
Вопрос обработки персональных данных (ПДн) на сайте — это не формальность и не техническая «галочка» для запуска проекта. Это обязательная часть любого ресурса, который собирает заявки, формы обратной связи или любые данные пользователей.
Основные правила работы с персональными данными в России регулируются Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006. Согласно закону, персональные данные — это любая информация, относящаяся к прямо или косвенно определённому либо определяемому физическому лицу.
Основные правила работы с персональными данными в России регулируются Федеральным законом № 152-ФЗ «О персональных данных» от 27.07.2006. Согласно закону, персональные данные — это любая информация, относящаяся к прямо или косвенно определённому либо определяемому физическому лицу.
Проще говоря, это любые сведения, которые позволяют идентифицировать человека: имя, телефон, email, IP-адрес и другие данные, которые в совокупности могут указывать на конкретного пользователя.
Для сайта работа с персональными данными напрямую влияет на доверие пользователей и корректность работы форм. Кроме того, ошибки в оформлении сбора и обработки данных могут привести к юридическим рискам для бизнеса — включая штрафы и предписания со стороны контролирующих органов.
Именно поэтому грамотная работа с ПДн — это базовый элемент безопасности любого современного сайта
Для сайта работа с персональными данными напрямую влияет на доверие пользователей и корректность работы форм. Кроме того, ошибки в оформлении сбора и обработки данных могут привести к юридическим рискам для бизнеса — включая штрафы и предписания со стороны контролирующих органов.
Именно поэтому грамотная работа с ПДн — это базовый элемент безопасности любого современного сайта
Категории ПДн
Персональные данные делятся на три категории:
В зависимости от категории ПДн меняется порядок их сбора и получения согласия пользователя на обработку.
При разработке сайта это важно учитывать: в некоторых случаях стандартной «галочки» в форме недостаточно для корректного оформления согласия
- общие
- специальные
- биометрические
В зависимости от категории ПДн меняется порядок их сбора и получения согласия пользователя на обработку.
При разработке сайта это важно учитывать: в некоторых случаях стандартной «галочки» в форме недостаточно для корректного оформления согласия
Общие ПДн
К общим персональным данным относится базовая информация о человеке, которую чаще всего собирают через формы на сайте: при заявке, регистрации или оформлении заказа.
К ним обычно относят:
К общим ПДн могут относиться и другие сведения, если по ним можно прямо или косвенно определить человека — например: IP-адрес, cookie-файлы, метрики поведения на сайте, история заказов и другие цифровые данные, связанные с пользователем
К ним обычно относят:
- фамилию, имя, отчество
- номер телефона
- адрес электронной почты
- дату рождения
- паспортные данные
К общим ПДн могут относиться и другие сведения, если по ним можно прямо или косвенно определить человека — например: IP-адрес, cookie-файлы, метрики поведения на сайте, история заказов и другие цифровые данные, связанные с пользователем
Специальные ПДн
Это данные, которые относятся к личной жизни человека, его взглядам или состоянию здоровья.
К ним относятся:
К ним относятся:
- расовая и национальная принадлежность
- политические, религиозные и философские воззрения;
- состояние здоровья
- сведения об интимной жизни
- наличие или отсутствие судимостей
Биометрические ПДн
Это данные, которые связаны с физиологическими особенностями человека и позволяют его определить.
К ним относят:
К ним относят:
- отпечатки пальцев
- узор радужки глаза
- рисунок сетчатки
- трёхмерная модель лица
- ДНК
- фото- и видеоизображение человека
- голос
- и пр
Не все данные можно собирать через форму на сайте
Обработка специальных и биометрических ПДн допускается только при наличии письменного согласия пользователя. Согласие, оформленное через обычную галочку в форме на сайте, для этих категорий не подходит. Поэтому если невозможно организовать получение письменного согласия в установленной форме, такие данные на сайте собирать не стоит
Кто такой оператор персональных данных
Если сайт собирает и обрабатывает персональные данные пользователей, его владелец автоматически становится оператором персональных данных.
Это правило работает всегда — независимо от того, идёт ли речь о компании, ИП или даже физическом лице без официального статуса.
Проще говоря: как только на сайте появляется форма, через которую пользователь оставляет свои данные, вы уже несёте ответственность за их обработку
Это правило работает всегда — независимо от того, идёт ли речь о компании, ИП или даже физическом лице без официального статуса.
Проще говоря: как только на сайте появляется форма, через которую пользователь оставляет свои данные, вы уже несёте ответственность за их обработку
3 основных обязанности оператора ПДн:
- Политика конфиденциальности: на сайте должен быть документ, который объясняет, как именно обрабатываются персональные данные пользователей.
- Согласие на обработку данных: в некоторых случаях нужно получить от пользователя согласие в установленной законом форме перед тем, как собирать и использовать его данные.
- Уведомление Роскомнадзора: необходимо сообщить в РКН о начале обработки персональных данных (если не действует предусмотренное законом исключение)
Политика обработки персональных данных
Политика обработки персональных данных должна быть размещена на каждом сайте, который собирает любые данные пользователей.
Ссылка на неё должна быть доступна в нескольких местах:
Ссылка на неё должна быть доступна в нескольких местах:
- под каждой формой сбора данных
- в футере сайта
- в уведомлении о cookie-файлах
Что важно указать в политике обработки данных
Политика должна описывать только те данные, которые реально собираются на сайте и используются для конкретных целей обработки.
Важный момент: все данные, указанные в политике, должны полностью совпадать с теми, которые указаны в уведомлении, направленном в Роскомнадзор. Несоответствия здесь недопустимы.
Также важно учитывать, что при использовании платформы Тильда обработка части данных посетителей осуществляется через саму платформу, и это должно быть отражено в документах.
Важный момент: все данные, указанные в политике, должны полностью совпадать с теми, которые указаны в уведомлении, направленном в Роскомнадзор. Несоответствия здесь недопустимы.
Также важно учитывать, что при использовании платформы Тильда обработка части данных посетителей осуществляется через саму платформу, и это должно быть отражено в документах.
Если данные передаются третьим лицам, это нужно обязательно прописывать отдельно — с указанием конкретных сервисов или компаний, которые их получают. Например, CRM-системы, сервисы email-рассылок, аналитики (например, Яндекс Метрика), чат-боты, сервисы доставки и другие подключённые инструменты.
Каждый такой сервис должен быть указан отдельно, вместе с тем, какие именно данные туда передаются
Каждый такой сервис должен быть указан отдельно, вместе с тем, какие именно данные туда передаются
Форма сбора ПДн
Для законной обработки персональных данных необходимо получить согласие пользователя. Правило простое: создали форму на сайте — обязательно оформляйте согласие на обработку данных.
На сайте при наличии формы сбора ПДН должно быть два документа:
На сайте при наличии формы сбора ПДН должно быть два документа:
- Политика обработки персональных данных
- Согласие на обработку персональных данных
Галочка в форме работает в связке с этими документами: пользователь соглашается с условиями, описанными в Политике и документе Согласия. Поэтому ссылки на оба документа в тексте согласия должны быть активными.
Важно: «предустановленных» галочек быть не должно! Пользователь обязан поставить отметку самостоятельно. Любая попытка заранее отметить галочку считается недействительной — Роскомнадзор не раз подчеркивал, что так делать нельзя
Важно: «предустановленных» галочек быть не должно! Пользователь обязан поставить отметку самостоятельно. Любая попытка заранее отметить галочку считается недействительной — Роскомнадзор не раз подчеркивал, что так делать нельзя
Согласие на сбор cookie
Cookie — это данные, которые автоматически сохраняются на компьютере пользователя при посещении сайта.
Они используются в следующих целях:
Они используются в следующих целях:
- Аутентификация и безопасность — позволяют «запомнить», кто вошёл на сайт, и сохранять сессию пользователя.
- Персонализация — сохраняют настройки сайта, язык, предпочтения интерфейса.
- Аналитика и статистика — помогают отслеживать посещаемость, популярные страницы и поведение пользователей.
- Маркетинг и реклама — позволяют показывать релевантные объявления и отслеживать эффективность кампаний.
На практике cookie собираются автоматически, как только посетитель заходит на сайт. Например, на платформе Тильда это происходит даже без подключения сервисов аналитики.
Поэтому всегда рекомендуется показывать уведомление о cookie. Особое внимание нужно уделять уведомлениям, если подключена Яндекс. Метрика: в тексте обязательно должно быть указано, что данные собираются этим сервисом
Поэтому всегда рекомендуется показывать уведомление о cookie. Особое внимание нужно уделять уведомлениям, если подключена Яндекс. Метрика: в тексте обязательно должно быть указано, что данные собираются этим сервисом
Согласие на прямой маркетинг
Прямой маркетинг — это когда владелец сайта напрямую связывается с клиентом для продвижения товаров или услуг, например, через SMS или email-рассылки.
Важно: согласие на маркетинговые рассылки должно быть отдельным от согласия на обработку персональных данных. Кроме того, галочка должна быть добровольной — пользователь не может быть ограничен в покупке, если он не дал согласие на рассылку
Важно: согласие на маркетинговые рассылки должно быть отдельным от согласия на обработку персональных данных. Кроме того, галочка должна быть добровольной — пользователь не может быть ограничен в покупке, если он не дал согласие на рассылку
ПДн, разрешённые субъектом для распространения
Размещение персональных данных в открытом доступе на сайте считается их распространением. Это касается, например, публикации отзывов клиентов с указанием имени, размещения информации о сотрудниках, фотографий или любых других данных, которые может увидеть неограниченный круг лиц.
Персональные данные можно распространять, но для этого требуется особое согласие пользователя. Согласие на распространение данных должно быть:
- отдельным от всех остальных согласий;
- письменным (на бумаге или в виде сканированной копии);
- оформленным с соблюдением требований Роскомнадзора к содержанию
Что должно быть указано в согласии на распространение ПДн
Содержание согласия строго регламентировано и должно включать:
- ФИО и контакты пользователя
- сведения об операторе данных
- подтверждение факта предоставления согласия
- цели обработки данных
- ресурсы оператора, через которые данные будут передаваться или использоваться (например, адрес страницы сайта)
- категории и перечень данных, на обработку которых даётся согласие
- условия и ограничения на использование данных
- срок действия согласия
Важно информировать посетителей о том, на каких условиях данные могут распространяться (сами согласия хранить на сайте не нужно — достаточно, чтобы они были сохранены у оператора).
Иногда возникает конфликт норм: например, медицинские и образовательные организации обязаны размещать на сайте сведения о своих сотрудниках. Если сотрудник не даёт согласие на публикацию своих персональных данных, закон разрешает размещать только обязательные по закону сведения, не больше
Иногда возникает конфликт норм: например, медицинские и образовательные организации обязаны размещать на сайте сведения о своих сотрудниках. Если сотрудник не даёт согласие на публикацию своих персональных данных, закон разрешает размещать только обязательные по закону сведения, не больше
Ограничения на использование иностранных сервисов
Трансграничная передача ПДн — это передача персональных данных на территорию иностранного государства, при которой данные граждан РФ обрабатываются или хранятся за пределами Российской Федерации.
С 1 июля 2025 года закон запрещает трансграничную передачу ПДн, то есть передавать или хранить их на серверах, расположенных за пределами России.
С 1 июля 2025 года закон запрещает трансграничную передачу ПДн, то есть передавать или хранить их на серверах, расположенных за пределами России.
На практике это означает, что нельзя использовать иностранные сервисы и инструменты, которые хранят данные за пределами России, включая зарубежные сервисы аналитики и формы для сбора информации (Google Analytics и Google Forms).
При создании сайта важно выбирать платформы и инструменты, которые гарантируют хранение данных внутри страны и соответствуют требованиям российского законодательства
При создании сайта важно выбирать платформы и инструменты, которые гарантируют хранение данных внутри страны и соответствуют требованиям российского законодательства
Проверьте, как у вас оформлена обработка ПДн
Работа с персональными данными на сайте — это не формальность, а обязательная часть любого цифрового проекта, который собирает информацию о пользователях.
Важно учитывать требования законодательства уже на этапе разработки сайта и регулярно проверять, как организован сбор и обработка данных.
Следите за тем, какие данные вы собираете, как оформлены согласия и политика. Это поможет избежать ошибок и обеспечить соответствие сайта требованиям законодательства.
Если вы не уверены, что на вашем сайте всё оформлено корректно, лучше проверить это заранее или обратиться к специалисту
Важно учитывать требования законодательства уже на этапе разработки сайта и регулярно проверять, как организован сбор и обработка данных.
Следите за тем, какие данные вы собираете, как оформлены согласия и политика. Это поможет избежать ошибок и обеспечить соответствие сайта требованиям законодательства.
Если вы не уверены, что на вашем сайте всё оформлено корректно, лучше проверить это заранее или обратиться к специалисту