Соблюдение закона о персональных данных (152‑ФЗ) для владельцев сайтов: инструкция, чек‑лист, разъяснения

Федеральный закон № 152-ФЗ «О персональных данных» обязывает владельцев сайтов в России – как юридических лиц, так и индивидуальных предпринимателей – соблюдать строгие требования при сборе и обработке информации о пользователях. Под эти требования подпадает любая площадка, где есть формы обратной связи, регистрация, сбор контактных данных, а также установка аналитических счетчиков.

В статье подробно разобраны основные понятия закона, обязательства владельцев сайтов, правила передачи данных в CRM-системы, использование сервисов аналитики (Яндекс.Метрика, Google Analytics, Google Tag Manager) и практические шаги для приведения сайта в соответствие с законом. Приведены официальные разъяснения Роскомнадзора и судебная практика, а также шаблоны необходимых документов: соглашение на обработку данных (согласие пользователя), политика конфиденциальности и условия обработки данных с контрагентами.

Автор статьи — агентство Bquadro. Мы разрабатываем, продвигаем и поддерживаем сайты с 2001 года. И опираясь на свой опыт, подготовили эту статью как для тех, кто сам занимается своим сайтом, так и для тех, кто работает с агентствами.

Согласно ст. 3 Закона № 152-ФЗ, персональные данные – это любая информация, относящаяся к определённому или определяемому физическому лицу. Закон не содержит закрытого перечня таких сведений, оставляя простор для толкования. На практике это означает, что персональными данными считаются любые данные, позволяющие прямо или косвенно идентифицировать человека.

Примеры персональных данных на сайте: классические примеры включают фамилию, имя, отчество, дату рождения, номер телефона, адрес электронной почты, почтовый адрес, паспортные данные, информацию из соцсетей. Также к ним относятся фотографии, данные об образовании или доходах – все, что можно сопоставить с конкретным человеком.

Менее очевидные сведения, собираемые сайтами, тоже могут признаваться персональными. Например, технические данные: IP-адрес пользователя, файлы cookie, идентификаторы устройств, история посещения страниц. Сам по себе IP-адрес или cookie-файл не содержит ФИО, но позволяет опознать устройство или совокупность действий конкретного посетителя. Поэтому суды и Роскомнадзор относят информацию, собираемую через cookie и аналогичные идентификаторы, к персональным данным. В известном деле Роскомнадзор против ПАО «МТС» Арбитражный суд г. Москвы еще в 2016 году прямо указал, что уникальный идентификатор cookie – это персональные данные пользователя. Таким образом, любая информация о пользователе сайта, позволяющая его хоть как-то выделить, подпадает под действие 152-ФЗ.

Оператор – это лицо (организация или ИП), которое организует и осуществляет обработку персональных данных, а также определяет цели и способы обработки. Даже сбор электронной почты для рассылки уже делает владельца сайта оператором ПДн. Ниже рассмотрим, какие обязанности это влечет.

Форма обратной связи или любая форма сбора данных на сайте (заявка, регистрация, подписка) означает, что вы обрабатываете персональные данные посетителей. С 1 июля 2017 года такие ситуации жестко регламентированы законом. Удалить все формы – не выход (да и получение IP и cookie происходит даже без форм). Поэтому владельцу сайта необходимо выполнить ряд действий для законной обработки данных:

Ниже мы более детально рассмотрим нюансы, связанные с передачей персональных данных посетителей в CRM-системы, использование счетчиков аналитики, а также разъяснения надзорных органов по этим вопросам.

Многие владельцы сайтов настроили автоматическую отправку заявок пользователей (лидов) в CRM для удобства обработки обращений. Однако передача персональных данных из веб-формы в стороннюю систему должна соответствовать требованиям 152-ФЗ, особенно в части места хранения данных и транграничной передачи.

Рассмотрим три ситуации:

Если ваша CRM-система развернута на сервере в России – будь то собственный сервер компании или облачный провайдер, размещающий данные на территории РФ – это благоприятный вариант с точки зрения закона. Требование о локализации данных (ст. 18 ч.5 152-ФЗ) обязывает при сборе персональных данных граждан РФ записывать и хранить их в базах данных, расположенных в России.

Что нужно учесть при использовании CRM в РФ:

Этот случай близок к предыдущему: облачные CRM-сервисы, локализованные в РФ (например, российские AmoCRM, Мегаплан и др., либо российский сегмент Bitrix24).

Особенности и требования:

Самый сложный вариант – использование CRM, чьи серверы находятся за пределами РФ. Примеры: западные сервисы HubSpot, Salesforce, Pipedrive, или международные версии Bitrix24, AmoCRM (если данные хранятся не в РФ). В этой ситуации любая отправка персональных данных пользователя в такую систему рассматривается как трансграничная передача персональных данных на территорию иностранного государства. Закон предъявляет к этому особые требования:

Практический совет: Если ваш бизнес критически завязан на зарубежную CRM, настоятельно рекомендуется:

1) выполнить все формальности (получить согласие пользователей, уведомить Роскомнадзор)

2) рассмотреть резервный вариант хранения данных в РФ. Например, сохранять копии заявок в локальной базе, чтобы в случае запрета передачи за рубеж у вас оставались данные клиентов внутри страны. Либо использовать гибридную схему: для российских клиентов – база в РФ, для иностранных – зарубежная. В противном случае вы зависите от решения регулятора: Роскомнадзор может в любой момент отказать в согласовании трансграничной передачи, и тогда придется срочно переключаться на российскую CRM или локальный вариант.

Инструменты веб-аналитики, такие как Яндекс.Метрика, Google Analytics (GA) и Google Tag Manager (GTM), практически повсеместно используются на сайтах. Однако в контексте 152-ФЗ они тоже оказываются средствами сбора персональных данных. Рассмотрим, какие юридические риски возникают при их применении и как соблюсти закон при работе с ними.

Юридические риски:

Как легализовать использование веб-аналитики на сайте:

С точки зрения российского законодательства, Яндекс.Метрика предпочтительнее: данные хранятся у российской компании (что соответствует локализации) и не передаются за рубеж (по умолчанию). Тем не менее, риски при использовании Метрики тоже есть, если не получать согласие. Роскомнадзор так же требует информировать пользователей о работе Метрики, ведь она собирает cookie – а cookie признаны персональными данными. Однако трансграничное уведомление для Метрики не нужно. Главное – политика, баннер и чекбокс согласия.

Сам по себе GTM – это контейнер для других скриптов. Он может не передавать никаких данных, если внутри него нет сторонних тегов. Но на практике GTM почти всегда используется для подключений Google Analytics, пикселя Facebook/ВКонтакте и т.д. Соответственно, регионы действия GTM зависят от того, что вы через него загружаете. Если там только пиксель ВКонтакте и локальные скрипты – трансграничных рисков нет (ВК – российская соцсеть). Если же через GTM грузится GA или, скажем, Hotjar (европейский сервис записи сессий), то действует все вышесказанное про зарубежные сервисы. Не забудьте описать в политике и получить согласие на все инструменты, подключаемые через GTM.

Вывод: Использование счетчиков веб-аналитики на сайте требует такого же внимательного подхода, как и сбор данных через формы. Обязательно предупреждайте посетителей о сборе cookies и статистики, получайте их согласие (пусть даже в упрощенной форме кликом «Согласен»), обновите свою документацию и, при необходимости, уведомьте Роскомнадзор о трансграничной передаче. Это позволит избежать штрафов и претензий. К примеру, австрийский сайт, игнорировавший требования GDPR при использовании Google Analytics, был оштрафован на €50 млн – в России тоже уже были случаи штрафов Роскомнадзора за неинформирование о cookie и за использование иностранных сервисов без уведомления.

Закон о персональных данных довольно общий, поэтому на практике многие вопросы уточняются через подзаконные акты, разъяснения регуляторов и судебные решения. Для владельцев сайтов важны следующие официальные позиции и примеры практики:

Подводя итог, позиция регулятора однозначна: сайты должны соблюдать все требования 152-ФЗ так же строго, как крупные офлайн-компании. Нельзя оправдаться малым размером или неосведомленностью. Наоборот, проверяющие органы в последние годы стали чаще мониторить интернет-пространство (в том числе автоматически) на предмет наличия политики на сайте, отображения cookie-баннера и т.д. Поэтому каждому владельцу ресурса стоит проактивно привести его в порядок. Далее приведем пошаговую инструкцию, как это сделать.

Следуя этим шагам, вы минимизируете риски нарушений и санкций:

Шаг 1. Проведите инвентаризацию персональных данных на вашем сайте. Определите, какие персональные данные вы собираете через сайт. Просмотрите все формы: обратная связь, заявки, регистрация, подписки, комментарии и пр. Запишите, какие поля есть (имя, телефон, email и т.д.). Проверьте, собирает ли сайт автоматически данные: использует ли cookie, аналитические счетчики, виджеты соцсетей. Результат шага – понимание, какие категории ПДн вы обрабатываете и в каких местах.

Шаг 2. Назначьте ответственных и разработайте внутренние документы (для юрлица). Если вы представляете компанию, приказом назначьте ответственное лицо за организацию обработки ПДн. Обычно это руководитель подразделения или ИТ-специалист. Далее нужно разработать пакет внутренних документов по защите данных: положение о обработке ПДн, инструкция для сотрудников, план мероприятий по безопасности, форма журнала обращений субъектов, план действий при инцидентах и т.д. В типовом случае требуется порядка 20–30 документов, регламентирующих все процессы. Индивидуальному предпринимателю формально тоже нужно утвердить хотя бы Политику (внутреннюю) и Приказ о назначении себя ответственным. Это документация «для себя», но при проверке ее наличие будет плюсом. На сайте эти документы не публикуются (кроме Политики – о ней далее), но должны быть в компании.

Шаг 3. Разработайте и опубликуйте Политику обработки персональных данных. На основе данных из шага 1 составьте Политику конфиденциальности (обработки ПДн), которая будет доступна посетителям сайта. Готовый текст политики разместите на отдельной странице на сайте, сделайте ссылку на нее в футере (подвале) или другом заметном месте, чтобы с любой страницы можно было перейти. Убедитесь, что политика открывается без ограничений (не требует регистрации и т.п.). Обновляйте документ, если вы начинаете собирать новые данные или меняются цели.

Шаг 4. Реализуйте получение согласия пользователей на сайте. На всех формах, где посетитель вводит свои данные (контактные формы, регистрация, комментирование и т.д.), добавьте явно выраженное согласие. Лучший вариант – чекбокс с текстом: «Даю согласие на обработку моих персональных данных». Этот чекбокс должен быть непомеченным по умолчанию (пользователь ставит галочку сам). Сделайте это поле обязательным: без галочки кнопка «Отправить» недоступна. Совет: храните факты получения согласия. Если у вас чекбокс – на стороне сервера логируйте отметку или сохраняйте копию заполненной формы с отметкой.

Шаг 5. Установите на сайте уведомление об использовании cookie-файлов. Для новых посетителей сайта сейчас принято показывать всплывающее окно или панель (cookie-banner) с предупреждением, что вы используете cookie и аналогичные технологии. Такой баннер должен появляться при первом заходе пользователя (и по возможности при изменении вашей политики). В тексте укажите: «Мы используем файлы cookie для улучшения работы сайта. Продолжая использовать сайт, вы даете согласие на обработку ваших персональных данных с помощью сервисов веб-аналитики». Добавьте кнопку «Согласен» («Принять»). Также уместно сразу дать ссылку на Политику, где описано использование cookie. Если пользователь не согласен, в идеале нужно предоставить ему опцию «Отказаться», которая отключит неважные cookie (так делают под требования GDPR). Российский закон прямо не требует кнопки «Отказаться» – достаточно информировать и получить общее согласие. Поэтому иногда используют упрощенный вариант текста: «Используя наш сайт, вы соглашаетесь с использованием cookies и Политикой конфиденциальности». При этом кнопки могут быть «Хорошо»/«Принять». Такой имплицитный сбор согласия пока считается приемлемым, хотя наиболее безопасно – явное нажатие «Согласен». Важно: фиксируйте согласие на cookie – например, ставьте технический cookie-флаг, что баннер показан и пользователь продолжил работу. Без этого баннер будет показываться каждый раз (что раздражает посетителей). Помните, что сбор cookie без уведомления – нарушение, отмеченное самим Роскомнадзором.

Шаг 6. Подайте уведомление в Роскомнадзор о вашей обработке данных. Если вы еще не отправляли уведомление оператора персональных данных через портал pd.rkn.gov.ru, сделайте это как можно скорее. Важный момент – указание местонахождения базы данных. Вам нужно знать, на каком сервере хранятся данные ваших пользователей. Если вы пользуетесь хостингом, уточните у провайдера адрес дата-центра (ЦОД). Обычно достаточно указать: «Россия, г. ___, ул. ___, серверная площадка ___». Если вы хоститесь в облаке вроде AWS или Google вне РФ – это проблема, лучше перенести хотя бы базу с персональными данными на российский сервер, иначе вы заведомо нарушаете закон о хранении. После подачи уведомления дождитесь включения в реестр (на сайте Роскомнадзора можно найти свою запись).

Шаг 7. Проверьте договоры с подрядчиками и контрагентами. Проанализируйте, кто вовне имеет доступ или кому вы передаете персональные данные ваших клиентов/пользователей. Сюда могут относиться: хостинг-провайдер или администратор сервера (он теоретически имеет доступ к базам данных сайта); разработчики сайта или техподдержка (если привлекаете на аутсорсе – у них могут быть доступы к админке); сторонние колл-центры или маркетологи, если вы им выгружаете заявки; курьерские службы, если с сайта собираются адреса для доставки; бухгалтерия/аудиторы с доступом к базе клиентов и т.д. Со всеми такими лицами необходимо заключить соглашение о конфиденциальности и обработке ПДн (если это не отдельный договор, то хотя бы включить раздел в общий договор).

Шаг 8. Реализуйте меры защиты персональных данных. Убедитесь, что на практике данные ваших пользователей защищены от утечек. Минимальный набор для любого сайта: SSL-сертификат (HTTPS) для шифрования трафика при передаче форм; актуальные версии ПО сервера и CMS (чтобы не было известных уязвимостей); сложные пароли ко всем админ-панелям и базам; ограничение доступа – только доверенным администраторам; регулярное резервное копирование базы данных (и хранение бэкапов в защищенном виде); антивирусный контроль и мониторинг на сервере. Если вы храните данные локально (например, экспорт заявок в Excel), шифруйте эти файлы, ставьте пароли. Для крупных проектов закон предписывает более серьезные меры (например, применение сертифицированных средств защиты ФСТЭК, проведение оценки угроз). С мая 2025 в КоАП вводится штраф до 15 млн руб. за утечку персональных данных по вине оператора и до 3% годовой выручки при повторной утечке. Это колоссальные суммы, сопоставимые с европейскими штрафами GDPR. Даже если вы маленькая компания, утечка 2023 года данных (например, через взлом CMS) может вылиться в штраф на десятки миллионов в 2025-м, если Роскомнадзор найдет вашу ответственность. Поэтому лучше предотвратить такие инциденты.

Шаг 9. Установите порядок работы с обращениями пользователей. Пользователи имеют право направлять оператору запросы: узнать, какие их данные хранятся; отозвать согласие; потребовать исправить или удалить информацию (если она устарела, например). Вы обязаны рассмотреть такой запрос в течение 30 дней (ст.14 152-ФЗ). Продумайте, как вы будете это делать. Быстро реагируя на запросы, вы снизите риск жалобы в Роскомнадзор – нередко проверки начинаются именно из-за жалобы пользователя, которому не ответили или отказали.

Шаг 10. Если планируете передачу данных за границу – соблюдайте особый порядок. Этот шаг частично пересекается с разделом 3.3 выше, но в контексте общего чек-листа напоминаем: передача персональных данных иностранному лицу или на иностранный сервер требует подачи отдельного уведомления в РКН. Сделайте это до начала передачи. Также убедитесь, что получено отдельное согласие пользователя на такой трансфер. Если в будущем условия изменятся (например, начнете слать данные в новую страну) – уведомление нужно будет обновить. Мониторьте список стран с адекватной защитой (Роскомнадзор публикует приказами); если ваша страна вдруг исключена – будьте особенно внимательны.

Следуя этому плану, вы приведете свой сайт в соответствие с требованиями закона о персональных данных. После выполнения всех шагов не забудьте поддерживать соответствие: периодически проверяйте актуальность Политики, обучайте новых сотрудников правилам обращения с ПДн, следите за изменениями законодательства (например, сейчас обсуждается создание реестра операторов, допустивших утечки, с особыми штрафами, вступает в силу закон о маркировке разрешенных для распространения данных и т.д.).

Ниже представлены типовые образцы документов, которые понадобятся для соблюдения 152-ФЗ: согласие пользователя на обработку данных, политика конфиденциальности (обработки ПДн) для сайта, а также условия соглашения о поручении обработки данных с третьими лицами (контрагентами).

Согласие может быть оформлено в виде отдельного текста на странице сайта, на которую ведет ссылка под формой. В тексте необходимо отразить все требования ч.4 ст.9 Закона № 152-ФЗ. Ниже пример структуры такого согласия:

(Подпись не требуется, так как согласие электронное. Пользователь выражает его проставлением «галочки» и нажатием кнопки.)

Этот шаблон можно адаптировать под специфику вашего сайта. Если вы, например, собираете только email для рассылки, следует изменить цель и перечень данных (оставить email). Обратите внимание: включайте в согласие только то, что реально необходимо. Избыточные данные собирать нежелательно – это нарушает принцип минимизации. Роскомнадзор может посчитать нарушение, если вы требуете паспортные данные там, где достаточно имени и телефона. Поэтому шаблон надо приводить в соответствие с реальными нуждами.

Политика – публичный документ, описывающий ваши процессы обработки данных. Ниже приведены основные разделы, которые должна содержать политика для сайта, основанные на ст.18.1 152-ФЗ и рекомендациях Роскомнадзора:

Если вы привлекаете сторонние организации или специалистов, которым необходимо предоставить доступ к персональным данным ваших пользователей (например, вы заключили договор с колл-центром, и передаете им заявки с сайта для обзвона), нужно оформить поручение на обработку персональных данных согласно ст.6 и outsourcing Закона № 152-ФЗ. Это может быть отдельный документ или часть общего договора. Ниже перечислены ключевые условия, которые должен содержать такой договор:

Пример формулировки ключевого абзаца договора: «Обработчик обязуется обрабатывать персональные данные исключительно по поручению и в интересах Оператора, в соответствии с указанной целью и способом, не допускается использование данных в собственных целях. Обработчик обеспечивает конфиденциальность персональных данных (не разглашает и не передает третьим лицам без разрешения Оператора) и принимает меры защиты информации согласно ст.19 ФЗ-152 и иным нормативным актам. В случае нарушения условий обработки Обработчик несет ответственность, предусмотренную законодательством РФ и настоящим договором.»

Такой блок условий можно включить в основной договор с подрядчиком (например, в договор оказания услуг). Либо оформить отдельным соглашением «о конфиденциальности и обработке ПДн». Важно, чтобы контрагент его подписал. Штрафы за отсутствие договора-поручения в 2024 году составляли 50–100 тыс. руб., с 30 мая 2025 г. – от 100 тыс. (для первичного нарушения со стороны оператора). Поэтому не пренебрегайте этой формальностью.

Для владельца сайта важно убедиться, что веб-ресурс отвечает основным требованиям закона о персональных данных. Ниже приведён чек-лист, который поможет проверить ключевые моменты:

Для приведения сайта в соответствие с 152-ФЗ часть мероприятий выполняется самим владельцем (оператором персональных данных), а часть – техническим специалистом (веб-разработчиком или подрядчиком). Ниже перечислены ключевые задачи, разгруппированные по ответственности.

1. Уведомление Роскомнадзора

Самостоятельно подать уведомление о намерении обрабатывать персональные данные в Роскомнадзор. Это включает заполнение формы (на портале pd.rkn.gov.ru либо в бумажном виде) с указанием сведений о вашей организации, целях и категориях собираемых данных. Делается один раз (до начала обработки данных).

2. Политика конфиденциальности

Разработать текст Политики в отношении обработки персональных данных, учитывая требования закона и рекомендации Роскомнадзора. Утвердить Политику приказом или распоряжением внутри организации и разместить на сайте (передать текст разработчику для публикации).

3. Согласие на обработку ПДн

Подготовить шаблон (текст) пользовательского согласия на обработку персональных данных. Обеспечить, чтобы текст согласия был доступен пользователю (на отдельной странице сайта) и актуален.

4. Назначение ответственного за ПДн

Если вы – юридическое лицо, назначьте ответственного за организацию обработки персональных данных. Оформите назначение официальным приказом. Индивидуальному предпринимателю как оператору ПДн стоит лично выполнять эту функцию.

5. Договоры с подрядчиками (обработчиками данных)

Заключить необходимые договоры с третьими лицами, которые вовлечены в обработку данных ваших пользователей. Сюда относятся: веб-разработчики (подрядчики), хостинг-провайдеры, облачные сервисы, CRM-системы, колл-центры и др. Убедитесь, что подрядчик ознакомлен со своими обязанностями.

6. Внутренние документы и процедуры

Разработать и утвердить внутренние документы по безопасности ПДн (для юрлиц это требование закона). Если у вас есть работники, получите с них письменные согласия на обработку их данных и ознакомьте под подпись с вашей политикой безопасности.

7. Постановка задач для разработчика

Составить техническое задание для веб-разработчика/администратора сайта, охватывающее все необходимые доработки для соответствия 152-ФЗ. Владелец должен чётко обозначить, что нужно реализовать: добавить баннер о cookies, включить чекбоксы и ссылки на документы в формы, обеспечить хранение данных в РФ, настроить передачу данных в CRM по защищённому каналу и пр. Предоставьте исполнителю все подготовленные тексты и необходимые данные. После реализации изменений проконтролируйте их работу на сайте.

1. Размещение документов на сайте

Добавить на сайт страницу (или раздел) с Политикой конфиденциальности, а также отдельную страницу с текстом Согласия на обработку ПДн (если её предоставил заказчик). Убедиться, что ссылки на эти документы присутствуют на всех страницах сайта – обычно ссылку на Политику размещают в подвале, чтобы она была видна повсюду. Кроме того, подключить ссылки на Политику и Согласие в текст предупреждения рядом с формами сбора данных (например, во всплывающем окне или подсказке).

2. Настройка формы и чекбокса согласия

Для каждой формы, где вводятся персональные данные (регистрация, обратная связь, подписка и др.), внедрить обязательный чекбокс «Я согласен(а) на обработку персональных данных…» с ссылкой на Политику/Согласие. Предотвратить отправку формы без проставленной галочки. Это требует добавить проверку на стороне фронтенда (скриптом блокировать отправку) и/или на стороне сервера (валидировать входящие данные). Чекбокс ни в коем случае не должен быть пречекнут (отмечен по умолчанию).

3. Реализация cookie-баннера

Установить скрипт cookie-баннера, который при первом визите пользователя показывает уведомление о сборе cookies и запрашивает согласие. В тексте баннера предусмотреть упоминание использования файлов cookie и инструментов аналитики, и кнопку для согласия (например, «Принять»/«Согласен»). До получения согласия баннером блокировать установку необязательных cookies и загрузку сторонних трекеров. Можно использовать готовые библиотеки/скрипты для cookie consent, настроив их под требования российского закона (учитывая, что все cookies приравниваются к персональным данным).

4. Настройка скриптов аналитики и сторонних сервисов

Проверить подключение сторонних сервисов (аналитика, рекламные пиксели, виджеты) на сайте. Все скрипты, которые собирают персональные данные, должны работать только после получения соответствующего согласия. Если используются иностранные сервисы аналитики, обсудить с владельцем необходимость либо получить дополнительное согласие на их использование (отдельной галочкой, если требуется передача данных за границу), либо заменить их на отечественные аналоги. Также убедиться, что никакие персональные данные не отправляются внешним сервисам без согласия – в том числе через скрытые интеграции (например, отключить автоматическую отправку IP-адресов, если такое возможно, или включить анонимизацию).

5. Хостинг и хранение данных в РФ

Провести аудит инфраструктуры: где размещён сайт, база данных, серверы. Если сайт хостится за пределами РФ, перенести его на российский хостинг или сервер (выполнить миграцию файлов и БД). Настроить базу данных так, чтобы все персональные данные хранились на сервере в России. При использовании облачных провайдеров (AWS, Google Cloud и пр.) – переключиться на их регионы в РФ (если доступны) либо на отечественные облака. Также убедиться, что резервные копии (бэкапы) с персональными данными хранятся на российских серверах или шифруются.

6. Интеграция с CRM и другими системами

Если сайт передаёт лиды или заявки во внешнюю CRM, почтовый сервис или другую систему, настроить эту интеграцию с учётом защиты данных. Передача должна происходить по защищённому каналу (HTTPS/API с шифрованием). Убедиться, что отправляются только необходимые данные. Если CRM-система расположена за рубежом или использует иностранные серверы, реализовать оповещение пользователя и получение отдельного согласия на такой трансфер (или рекомендовать владельцу перейти на РФ-хостинг/локальную CRM). В идеале выбрать CRM, дата-центры которой находятся в России, чтобы избежать лишних юридических сложностей. В договоре о подключении CRM должны быть прописаны обязательства по защите полученных данных; разработчик должен проконсультировать владельца, если видит, что таких условий нет.

7. Логирование и хранение согласий

Реализовать механизм фиксирования полученных согласий пользователей. Например, при отправке каждой формы сохранять в базе данных отметку о том, что пользователь согласился с обработкой ПДн (признак установленного чекбокса), вместе с временем и данными пользователя. Либо вести отдельный журнал (лог-файл) с записями вида: «[Дата, время] получено согласие пользователя (email/IP или иное) на обработку его данных». Эти логи пригодятся в случае проверки, чтобы доказать факт получения согласия. Хранить их следует не менее срока, пока действует согласие или идет обработка данных.

8. Техническая защита и безопасность

Выполнить необходимые настройки для защиты персональных данных на уровне сайта и сервера. Обязательно подключить SSL-сертификат и обеспечить работу сайта по HTTPS (шифрование каналов связи). Настроить на сервере средства защиты: актуальное антивирусное ПО, межсетевой экран (firewall) для ограничения несанкционированных подключений, системы обнаружения вторжений (по необходимости). Ограничить доступ к персональным данным: например, закрыть доступ к административной панели и БД по внешним адресам, использовать VPN для администрирования, раздать уникальные логины и пароли ответственным лицам. Реализовать регулярное резервное копирование базы данных с персональными данными и хранить бэкапы в безопасном месте. Также убедиться, что на сайте отключены или защищены потенциально уязвимые функции (например, ограничить количество попыток входа, обновить устаревшие библиотеки).

Соблюдение требований Федерального закона № 152-ФЗ – не просто бюрократическая обязанность, а залог доверия пользователей к вашему сайту. Прозрачное информирование о том, как вы обращаетесь с данными, и выполнение необходимых мер защиты помогают избежать проблем с надзорными органами и повысить репутацию вашего ресурса. Выполнив описанные шаги и используя предложенные шаблоны документов, владельцы сайтов (будь то крупная компания или индивидуальный предприниматель) смогут вести свой интернет-бизнес в правовом поле, защищая данные клиентов и свой бизнес от штрафов и санкций.

Как комплексное digital-агентство мы в Bquadro можем предложить услуги по технической поддержке вашего сайта, обеспечивающей выполнение необходимых шагов для того, чтобы сайт соответствовал нормам и рекомендациям.

Мы в Телеграм: bquadro_agency

#персональныеданные #формынасайте #фз152 #пдн