Кто такой оператор персональных данных — и как понять, что это вы
Оператор персональных данных — это не только крупная компания с отделом безопасности. Согласно 152-ФЗ, оператором считается любой, кто организует обработку персональных данных, то есть собирает, хранит, использует, систематизирует, передаёт или иным образом взаимодействует с ПДн — даже через простую форму заявки на сайте.
Вы — оператор, если:
✔️ на вашем сайте есть форма обратной связи, заказа, бронирования или подписки;
✔️ вы принимаете оплату онлайн и собираете данные покупателей;
✔️ вы ведёте рассылку по email или в мессенджерах;
✔️ вы используете системы аналитики — Яндекс. Метрика, Google Analytics, Facebook Pixel и др. — они собирают IP-адреса, cookie-файлы и технические данные, которые тоже считаются персональными;
✔️ вы работаете с CRM, где хранятся данные клиентов;
✔️ вы принимаете анкетные или резюме через сайт.
Это касается даже фрилансеров и индивидуальных специалистов, в том числе тех, кто использует только форму обратной связи или CRM, которые собирают минимум данных — например, только имя и телефон
Важно: Вопрос о том, относится ли IP-адрес к персональным данным, в России остаётся спорным. Суды выносят разные решения в зависимости от контекста: одни признают IP персональными данными, другие — нет. Однако Роскомнадзор придерживается позиции, что IP-адрес — это потенциально идентифицирующая информация.
Новые требования Роскомнадзора с 30 мая 2025 года
С 30 мая 2025 года в России начинают действовать новые требования к сайтам, которые собирают и обрабатывают персональные данные пользователей. Это касается не только крупных компаний, но и малого бизнеса, ИП и специалистов, у которых есть сайт с формой заявки.
Главное, что стоит знать:
✔️ Требования Роскомнадзора стали строже, а за нарушения теперь могут назначаться более серьёзные штрафы;
✔️ Даже одностраничный сайт с формой или аналитикой подпадает под действие закона;
✔️ Документы «для галочки» больше не помогут — политика конфиденциальности, пользовательское соглашение и форма согласия должны отражать реальный способ сбора и обработки данных;
✔️ Рекомендуется не только привести сайт в порядок, но и подать уведомление в Роскомнадзор, если вы действительно обрабатываете персональные данные.
Обязательные документы и элементы на сайте оператора
Если вы собираете на сайте персональные данные (например, имя, номер телефона, e-mail или IP-адрес), необходимо разместить обязательные документы и элементы, которые подтверждают, что пользователь проинформирован и дал согласие на обработку данных.
Что должно быть обязательно:
✔️ Политика конфиденциальности
✔️ Пользовательское соглашение
✔️ Уведомление об использовании cookie
✔️ Чекбокс согласия во всех формах
✔️ Публичная оферта
Что должно быть в политике конфиденциальности
Политика конфиденциальности — обязательный документ для всех сайтов, на которых собираются персональные данные пользователей: имя, email, номер телефона, IP-адрес, cookies и другие технические данные. Этот документ показывает, как вы обращаетесь с такими данными, и подтверждает, что вы соблюдаете требования законодательства.
Что обязан указать оператор в политике
1. Информация об операторе
Укажите, кто отвечает за обработку персональных данных:
✔️ полное наименование (ИП / юрлицо) или ФИО (для физлиц);
✔️ ИНН (если есть), контактный e-mail, телефон;
✔️ адрес (юридический или фактический, хотя бы город и страна).
2. Перечень обрабатываемых данных
Чётко перечислите, какие данные вы собираете:
✔️ имя, email, номер телефона;
✔️ IP-адрес, cookie-файлы;
✔️ данные о браузере, устройстве, действиях на сайте (если используете аналитику).
3. Цели сбора и обработки данных
Опишите, зачем вы собираете данные. Чаще всего:
✔️ для связи с пользователем,
✔️ для обработки заказов,
✔️ для отправки информации или рассылок (если применимо),
✔️ для аналитики и улучшения работы сайта.
4. Правовое основание обработки
Как правило, это добровольное согласие пользователя, полученное через чекбокс в форме. В ряде случаев может быть предусмотрено иное основание (например, исполнение договора).
5. Способы обработки и хранения данных
✔️ Обработка может быть автоматизированной или без использования автоматизации.
✔️ Укажите, где хранятся данные (например, в CRM, на хостинге) и срок хранения.
✔️ Можно обозначить, что по истечении срока данные удаляются или обезличиваются.
6. Передача данных третьим лицам
Если вы используете сторонние сервисы (CRM, платёжные системы, email-рассылки, аналитику), это необходимо отразить. Обязательно уточните, что передача данных осуществляется только в рамках целей, указанных в политике.
7. Права пользователя
Опишите, какие права имеет субъект персональных данных:
✔️ получить сведения о своих данных;
✔️ потребовать их изменить, уточнить или удалить;
✔️ отозвать согласие на обработку.
8. Контакты для обращений
Укажите электронную почту или иную форму связи, по которой пользователь может направить запрос, жалобу или отзыв согласия.
9. Условия изменения политики
Добавьте, что вы имеете право вносить изменения в политику и что актуальная версия всегда доступна по постоянной ссылке на сайте.
Что должно быть в пользовательском соглашении
Пользовательское соглашение — это обязательный документ для сайтов, которые собирают данные, взаимодействуют с пользователями или публикуют контент. Его наличие требуется, если на сайте есть формы, подключена аналитика, ведётся обратная связь, работает личный кабинет или осуществляется онлайн-оплата.
Что включить в пользовательское соглашение:
1. Общие положения
Укажите, кто является владельцем сайта, и для чего он предназначен.
Например: «Настоящее пользовательское соглашение устанавливает условия использования сайта [вашдомен.ru]. Используя сайт, пользователь подтверждает своё согласие с настоящими условиями.»
2. Термины и определения
Можно включить раздел с основными терминами, чтобы избежать неоднозначностей. Например, кто такой «Пользователь», что такое «Администрация сайта», что входит в понятие «Контента» и т. Д.
3. Права и обязанности сторон
Опишите, что вы предоставляете пользователю (доступ к информации, возможность оставить заявку и т. п.) и что пользователь обязуется:
✔️ предоставлять достоверные данные;
✔️ не использовать сайт для незаконных действий;
✔️ не вмешиваться в работу сайта технически или иным способом.
4. Ограничение ответственности
Укажите, что вы не несёте ответственность за:
✔️ сбои в работе сайта;
✔️ действия третьих лиц (например, хостинга или платёжных систем);
✔️ достоверность информации, введённой пользователями.
5. Персональные данные
Сделайте ссылку на политику конфиденциальности и укажите, что, используя сайт, пользователь соглашается с её условиями.
6. Интеллектуальная собственность
Если на сайте размещён оригинальный контент — тексты, изображения, видео и т. п. — необходимо прописать, что эти материалы охраняются законом, и их нельзя использовать без согласия правообладателя.
7. Изменения условий соглашения
Уточните, что вы можете вносить изменения в текст соглашения, и что актуальная версия всегда доступна на сайте. Можно указать, что продолжение использования сайта означает согласие с новой редакцией.
8. Прочие условия
При необходимости добавьте информацию о применимом праве (например, законодательство РФ) и порядке разрешения споров.
Что должно быть в уведомлении о cookie-файлах
Практически каждый сайт автоматически собирает определённые данные о посетителе — от cookie-файлов и IP-адресов до информации о браузере, операционной системе и действиях на странице. Это происходит даже без подключения аналитики — за счёт работы CMS, форм, технических скриптов и встроенных сервисов.
Какие элементы должны быть:
1. Уведомление при первом заходе на сайт
На сайте должно появляться сообщение (баннер или всплывающее окно), в котором указано:
✔️ что вы используете cookie-файлы и аналогичные технологии;
✔️ с какой целью (например, для улучшения работы сайта, аналитики, персонализации);
✔️ что пользователь может подробнее ознакомиться с условиями в политике конфиденциальности или отдельной cookie-политике;
✔️ что продолжение использования сайта означает согласие с условиями.
Пример корректной формулировки: «Мы используем cookie-файлы для улучшения работы сайта и анализа поведения пользователей. Продолжая пользоваться сайтом, вы соглашаетесь на использование cookie.. Подробнее — в [политике конфиденциальности].»
2. Ссылка на политику
В уведомлении должна быть ссылка на подробную информацию — это может быть отдельная cookie-политика или раздел в политике конфиденциальности. Пользователь должен иметь возможность узнать, какие данные собираются, зачем и как долго хранятся.
3. Явное подтверждение (желательно)
На многих сайтах реализуется кнопка «Принять» — с её помощью пользователь подтверждает согласие. Это считается более корректным, чем просто продолжение использования сайта, особенно если вы используете рекламные или маркетинговые инструменты.
4. Поведение до согласия
Если вы используете инструменты, собирающие персональные данные (например, рекламные пиксели, социальные виджеты), желательно, чтобы они активировались только после согласия пользователя. Это подход, который всё чаще используется как стандарт добросовестного сбора данных.
Как правильно оформить согласие на обработку персональных данных в формах
Если на сайте есть формы, через которые пользователь может оставить свои данные — заявку, обратную связь, заказ, подписку, комментарий и т. п., — в каждой такой форме должно быть получено согласие на обработку персональных данных.
Что должно быть обязательно:
1. Отдельный чекбокс согласия
Внизу формы разместите чекбокс с формулировкой вроде: «Я даю согласие на обработку персональных данных в соответствии с [Политикой конфиденциальности]».
2. Чекбокс должен быть неактивным по умолчанию
✔️ Пользователь должен самостоятельно поставить галочку — это ключевое условие.
✔️ Автоматически отмеченный чекбокс считается недействительным согласием.
3. Форма не должна отправляться без согласия
Технически запретите отправку формы, если чекбокс не проставлен. Это не только юридическое требование, но и базовая защита от недобросовестных претензий.
4. Согласие должно быть информированным
Если вы собираете данные не только для обратной связи, но и, например, для рассылки или передачи в CRM — лучше это также указать. Например: «Я даю согласие на обработку персональных данных и получение информационных писем от компании…»
Что должно быть в публичной оферте
Публичная оферта — это юридически значимый документ, который регулирует условия продажи товаров или оказания услуг через сайт. В отличие от индивидуального договора, оферта оформляется в виде открытого предложения, с которым пользователь соглашается в момент оплаты. Такой формат используется в интернет-магазинах, онлайн-сервисах, при продаже цифровых продуктов и консультаций.
Что должна содержать оферта:
1. Информация о продавце
✔️ Наименование юридического лица или ИП;
✔️ ИНН, ОГРН (если есть), юридический адрес;
✔️ Контактные данные: телефон, e-mail.
2. Предмет оферты
Чёткое указание на то, что именно вы предлагаете:
✔️ описание товаров, услуг, онлайн-курсов, консультаций и пр.;
✔️ ссылка на страницу с актуальными условиями или каталогом (если применимо).
3. Порядок оформления и оплаты
✔️ Как пользователь может сделать заказ и каким образом происходит оплата;
✔️ Момент, с которого заказ считается принятым к исполнению.
4. Условия возврата
✔️ Варианты и порядок возврата денежных средств (в соответствии с законом о защите прав потребителей);
✔️ контакт для направления претензий.
5. Ответственность сторон
✔️ За что отвечает продавец (например, своевременное оказание услуги);
✔️ ответственность покупателя за достоверность данных и корректность действий на сайте.
6. Прочие положения
✔️ Возможность вносить изменения в условия оферты;
✔️ применимое законодательство (например, РФ);
✔️ способ разрешения споров.
7. Порядок предоставления услуги или доставки товара
✔️ Способы и сроки предоставления доступа, выполнения работы или отправки товара;
✔️ Условия отмены или переноса сроков.
Трансграничная передача персональных данных: что важно знать
Если на вашем сайте используются иностранные сервисы — такие как Google Analytics, Facebook Pixel, Telegram, зарубежные CRM или платёжные платформы, — это означает, что персональные данные пользователей могут передаваться за пределы Российской Федерации. Такая передача называется трансграничной и требует соблюдения дополнительных требований законодательства.
Даже если вы собираете только имя и e-mail, но используете сервисы, работающие на иностранных серверах, вы обязаны об этом прямо уведомить пользователя и указать факт трансграничной передачи данных в политике конфиденциальности и уведомлении в Роскомнадзор.
ЧТО НУЖНО УЧЕCТЬ:
1. Указание в политике конфиденциальности
В документе необходимо прямо сообщить, что персональные данные могут передаваться на серверы за пределами РФ — с указанием наименований сервисов (если возможно) и стран, в которых они находятся.
Если страна не входит в официальный перечень стран с адекватной защитой (по версии Роскомнадзора), такая передача возможна только с согласия пользователя, либо на основании международного договора.
2. Указание при подаче уведомления в Роскомнадзор
Если вы направляете уведомление о начале обработки персональных данных, в нём также должен быть отражён факт трансграничной передачи. Необходимо указать, в какие именно страны передаются данные, и по какому правовому основанию.
3. Tilda, amoCRM, ЮKassa и другие популярные сервисы
Важно понимать, что, например:
✔️ Tilda — российская платформа. Использование базового функционала Tilda не является трансграничной передачей.
✔️ Telegram — официально зарегистрирован в ОАЭ, используется для коммуникации — и при передаче данных через бота или форму нужно учитывать трансграничный характер.
✔️ Google, Facebook, Stripe, Notion, Mailchimp и др. — это иностранные сервисы, и при их использовании передача данных за границу считается трансграничной.
Внутренние документы оператора персональных данных: что нужно иметь
Помимо документов, размещённых на сайте (политики, соглашения, оферты и т. п.), оператор персональных данных обязан иметь внутренние регламенты, которые подтверждают, что вы действительно соблюдаете требования закона и контролируете процессы обработки ПДн.
Базовый комплект внутренних документов:
- Положение о порядке обработки персональных данных
- Положение об обращениях субъектов персональных данных
- Положение о мерах по обеспечению безопасности персональных данных
- Приказ о назначении ответственного за организацию обработки персональных данных
- Приказ об утверждении политики обработки персональных данных
- Должностная инструкция ответственного за организацию обработки ПДн
- Согласие клиента на обработку персональных данных (в письменной форме)
Если у вас есть сотрудники — список документов расширяется: добавляются согласия работников, положение о защите персональных данных персонала, журнал ознакомления и др.
Как подать уведомление в Роскомнадзор: пошаговая инструкция
Если вы собираете персональные данные — например, через формы на сайте, мессенджеры, CRM или email-рассылки — вы официально считаетесь оператором персональных данных. А значит, обязаны подать уведомление в Роскомнадзор.
Где подать уведомление
Подать уведомление можно через официальный сервис Роскомнадзора.
Он доступен по ссылке: pd.rkn.gov.ru/operators-registry/notification/form/
Форма онлайн, но для её отправки есть три варианта — в зависимости от того, как именно вы хотите (или можете) подтвердить свою личность:
✔️ Через ЕСИА (Госуслуги)
✔️ Через усиленную квалифицированную электронную подпись (УКЭП)
✔️ В бумажном виде
Чеклист: соответствует ли ваш сайт требованиям Роскомнадзора
Документы и уведомление:
✔️ Есть Политика конфиденциальности — оформлена, опубликована, содержит все обязательные разделы.
✔️ Есть Пользовательское соглашение — особенно важно для сайтов с формами, оплатой, личным кабинетом.
✔️ Есть Публичная оферта, если принимаете онлайн-оплату.
✔️ Подано уведомление в Роскомнадзор (если вы оператор ПДн).
✔️ Назначен ответственный за обработку ПДн, оформлен внутренний приказ.
✔️ Подготовлены внутренние документы (положение, журнал инцидентов и др.).
Формы и сбор данных:
✔️ Во всех формах есть чекбокс согласия на обработку ПДн.
✔️ Чекбокс не отмечен по умолчанию — пользователь сам ставит галочку.
✔️ Форма не отправляется без установленной галочки согласия.
✔️ Чётко указано, какие данные собираются, зачем, как хранятся и кто обрабатывает.
Cookie и аналитика:
✔️ Установлено уведомление о cookie (баннер).
✔️ В нём есть ссылка на политику, краткое объяснение и возможность согласия.
✔️ Если используются Яндекс. Метрика, Google Analytics и др. — они внесены в документы.
Оплата и личный кабинет:
✔️ Подключена публичная оферта (если есть онлайн-оплата).
✔️ В личном кабинете нет лишнего сбора данных.
✔️ Используется HTTPS (SSL-сертификат).
Читать больше полезной информации: https://sheina-studio.ru/blog