Первый экран: как не получить штраф

Изображение: recraft

Владельцы бизнеса привыкли думать, что главные риски в работе с персональными данными скрываются в масштабных IT-системах и CRM, где накапливаются массивы клиентских профилей.

Однако в реальности все обстоит иначе: сегодня контролирующие органы все чаще обращают внимание на «первый экран» сайта — те самые формы подписки, баннеры и cookie-файлы, которые видит посетитель сразу при заходе. Ошибки здесь стоят дорого: штрафы достигают миллионов рублей, а репутационные издержки еще выше.

До 2030 года действует мораторий на проверки Роскомнадзора, и часто владельцы бизнеса считают, что можно не торопиться с исправлениями сайта и внутренних документов. Однако, даже когда действует мораторий, РКН может проверить сайт без взаимодействия с оператором. Сейчас РКН использует автоматизированные системы для проверки сайтов, поэтому количество подобных проверок увеличилось.

Так, проверка сайта может проходить без уведомления оператора, поэтому важно подготовить документы на сайте и проверить их на соответствие 152-ФЗ.

Политика обработки ПДн

Политика не является правовым основанием для обработки ПДн по смыслу ст. 6 152-ФЗ. При этом на каждой странице сайта, где происходит сбор ПДн, оператор обязан обеспечить наличие ссылки на Политику конфиденциальности (в силу ч. 2 ст. 18.1 152-ФЗ).

Совет: рекомендуем размещать ссылки на Политику и под каждой формой сбора, и в футере сайта.

В соответствии с п. 2 ч. 1 ст. 18.1 152-ФЗ в Политике конфиденциальности должны быть отражены для каждой цели обработки персональных данных:

• категории и перечень обрабатываемых персональных данных,
• категории субъектов, персональные данные которых обрабатываются,
• способы, сроки их обработки и хранения,
• порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований,
• а также процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Важно, чтобы политика была доступна на каждой странице сайта, где происходит сбор ПДн. Обычно политика размещена в футере сайта, также можно разместить гиперссылку на политику рядом с формами сбора ПДн.

Если сайт предполагает регистрацию, и ПДн пользователя собираются до начала регистрации, важно, чтобы политика была доступна свободно, без регистрации, например.

Ошибки бизнеса:

1. Политика скопирована у другого оператора и не отражает реальную деятельность.
2. Документ размещен только в личном кабинете, но не в открытом доступе.
3. Политика устарела. Например, указаны старые реквизиты компании и процессы, которых нет.

Почему cookie — ПДн

На сайте должен быть cookie-баннер, это является согласием на обработку cookies.

Файлы cookie относятся к персональным данным исходя из толкования ч. 1 ст. 3 ФЗ–152, потому что определяют субъекта, который заходит на сайт и совершает определенные действия. Cookie запоминают эти действия, составляя портрет пользователя, отделяя его от других.

РКН рекомендует размещать cookie-баннер на сайте, т.к. отсутствие баннера может быть признано нарушением, как, например, прямо пишет РКН в результатах проверки: «Осуществление сбора метрических данных в отсутствие информирования пользователей об использовании файлов-cookies и согласия пользователя».

В судебных решениях cookies упоминаются как ПДн, т.е. судебная практика подтверждает это толкование:

• Решение Таганского районного суда города Москвы от 15.10.2024 г. по делу № 12-559/2024
• Постановление Мирового судьи судебного участка № 422 Таганского района г. Москвы по делу № 5-0034/422/2025
• Постановление Мирового судьи судебного участка № 374 Таганского района г. Москвы по делу № 5-1179/422/2023
• Постановление Мирового судьи судебного участка № 374 Таганского района г. Москвы по делу № 5-1178/422/2023
• Решение Таганского районного суда г. Москвы от 19.12.2018 по делу № 02–4261/2018
• Определение Московского городского суда от 10.11.2016 по делу № 33–38783/2016
• Постановление Мирового судьи судебного участка № 422 Таганского района г. Москвы по делу № 5–1297/422/2022;
• Постановление Мирового судьи судебного участка № 422 Таганского района г. Москвы по делу № 5–1134/422/2022
• Постановление Мирового судьи судебного участка № 422 Таганского района г. Москвы по делу № 05–1343/422/2022

Стандартная формулировка:

«На нашем сайте используются cookie–файлы, в том числе сервисов веб–аналитики. Используя сайт, вы соглашаетесь на обработку персональных данных при помощи cookie–файлов. Подробнее об обработке персональных данных вы можете узнать в Политике конфиденциальности».

Ссылка на политику должна быть кликабельной.

Как оформить баннер правильно:

• Баннер должен быть виден сразу при заходе на сайт;
• Ссылка на политику должна быть кликабельной.

Локализация

Согласно ч. 5 ст. 18 152-ФЗ, оператор обязан обеспечить запись, систематизацию, накопление, хранение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.

Иными словами, если оператор собирает персональные данные россиян, сервер для их первичного хранения должен находиться в России.

Рекомендуем использовать российские аналоги для аналитики поведения пользователей. Однако в недавних ответах на запросы РКН отмечалось, что не запрещается использование GA при условии уведомления о трансграничной передаче и получении согласия пользователя.

Важно: сервер GA находится в США. Эта страна не относится к странам, обеспечивающим адекватную защиту ПДн.

Это значит, что при подаче уведомления о трансграничной передаче необходим особый порядок проведения оценки: оператор обязан проанализировать правовую базу страны на предмет наличия правовых норм, и подождать 10 рабочих дней после подачи уведомления. Роскомнадзор может ограничить или запретить передачу.

Как это связано с cookie

Если cookie собираются с помощью зарубежных сервисов аналитики, например, Google Analytics и других, то данные пользователей первично собираются на серверах за пределами РФ. Это и есть нарушение требования о локализации.

Ответственность

За нарушение локализации предусмотрены большие санкции:

• Административный штраф до 6 млн рублей за первичное нарушение (ч. 8 ст. 13.11 КоАП РФ),
• До 18 млн рублей — за повторное нарушение (ч. 9 ст. 13.11 КоАП РФ).

Как определить, что происходит трансграничная передача

Субъекты ПДн в ИСПДн

Ситуация: Предоставление доступа к ИСПДн иностранным лицам. Даже если основная база данных находится в России, передача персональных данных сотрудникам иностранной компании или государственным органам другой страны для обработки, контроля или аналитики считается трансграничной. Здесь также требуется уведомление РКН и анализ правовой базы принимающей страны на предмет адекватной защиты ПДн.

Организация командирования и обучения работников

Ситуация: Оформление билетов, бронирование мест проживания для отправки в командировку и обучения работников.
Если оператор использует иностранные онлайн-сервисы для бронирования билетов, отелей или учебных платформ, персональные данные работников автоматически передаются за границу. В таких случаях необходимо обеспечить согласие сотрудников на трансграничную передачу.

Посетители сайта

Ситуация: Использование на сайте зарубежных метрических программ, например, Google Analytics.
Данные о посетителях сайта (поведение, клики, геолокация) первично собираются на серверах за пределами РФ. Оператор обязан уведомить РКН, указать в СОПД наличие трансграничной передачи ПДн пользователей.

Формы на сайте

Каждая форма обратной связи, подписки или заявки на сайте должна содержать:

• Ссылку на политику конфиденциальности;
• Отдельное согласие на обработку персональных данных.

Например, для формы обратной связи может быть предусмотрен такой текст: «Отправляя письмо на электронный адрес, я даю согласие на обработку персональных данных. Также подтверждаю, что ознакомлен с политикой обработки персональных данных.»

Для формы подписки на email-рассылку нужно добавить чек-бокс, который нажимает пользователь, соглашаясь получать рекламные рассылки на электронную почту. Это важно, потому что заранее проставлять галочку в согласии на рекламу нельзя.

Ответственность за нарушения

Незаконная обработка персональных данных (в т.ч. cookie без согласия)
ч. 1 ст. 13.11 КоАП РФ:

• для граждан — от 10 000 до 15 000 рублей;
• для должностных лиц — от 50 000 до 100 000 рублей;
• для юридических лиц — от 150 000 до 300 000 рублей.

Нарушение требований к опубликованию политики обработки персональных данных
ч. 3 ст. 13.11 КоАП РФ:

• для граждан — от 1 500 до 3 000 рублей;
• для должностных лиц — от 6 000 до 12 000 рублей;
• для индивидуальных предпринимателей — от 10 000 до 20 000 рублей;
• для юридических лиц — от 30 000 до 60 000 рублей.

Нарушение требования о локализации персональных данных 
ч. 8 ст. 13.11 КоАП РФ:

• для граждан — от 30 000 до 50 000 рублей;
• для должностных лиц — от 100 000 до 200 000 рублей;
• для юридических лиц — от 1 млн до 6 млн рублей.

Нарушение требования о локализации персональных данных (повторное)
ч. 9 ст. 13.11 КоАП РФ:

• для граждан — от 50 000 до 100 000 рублей;
• для должностных лиц — от 500 000 до 800 000 рублей;
• для юридических лиц — от 6 млн до 18 млн рублей.

Что сделать, чтобы минимизировать риски

Аудит сайта

1. Проверить все формы и наличие обязательных согласий;
2. Убедиться в наличии кликабельных ссылок на политику.

Обновление документов

1. Актуализировать политику конфиденциальности;
2. Внести реальные цели и перечень обрабатываемых ПДн.

Техническая доработка

1. Создать или скорректировать чек-боксы согласий для рекламных рассылок;
2. Убрать баннер из футера и разместить его в зоне видимости пользователя;
3. Обеспечить свободный доступ к политике до регистрации или заполнения форм.

Внутренний контроль

1. Назначить ответственного за обработку и публикацию документов (часто это юрист или комплаенс-специалист);
2. Обновлять политику и согласия при изменении процессов обработки.

Локализация и трансграничная передача

1. Проверить, где физически хранятся данные, собираемые сайтом;
2. Отказаться от зарубежных сервисов аналитики и CRM, если данные пользователей изначально уходят за границу;
3. В документах отразить порядок трансграничной передачи и наличие согласия пользователей, если необходимо
4. Подать уведомление о трансграничной передаче в РКН.

Важно: согласно позиции РКН, хранить ПДн за пределами РФ нельзя, т.е. база данных с ПДн пользователей, клиентов или иных субъектов ПДн должна находиться в России.

Заключение

Ошибки на сайте — это вопрос стратегической устойчивости бизнеса.
Проверка персональных данных начинается не с серверов и не с массивов клиентских профилей, а с того, что видит посетитель при первом заходе: баннер, форма и политика. Именно здесь компании получают первые предписания и штрафы.

Добавим к этому еще один фактор — локализацию персональных данных. Даже идеально оформленный сайт рискует оказаться в зоне блокировки, если данные первично собираются за пределами РФ (например, через Google Analytics).

Простые шаги — корректный cookie-баннер, актуальная политика, грамотно оформленные формы и контроль локализации — позволяют закрыть до 80% рисков и демонстрируют клиентам ответственное отношение к их данным.

Для бизнеса это означает не только снижение юридических угроз, но и рост доверия со стороны клиентов и партнеров, а также гарантированную возможность работать на российском рынке без риска блокировки.

Оригинал публикации на сайте CISOCLUB: "Форма на сайте, куки и политика: за что можно получить штраф уже на первом экране".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.