Хотелось бы поприветствовать всех не особо ждущих эту статью, но каким-либо образом тут оказавшихся читателей. Уже долгое время довольно популярной темой для обсуждения являются нововведения в сфере персональных данных.
Вашему покорному слуге в рамках нескольких последних проектов пришлось потратить уйму времени и изучить огромное количество материала, чтобы полноценно понять как же со всем этим быть. После пережитых мук и страданий я наконец решился выпустить мини-гайд на тему сайтов, персональных данных, их передачи и всего прочего.
Этот материал в первую очередь адресован владельцам сайтов, лендингов, онлайн-сервисов, а также Telegram-каналов и коммерческих ботов.
Начнем же вопроса о персональных данных, по сути, если у вас есть форма заявки, приём заказов, запись на консультацию или бот, который собирает контакты пользователей, вы уже работаете с персональными данными - даже если никогда не рассматривали свой проект с юридической точки зрения.
Регулирование в сфере персональных данных стало заметно жёстче. Усилился контроль, выросли штрафы, а главное - изменился сам подход к проверкам. Всё чаще они начинаются не с плановых мероприятий, а с обращений пользователей или клиентов, которые не нашли на сайте политику, не поняли, куда передаются их данные, или внезапно начали получать рекламу без явного согласия. То есть, мы оказываемся в ситуации, где один вовремя направленный кривенький и косенький донос подставляет нас под нехилый штраф.
Важно понимать, что персональные данные - это далеко не только паспорт, СНИЛС и всё тому подобное. К ним относятся любые сведения, позволяющие прямо или косвенно идентифицировать человека. Это может быть имя, фамилия, номер телефона, электронная почта, город проживания, возраст, а в ряде случаев и никнейм, если по нему можно установить конкретное лицо. Даже IP-адрес и cookies юридически относятся к персональным данным. Поэтому в реальности почти любой сайт или Telegram-бот так или иначе вовлечён в обработку персональных данных.
Базовый документ, с которого всё начинается и который должен быть у любого владельца сайта - это Политика обработки персональных данных. Она нужна всегда, когда данные собираются, и её отсутствие само по себе уже является нарушением.
При этом важно не просто «иметь файл на сайте», а чтобы политика соответствовала тому, что вы реально делаете. Формальный текст, скопированный из интернета, может сыграть злую шутку: если при проверке окажется, что фактическая обработка данных не совпадает с описанием, это уже рассматривается как отдельное нарушение, плюс, когда вы всё-таки разместили политику, её цели необходимо зарегистрировать в Роскомнадзоре именно с целями, которые преследуете именно Вы, но об этом попозже.
Саму Политику об обработке персональных данных вы можете разместить на одном из разделов сайта или сделать кликабельную ссылку с переходом на те же Яндекс.формы.
При этом важно различать разные сценарии работы сайта или бота. Если речь идёт исключительно о сборе технической информации (IP-адрес, данные браузера или устройства), отдельное согласие пользователя обычно не требуется, как правило, это все сайты без обратной формы сбора чего-либо. В этом случае обычно достаточно корректной политики.
Но как только на сайте или в боте появляются заявки, заказы, запись на услуги, и пользователь вводит имя, телефон, почту или другие сведения, ситуация принципиально меняется. Здесь уже необходимо явное согласие на обработку персональных данных, оформленное до отправки формы, в моем видении лучше сделать всплывающее окно с чек листом и галочками о согласии, формально это всё подходит под требования 152-ФЗ, так как такое согласие является добровольным и информативным, главное не ставить автопринятие этих пунктов.
Не так давно на эту тему вышло разъяснение, кому будет интересно почитайте в ФЗ-№152 и Роскомнадзора, а кому не интересно почитать – можете верить мне на слово.
Само Согласие представляет собой простенький документ, любой шаблон которого есть в интернете, Согласие является маркером ознакомления с вашими правилами обработки персональных данных. Если мы будет проводить аналогию, то это будет согласие с Пользовательским соглашением какого-либо ресурса только в части личных данных Пользователя.
Одной из последних работ было юридическое сопровождение такого сайта https://ladushkiclub.ru. На примере показано, что, как и где должно быть размещено, как выглядит Политика обработки персональных данных, Согласие и другие документы.
Теперь про Роскомнадзор, с юридической точки зрения логика простая: если вы обрабатываете персональные данные, вы оператор и обязаны подать уведомление до начала обработки.
Процедура подаётся онлайн и в большинстве случаев занимает не больше часа, но её отсутствие сегодня рассматривается как самостоятельное нарушение.
За обработку персональных данных без уведомления Роскомнадзора предусмотрен крупный штраф особенно если вы юр лицо. Для подачи уведомления в интернете есть типовые формы как для сайтов, так и для ботов, опять же, если кого-то это особо интересует этот вопрос, то можете обратиться по моим контактам ниже.
Далее, с Telegram-ботами ситуация во многом аналогична сайтам. Если бот используется для продаж, приёма заявок или сбора контактов, к нему применяются те же требования по документам, согласиям и регистрации в Роскомнадзоре. Однако здесь есть важный нюанс, который часто упускают.
Поскольку Telegram является иностранным сервисом, передача персональных данных через ботов в большинстве случаев квалифицируется как трансграничная передача данных, так как серверы, на которые вы как владелец Бота передаете данные находятся примерно в странах Западной Европы. Это означает необходимость подачи отдельного уведомления о трансграничной передаче. Формально процедура несложная и один в один схожа с подачей уведомления, о котором написано выше, но её отсутствие нередко становится основанием для претензий со стороны регулятора и дополнительной ответственности.
Одной из самых распространённых ошибок остаётся объединение согласия на обработку персональных данных и согласия на получение рекламы. Когда используется один чекбокс «на всё сразу», считается, что пользователь лишён возможности свободного выбора. Пользователь вправе согласиться на обработку данных для исполнения договора, но отказаться от рекламных рассылок. Подробнее можете почитать в ФЗ №156 от 24.06.2025 и разъяснениях к нему.
По теме персональных данных у меня всё, эта статья начало небольшого цикла о юридической подложке сайтов и всего им подобного.
Если у вас ещё остались какие-либо вопросы или вас интересует сотрудничество по оформлению вашего интернет-ресурса можно написать мне в Telegram @egorlawyerwp.