Как обработка персональных данных может стать зоной риска вашего сайта

Введение

Представьте ситуацию: у вас есть сайт с формой «Оставить заявку» или «Записаться онлайн». Кажется, мелочь, правда? Но с точки зрения закона вы уже оператор персональных данных. Да-да, даже если вы небольшой салон красоты, онлайн-школа или магазинчик на маркетплейсе.

А теперь внимание: даже если на вашем сайте нет никаких форм, вы все равно попадаете под закон. Почему? Потому что сам факт посещения сайта — это уже обработка персональных данных. Пользователь оставляет «цифровой след»: IP-адрес, cookies, технические данные о браузере и устройстве. И все это — тоже персональные данные.

То есть достаточно иметь простой сайт-визитку без заявок и корзины — и вы уже оператор ПДн. А значит, обязаны соблюдать 152-ФЗ, публиковать политику конфиденциальности, уведомлять Роскомнадзор и организовывать защиту данных.

Проблема в том, что большинство предпринимателей даже не задумываются об этом. Звучит знакомо? «Ну подумаешь, у нас пара страниц с описанием услуг, кому это интересно?» или «Мы же не банк, Роскомнадзор до нас не доберется». Ошибка. Закон одинаков для всех: от корпораций с тысячами клиентов до ИП с сайтом на бесплатном конструкторе.

Суть проста: если у вас есть сайт, вы уже в зоне риска. И чем раньше вы это осознаете, тем проще будет защитить себя и свой бизнес.

Основные риски для бизнеса

Окей, допустим, у вас сайт-визитка или пара Excel-таблиц с телефонами клиентов. Кажется, ерунда. Но давайте посмотрим, чем это может закончиться.

Штрафы, которые бьют по кошельку

С 2025 года штрафы выросли в разы. За отсутствие политики конфиденциальности на сайте можно получить десятки тысяч рублей. За работу без уведомления в Роскомнадзор — сотни тысяч. За утечку данных — миллионы. А если речь идет о массовой базе клиентов, счет идет на десятки миллионов. Для малого бизнеса это приговор.

Репутация, которую не купишь

Штраф можно оплатить, но попробуйте вернуть доверие клиентов обратно. Представьте заголовок в СМИ или в местной группе ВКонтакте: «Компания «К и О» слила данные клиентов». Все, вы попали в список «ненадежных». Клиенты начнут обходить вас стороной. Даже если реальная утечка была «пустяковой» например, кто-то потерял флешку с десятком контактов.

Личная ответственность

Еще один сюрприз: отвечать придется не только бизнесу, но и директору лично. Уголовная ответственность — это не страшилка, а реальность. И тут уже не получится сказать: «Я не знал». Закон трактует: обязан знать.

Самое страшное в этой картине: бизнес может рухнуть не из-за конкурентов или кризиса, а из-за одной неоформленной бумажки или забытого cookie-баннера.

Требования к сайтам: что проверить в первую очередь

Если у вас есть сайт — это первая точка, куда смотрит Роскомнадзор. Вот что проверяют в первую очередь:

1. Политика конфиденциальности — как паспорт сайта. Нет ее — вы уже нарушитель.

2. Пользовательское соглашение — если есть регистрация или личный кабинет.

3. Согласие через формы — чекбокс должен быть всегда и по инициативе пользователя, да-да, та самая галочка.

4. Cookie-баннер — с выбором категорий, а не только кнопкой «ОК», если она вообще есть.

5. Использование иностранных сервисов — Google Analytics, Facebook* Pixel (Facebook принадлежит корпорации Meta, деятельность которой признана экстремистской на территории РФ и запрещена) и проч.

6. Техническая защита — SSL, капча, шифрование баз.

Мини-чеклист:

• Политика конфиденциальности;
• Пользовательское соглашение;
• Чекбоксы в формах с активным действием посетителя сайта;
• Cookie-баннер;
• Российские сервисы;
• SSL и базовая защита.

Если хотя бы один пункт не закрыт, вы в зоне риска. Вопрос: когда вы в последний раз проверяли свой сайт?

Персональные данные сотрудников: правила для работодателя

Многие думают: «Ну ладно, сайт подправим. Но внутри компании-то все нормально». На деле именно из-за кадровых документов у организации, в том числе в качестве работодателя, могут быть проблемы, а иногда и вовсе связаны руки.

Какие данные можно собирать — паспорт, ИНН, дипломы, справки по медицине. Цели должны быть конкретны, ровно настолько, насколько это необходимо. То же касается перечня данных и срока их хранения.

Согласие работника — отдельный документ для фото на сайте, хранения резюме «на будущее», зарплатных проектов.

Локальные акты и приказы — Положение об обработке ПДн, приказ о назначении ответственного, политика безопасности. 

Хранение и уничтожение — резюме непринятых кандидатов должны уничтожаться, старые данные архивироваться. Нужны акты и журналы.

Человеческий фактор — пересылка паспортов в WhatsApp* (принадлежит корпорации Meta, деятельность которой признана экстремистской на территории РФ и запрещена) или флешки с базами может быть утечкой.

Административные обязанности оператора

1. Уведомление Роскомнадзора — обязаны быть в реестре операторов. 
2. Назначение ответственного — приказ и должностные обязанности. 
3. Хранение и уничтожение данных — нужны акты и журналы. 
4. Уведомления об утечках — 24 часа на сообщение, 72 часа на отчет. 
5. Трансграничная передача — без разрешения Роскомнадзора нельзя.

Как снизить риски: практические рекомендации

Хорошая новость: защититься от штрафов реально проще, чем кажется. Нужно всего лишь выстроить базовый порядок.

1. Разберитесь с документами — политика, согласия, положение об обработке ПДн.

2. Проверьте сайт — политика, чек-боксы, cookie-баннер, российские сервисы.

3. Подготовьте договоры с подрядчиками — иначе все риски на вас, при необходимости договору поручения на обработку ПДн.

4. Обучите сотрудников. Объясните, что можно, а что нельзя.

5. Сделайте «папку для проверки» — соберите все документы в одном месте. А раз в полгода-год можно и стресс-тест провести.

6. Проведите экспресс-проверку с ИИ — найдите дыры, не затратив на это много времени.

Персональные данные как актив бизнеса

Персональные данные — это не только риск, но и ресурс. Когда клиент оставляет телефон или e-mail, он доверяет вам кусочек своей жизни. Сохраните это доверие — и он вернется снова.

Работа с ПДн по закону = знак для рынка:

• Клиенты спокойнее оставляют заявки.
• Сотрудники уверены в безопасности.
• Партнеры и банки быстрее одобряют сделки.

Резюме: не ждите проверки. Действуйте заранее и спокойно занимайтесь бизнесом!