Ситуация
Компания по строительству домов и бань на Дальнем Востоке использует сайт как презентационную площадку.
На сайте размещены:
- каталог проектов и отзывы;
- форма обратной связи (например, «Оставьте заявку» или «Задать вопрос»);
- краткая, шаблонная политика конфиденциальности в подвале (футере).
Посещаемость сайта — менее 400 человек в месяц. Рекламные кампании не ведутся.
Опасное заблуждение
Владельцы сайта уверены, что в их случае нет необходимости в соблюдении всех требований 152-ФЗ. «Кому мы нужны, нас никто не проверит», — считают собственники.
Что говорит закон
Согласно Федеральному закону №152-ФЗ «О персональных данных», обработка персональных данных допускается только при соблюдении ряда условий. Вне зависимости от целей и объёма трафика:
1️. Обработка персональных данных (ПНд) подразумевает, что пользователь вводит имя, телефон, e-mail или иные данные в форму. Даже если эти данные не сохраняются (ст. 3, п. 3 152-ФЗ).
2️. Согласие субъекта данных должно быть оформлено надлежащим образом:
до момента отправки формы;
явно выражено (галочка, чекбокс);
содержать ссылку на полную политику (ст. 6 и ст. 9 152-ФЗ, Постановление Правительства №687).
3️. Политика конфиденциальности должна быть:
доступной с каждой страницы сайта;
полной (с указанием всех категорий ПДн, способов и сроков обработки, прав субъекта);
актуальной и оформленной в соответствии с требованиями Роскомнадзора.
Какие риски грозят собственнику?
- Даже при небольшой посещаемости сайта, обычно выявляются следующие нарушения:
- Отсутствие чёткого согласия пользователя на обработку данных перед отправкой формы;
- Формальная политика, не отражающая реальные процессы обработки в данной компании (например, не указаны цели, сроки хранения, оператор, меры защиты)
- Не указаны цели обработки, сроки хранения, права пользователей, сведения об операторе и мерах защиты информации.
Отдельный риск -необоснованная уверенность собственников в том, что «никто не проверит». Ведь в случае жалобы пользователя, утечки данных, случайной публикации e-mail адреса или даже в ходе плановой проверки — ответственность будет полной.
Размеры штрафов
- Отсутствие политики конфиденциальности (13.11 ч. 1), штраф до 150 000 ₽
- Обработка ПДн без согласия (13.11 ч. 2 и 3), штраф 150 000 ₽ — 300 000 ₽ за каждый эпизод.
Прецеденты уже есть: сайты с 100–200 посетителями в месяц привлекались к ответственности, особенно если нарушение очевидно (например, нет согласия перед формой или политика написана «для галочки»).
Что делать собственнику?
1️. Обновить политику конфиденциальности:
Указать цели, способы и сроки хранения, третьих лиц, права пользователя.
Сделать документ доступным и понятным.
2️. Добавить чекбокс согласия с политикой перед отправкой формы. Без этого данные собирать нельзя.
3️. Провести внутреннюю проверку. Выяснить, где именно данные собираются, хранятся ли, кто имеет к ним доступ и как они защищаются.
4️. Оценить правомерность формулировок в форме. Например, если там есть фразы типа: «оставьте телефон — мы вам перезвоним» — это явный сбор ПДн.
Важно помнить
Даже при имиджевом использовании сайта, приём персональных данных через формы требует соблюдения всех требований законодательства. Посещаемость, трафик, отсутствие рекламы — не освобождают от ответственности. Правильное оформление политики и получения согласия — это минимум, который нужно реализовать, чтобы не попасть под штраф или предписание. Особенно сейчас, когда контроль в сфере персональных данных усиливается, а размеры штрафов значительно выросли.
Проверить сайт можно здесь: https://vzakone.site/ekspress-audit-sajta/
Проверка занимает около минуты.
По вопросам можно написать: @RelationMarketing — поможем разобраться в требованиях закона и оценить возможные риски для вашего сайта.
