Многие компании, особенно в сфере малоэтажного строительства, используют сайт скорее как витрину — для демонстрации проектов, размещения отзывов и общей информации. Часто трафик на таких сайтах невелик, и владельцы считают, что риски с точки зрения законодательства о персональных данных их почти не касаются. Но даже имиджевый сайт с формой обратной связи подпадает под действие закона, и игнорировать это — опасная иллюзия.
Имиджевый сайт строительной компании с формальной политикой конфиденциальности
Суть ситуации
Компания по строительству домов и бань на Дальнем Востоке использует сайт как презентационную площадку. На сайте:
- есть каталог проектов и отзывы,
- установлена форма обратной связи (например, «Оставьте заявку» или «Задать вопрос»),
- в подвале (футере) размещена краткая, шаблонная политика конфиденциальности.
Посещаемость сайта — менее 400 человек в месяц. Рекламные кампании не ведутся. Владельцы сайта убеждены, что в их случае нет необходимости в соблюдении всех требований 152-ФЗ, так как «нас никто не проверит».
Что говорит закон
Согласно Федеральному закону №152-ФЗ «О персональных данных», обработка персональных данных допускается только при соблюдении ряда условий. Вне зависимости от целей и объёма трафика:
- Обработка персональных данных — это уже сам факт, что пользователь вводит имя, телефон, email или иные данные в форму. Даже если это не сохраняется — это уже «обработка» (ст. 3, п. 3 152-ФЗ).
- Согласие субъекта данных должно быть оформлено надлежащим образом:
- до момента отправки формы,
- явно выражено (галочка, чекбокс),
- содержать ссылку на полную политику (ст. 6 и ст. 9 152-ФЗ, Постановление Правительства №687).
- Политика конфиденциальности должна быть:
- доступной с каждой страницы сайта,
- полной (с указанием всех категорий ПДн, способов и сроков обработки, прав субъекта),
- актуальной и оформленной в соответствии с требованиями Роскомнадзора.
Что считается нарушением
Даже при небольшой посещаемости, выявляются следующие потенциальные нарушения:
- Отсутствие чёткого согласия пользователя на обработку данных перед отправкой формы.
- Формальная политика, не отражающая реальные процессы обработки (например, не указаны цели, сроки хранения, оператор, меры защиты).
- Необоснованная самоуверенность в том, что «никто не проверит» — в случае жалобы пользователя, утечки данных, случайной публикации email-адреса или даже в ходе плановой проверки — ответственность будет полной.
Прецеденты уже есть: сайты с 100–200 посетителями в месяц привлекались к ответственности, особенно если нарушение очевидно (например, нет согласия перед формой или политика написана «для галочки»).
Варианты действий владельца сайта
- Обновить политику конфиденциальности:
- Указать цели, способы и сроки хранения, третьих лиц, права пользователя.
- Сделать документ доступным и понятным.
- Добавить чекбокс согласия с политикой перед отправкой формы. Без этого данные собирать нельзя.
- Провести внутреннюю проверку, где именно данные собираются, хранятся ли, кто имеет к ним доступ и как они защищаются.
- Оценить правомерность формулировок в форме, если там есть фразы типа «оставьте телефон — мы вам перезвоним» — это явный сбор ПДн.
Выводы
Даже при имиджевом использовании сайта, приём персональных данных через формы требует соблюдения всех требований законодательства. Посещаемость, трафик, отсутствие рекламы — не освобождают от ответственности. Правильное оформление политики и получения согласия — это минимум, который нужно реализовать, чтобы не попасть под штраф или предписание. Особенно сейчас, когда с 30 мая 2025 года вступают в силу изменения, усиливающие контроль и увеличивающие штрафы.
