Как правильно работать с персональными данными на сайте: гайд для бизнеса, экспертов и веб-дизайнеров

Если у вас есть сайт, на котором клиент может оставить имя, номер телефона или email — вы уже работаете с персональными данными. И важно, чтобы вы делали это законно и безопасно — в интересах клиента, в рамках закона и без риска штрафов.Этот гайд — не формальность. Это забота о пользователе и о вашем бизнесе.

Что такое персональные данные?

Согласно Федеральному закону №152-ФЗ «О персональных данных», это любая информация, относящаяся к прямо или косвенно определяемому человеку.
Примеры:
  • ФИО, e-mail, номер телефона
  • Город, возраст, профессия
  • IP-адрес, история заказов, cookie-файлы
  • Трекинг из Яндекс.Метрики, Google Analytics
  • Адрес доставки, предпочтения клиента

Зачем вы собираете персональные данные?

Важно определить цели обработки данных ещё до начала сбора.
  • Возможные цели:чтобы клиент мог оставить заявку
  • для оформления и доставки заказа
  • для обратной связи
  • для отправки рассылки
  • для анализа поведения на сайте
  • для улучшения качества сервиса
🔸 Все цели должны быть указаны в политике обработки.
  • Если вы собираете данные "на всякий случай" — это нарушение закона.

Как оформить политику обработки

На сайте должна быть Публичная политика обработки персональных данных, доступная из любого раздела (чаще всего — в подвале сайта).
  • Что включить в политику:Перечень собираемых данных
  • Цели обработки
  • Правовое основание (согласие пользователя)
  • Кто и как обрабатывает данные
  • Срок хранения данных
  • Способы отзыва согласия
  • Контакты оператора
Важно: политика должна быть всегда доступна. Ссылка на неё — обязательна под каждой формой.

Чекбокс согласия

Под каждой формой на сайте, где вы собираете данные (обратный звонок, заявка, заказ), должен быть чекбокс согласия на обработку персональных данных.
Это обязательное требование закона №152-ФЗ.
Как оформить правильно: Фраза должна быть чёткой и конкретной, например:
«Я согласен(а) на обработку персональных данных в соответствии с Политикой»
🔗 Обязательно добавляется активная ссылка на Политику, оформленную отдельной страницей сайта.
Пользователь должен иметь возможность открыть её до отправки данных.

Чекбокс не должен быть отмечен по умолчанию.
Пользователь сам сознательно принимает решение.

Персональные данные и доставка

Если вы работаете с доставкой товаров, то обрабатываете:
  • ФИО
  • Адрес доставки
  • Номер телефона
  • Комментарии клиента (часто содержат чувствительные данные)
Эти данные попадают в руки не только вам, но и службе доставки.
Значит, вы обязаны:
  • уведомить об этом пользователя в политике
  • заключить договор с подрядчиком (например, СДЭК, Boxberry), если данные передаются

Сбор метрик, аналитики и поведенческих данных

Любой сайт, на котором установлены:
  • Яндекс.Метрика
  • Google Analytics
  • пиксели Facebook, TikTok
  • — собирает данные о поведении пользователя.
Это тоже считается персональными данными.
Вы обязаны:
  1. Уведомить пользователя о сборе
  2. Предоставить возможность отказаться (например, через cookie-баннер)
  3. Указать это в политике

Нужно ли уведомлять Роскомнадзор?

Если вы обрабатываете данные пользователей на постоянной основе (не единично), то должны подать уведомление о начале обработки в Роскомнадзор.
Это не страшно: делается один раз, бесплатно, онлайн.
Заявку можно заполнить через pd.rkn.gov.ru

Ответственность за нарушение

Если вы не оформите политику, не уведомите Роскомнадзор или будете собирать данные без согласия — последствия серьёзные:
  • Штрафы — от 10 000 до 75 000 ₽
  • Блокировка сайта по требованию
  • Жалобы от пользователей — даже одна может стать поводом для проверки
Made on
Tilda