Размер шрифта

Цвет фона и шрифта

Изображения

Озвучивание текста

Обычная версия сайта

Написать нам

Обработка персональных данных на сайте: образец и требования

Ценные советы

Любой сайт, где есть форма обратной связи, подписка или онлайн-заказ, автоматически собирает данные пользователей: от имени и телефона до IP-адреса. Значит, компания обязана соблюдать закон и правильно оформить документы. Образец политики обработки персональных данных на сайте помогает понять, что именно нужно прописать, чтобы сайт работал легально, а бизнес не рисковал штрафами. В этой статье разберем, какие сведения считаются персональными, какие требования предъявляют российские законы и как оформить документы так, чтобы все было корректно, и при этом не превращалось в бюрократический кошмар.

Содержание

Что такое персональные данные
Что такое обработка персональных данных и кто их обрабатывает
Как оформить сбор персональных данных на сайте
Образец политики обработки персональных данных для сайта
Чек-лист: как привести сайт в соответствие с 152-ФЗ
Что изменилось в 2025 году: новые требования к обработке персональных данных
Обработка персональных данных на сайте: частые вопросы
Итог

Проверить, соответствует ли сайт 152-ФЗ проще, чем кажется! Любая форма на сайте — это уже работа с персональными данными. Чтобы избежать штрафов и утечек, важно оформить документы и защитить информацию правильно.

Команда WEB-AiM поможет подготовить политику обработки персональных данных, настроить согласия и сделать сайт полностью безопасным и законным.

Что такое персональные данные

Чтобы понимать, как именно оформлять документы на сайте, нужно разобраться, что вообще считается персональными данными.
Согласно Федеральному закону №152-ФЗ «О персональных данных», это любая информация, по которой можно прямо или косвенно определить личность человека.

Проще говоря, персональные данные — это не только фамилия и имя. К ним относятся электронный адрес, номер телефона, IP-адрес, геолокация, данные из форм обратной связи, cookie-файлы и даже история заказов, если по ней можно идентифицировать пользователя.

Тип данных	Примеры на сайте	Нужно согласие?
Идентификационные	ФИО, дата рождения	Да
Контактные	Электронный адрес, телефон, мессенджеры	Да
Технические	IP-адрес, cookie, User-Agent, геолокация	Да (уведомление + согласие на cookie/метрику)
Коммерческие	История заказов, корзина, рекламации	Да
Биометрические*	Изображение лица, голос (если обрабатываются)	Да, по особым правилам

* Биометрия регулируется отдельно; см. раздел про изменения 2025 года.

Нормативная база: 152-ФЗ «О персональных данных»,

КоАП РФ ст. 13.11, 420-ФЗ от 30.11.2024,

Приказ Роскомнадзора №128 от 05.08.2022.

Если такие сведения обрабатываются без согласия владельца или без надлежащей защиты, возникает угроза безопасности — утечка, несанкционированный доступ или использование данных третьими лицами. Поэтому компания, которая собирает любую информацию о пользователях через сайт, обязана действовать строго в рамках законодательства и обеспечить технические и организационные меры защиты.

Что такое обработка персональных данных, и кто их обрабатывает

Обработка персональных данных — это любые действия с информацией о пользователе: сбор, запись, систематизация, хранение, уточнение, передача и даже удаление. Если человек оставил контакты в форме на сайте, подписался на рассылку или оформил заказ, — его данные уже попали в процесс обработки.

что такое обработка и.jpg

Оператор персональных данных (ОПД) — это компания или индивидуальный предприниматель, который организует этот процесс и несет за него ответственность. Даже если вы не храните информацию на своих серверах, а используете сторонние сервисы (например, CRM или форму обратной связи через облако), оператором всё равно являетесь вы, потому что именно ваша организация решает, зачем и как эти данные используются.

Данные могут собираться открыто: через формы регистрации, подписки, опросы, заказы. Но есть и скрытые методы сбора персональных данных: например, через системы аналитики, cookie-файлы, онлайн-чаты и CRM-трекинг звонков. В обоих случаях нужно уведомлять пользователей, что такие инструменты применяются.

Нарушения в этой сфере могут привести к серьезным последствиям. За неправильную обработку или отсутствие согласия предусмотрены штрафы по статье 13.11 КоАП РФ: для ИП — до 20 000 рублей, для юридических лиц — до 75 000 рублей. А при повторном нарушении штраф может быть выше, и дополнительно возможна блокировка сайта до устранения нарушений.

Чтобы избежать штрафа и защитить репутацию, важно не только разместить на сайте политику обработки персональных данных, но и реально соблюдать ее требования: запрашивать согласие, ограничивать доступ сотрудников, следить за безопасностью хранения и передачей информации.

Как оформить сбор персональных данных на сайте

Сбор данных на сайте должен быть прозрачным и соответствовать закону. Если вы принимаете заказы, формы обратной связи или заявки, значит, уже работаете с персональными данными. Чтобы все было корректно и без рисков, нужно оформить несколько ключевых документов и процедур.

как оформить.jpg

Политика конфиденциальности

Это основной документ, который описывает, какие данные вы собираете, зачем и как их защищаете. Здесь указываются цели обработки, способы хранения, сроки и порядок удаления информации. Также в политике должны быть обозначены правила трансграничной передачи персональных данных, если данные пользователей могут оказаться на серверах за пределами России.

О том, какие документы должны быть на сайте, мы писали здесь

Правила работы с персональными данными

Этот документ регулирует внутренние процессы: кто из сотрудников имеет доступ, как контролируется хранение и кто отвечает за безопасность. Он помогает поддерживать соблюдение требований 152-ФЗ и минимизировать человеческий фактор.

Согласие на обработку персональных данных

Каждая форма на сайте — от подписки до онлайн-заявки — должна сопровождаться чекбоксом или кнопкой, означающей, что пользователь дает согласие на обработку данных. Лучше сделать текст коротким и понятным, со ссылкой на полную политику конфиденциальности.

Обязательство о неразглашении персональных данных

Если к обработке допускаются сотрудники или подрядчики (например, техподдержка, маркетологи), они подписывают обязательство о неразглашении. Это особенно важно, если данные содержат личные телефоны, адреса, историю заказов или платежные сведения.

Оценка возможного вреда при утечке персональных данных

Компании рекомендуется заранее провести оценку рисков: какие последствия возможны при потере или утечке данных, как быстро можно будет их устранить. Это не только элемент внутренней безопасности, но и аргумент в пользу доверия при проверках Роскомнадзора.

Как выбрать место хранения данных

Хранить персональные данные нужно на серверах, физически расположенных на территории России. Если используется облачный хостинг, важно уточнить у провайдера, где именно находятся серверы. Для особо чувствительной информации можно применять обезличивание данных — замену идентификаторов (имени, телефона) на условные значения, чтобы снизить риск компрометации.

Попросите у провайдера документ с адресами дата-центров и классом защиты.
Проверьте, где физически расположен сервер аккаунта (dashboard/кабинет провайдера).
Если используется зарубежное облако — опишите это в политике, получите согласие на трансграничную передачу, подключите DPA (юридическое приложение к основному договору, где прописано, как именно подрядчик будет защищать, хранить и использовать персональные данные ваших пользователей)

Соблюдение всех этих требований не только защищает компанию от претензий и штрафов, но и повышает доверие клиентов: пользователи видят, что вы ответственно относитесь к их информации и готовы обеспечить безопасность взаимодействия.

Образец политики обработки персональных данных для сайта

Политика обработки персональных данных — это документ, который подтверждает, что компания собирает и хранит информацию пользователей в соответствии с требованием закона. Он должен быть на каждом сайте, где происходит заполнение формы, оформление заказа или регистрация.

Из чего состоит политика

Обычно документ содержит следующие разделы:

Общие положения. Указывается оператор персональных данных (название компании, адрес, контактные данные).
Цели обработки. Например: прием заявок, выполнение договорных обязательств, обратная связь с пользователем.
Состав персональных данных. Какие именно сведения собираются: ФИО, электронный адрес, телефон, IP-адрес, cookie-файлы и др.
Порядок и условия обработки. Здесь описываются методы хранения, сроки, передача третьим лицам, включая трансграничную передачу.
Права субъектов персональных данных. Пользователь имеет право узнать, какие данные о нем хранятся, запросить уточнение или удаление.
Меры защиты данных. Технические и организационные меры для предотвращения утечек и несанкционированного доступа.
Ответственность оператора. Кто отвечает за соблюдение правил и какие санкции возможны при нарушении.

Как правильно составить

Политику можно оформить как отдельный документ в формате PDF или разместить её прямо на сайте в виде отдельной страницы. Важно, чтобы текст был написан понятным языком, без избыточных юридизмов. Документ должен быть доступен всем пользователям — без регистрации и дополнительных переходов.

При необходимости стоит добавить пункт о согласии на обработку персональных данных физического лица, если пользователи — частные клиенты, а не компании.

Где нужно разместить

Ссылка на политику обычно размещается внизу каждой страницы (в подвале сайта), а также рядом с формами, где пользователь вводит личные данные: в формах обратной связи, подписке на рассылку, корзине заказа. Это важно, чтобы человек мог ознакомиться с документом до передачи своих данных.

Если вы хотите не просто скопировать шаблон, а получить корректный документ под ваш тип сайта и бизнес, специалисты WEB-AiM помогут подготовить индивидуальную политику обработки персональных данных, настроить формы согласия и разместить их в нужных местах.

Чек-лист: как привести сайт в соответствие с 152-ФЗ

Соблюдение закона о персональных данных — не просто формальность. Нарушение требований №152-ФЗ может привести к блокировке ресурса и штрафам, а при утечке информации — к серьезной репутационной потере. Ниже мы разместили пошаговый гайд, который поможет быстро проверить, все ли у вас в порядке.

чек лист.png

Подготовить документы

Политика конфиденциальности — доступна на сайте, прописаны цели, сроки и способы обработки данных.
Согласие на обработку персональных данных — прикреплено ко всем формам.
Внутренние регламенты: порядок хранения, доступ сотрудников, ответственность.

Настроить формы на сайте

Возле каждой формы добавьте галочку согласия с текстом «Я согласен на обработку персональных данных» и ссылкой на политику.
Убедитесь, что галочка не проставлена по умолчанию — пользователь должен поставить ее сам.
Настройте уведомления о приеме форм и защиту от спама.

Установить SSL-сертификат

Передача данных должна происходить по защищенному протоколу HTTPS. Это базовое требование и элемент доверия: браузеры помечают сайты без SSL как небезопасные.

Подать уведомление в Роскомнадзор

Если компания обрабатывает персональные данные (например, хранит заявки клиентов), необходимо уведомить Роскомнадзор о начале такой деятельности. Подать уведомление можно через официальный сайт госоргана или Госуслуги.

Проверить хостинг и место хранения данных

Убедитесь, что серверы физически находятся в России, а провайдер соблюдает требования по защите информации. Для чувствительных данных используйте методы обезличивания.

Особенности для пользователей 1С-Битрикс

В 1С-Битрикс есть встроенные инструменты для соответствия требованиям 152-ФЗ:

модуль “Персональные данные” с настройкой политики и согласий;
автоматическая вставка чекбоксов в формы;
логи и журнал согласий пользователей;
поддержка SSL и шифрование запросов.

Полный перечень требований к e-commerce мы описывали в этой статье.

Используя эти функции, можно реализовать все требования закона без сложных доработок и сэкономить время разработчиков.

Что изменилось в 2025 году: новые требования к обработке персональных данных

С мая 2025 года вступили в силу обновления к Федеральному закону №152-ФЗ «О персональных данных», а также новые законы №420-ФЗ и №421-ФЗ, усиливающие ответственность за утечки и нарушения.
Теперь операторы данных — от интернет-магазинов до корпоративных сайтов — должны действовать по более строгим правилам.

что изменилось.jpg

Основные изменения:

Увеличились штрафы за нарушения при сборе, хранении и передаче данных. За несоблюдение требований физическим лицам грозит до 5 млн рублей, организациям — до 20 млн рублей. Повторное нарушение может привести к штрафу до 3 % годовой выручки.
Уточнен порядок уведомления Роскомнадзора.
С 30 мая 2025 года компании обязаны направлять уведомление о начале обработки персональных данных и быть внесенными в реестр операторов персональных данных.
Ужесточены санкции за утечку данных.
При компрометации сведений более чем 10 000 субъектов штраф составит от 200 000 до 5 млн рублей, а за масштабные утечки — до 15 млн.
В исключительных случаях, если утечка признана преднамеренной, возможна уголовная ответственность до 10 лет лишения свободы.
Обновлена форма согласия на размещение и обработку данных в Единой биометрической системе.
С 1 января 2025 года документ должен содержать сведения о субъекте, операторе, компании-получателе и дату подписания.
Передача данных за границу теперь возможна только при соблюдении особых условий. Все серверы, где хранятся персональные данные россиян, должны быть локализованы на территории РФ.

Что делать бизнесу

Проверить актуальность политики обработки и формы согласия.
Подать уведомление в Роскомнадзор и убедиться, что компания внесена в реестр.
Перенести хранение данных на российские серверы.
Провести инструктаж сотрудников, которые работают с персональными данными.
Обновить внутренние регламенты и документы о неразглашении.

Обработка персональных данных на сайте: частые вопросы

Сколько времени действует согласие на обработку персональных данных?

«Согласие действует до тех пор, пока цель обработки не достигнута или пользователь не отозвал его. Если человек больше не пользуется услугами компании, данные нужно удалить или обезличить. Это требование закона, и оно касается всех операторов без исключения.»
— Анна, руководитель отдела интернет-проектов

Как быть, если данные собираются и хранятся на облачном сервисе?

«Главное — убедиться, что дата-центр, где хранится информация, находится в России и провайдер выполняет требования 152-ФЗ. Если сервис зарубежный, а данные остаются за границей, нужно отдельно прописать это в политике конфиденциальности и получить согласие пользователей на трансграничную передачу.»
— Дмитрий, ведущий веб-разработчик, специалист по 1С-Битрикс

Как информировать Роскомнадзор об утечке персональных данных?

«Закон обязывает уведомлять РКН о факте утечки в течение 24 часов с момента обнаружения. Лучше заранее продумать план действий: кто отвечает за уведомление, какие данные сообщаются, и как устраняются последствия. Чем быстрее среагируете, тем меньше рисков для компании и клиентов.»
— Мария, UX-аналитик и консультант по цифровой безопасности

Итоги: зачем на сайте нужна политика обработки персональных данных

Политика обработки персональных данных — не просто требование закона, а элемент доверия и профессионализма.
Корректно оформленные документы, защищенные формы и прозрачное хранение данных показывают клиентам, что бизнес работает честно и ответственно.
А для компании это дополнительная защита от утечек, жалоб и штрафов.

итог.jpg

Если сайт соответствует требованиям 152-ФЗ, пользователи охотнее оставляют контакты, заказывают и возвращаются. Безопасность напрямую влияет на конверсию — ведь клиенту важно понимать, кому он доверяет свои данные.

Хотите, чтобы ваш сайт соответствовал требованиям закона и вызывал доверие у клиентов?

Команда WEB-AiM поможет привести сайт в полное соответствие с 152-ФЗ: настроим формы и согласия, подготовим документы, обеспечим безопасное хранение и интеграцию с 1С-Битрикс.

Закажите аудит сайта и получите рекомендации по защите персональных данных — все будет быстро и корректно!

Еще статьи по теме

Ценные советы

GEO-оптимизация сайта: как подготовить статьи и товарные страницы под AI-поиск

Ценные советы

Как я создал и использую AI-ассистента в работе и в жизни менеджера и директора компании

Ценные советы

WorkForce Planner: как навести порядок в ресурсном планировании команды разработки в Битрикс24

Назад к списку