Как обеспечить соблюдение 152-ФЗ на корпоративном сайте

Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее — 152‑ФЗ) устанавливает строгие требования к обработке персональных данных (ПДн). Напомним, что к таким данным относится ФИО, email, телефон, адрес и другие личные данные. Корпоративный сайт, который предлагает пользователю зарегистрироваться, отправить заявку или подписаться на рассылку, автоматически становится площадкой обработки ПДн — а значит, обязан соответствовать нормам закона. Разберём ключевые шаги по соблюдению комплаенс.

1. Регистрация оператора ПДн и ответственность

Зарегистрируйте свою компанию, как оператора персональных данных в надлежащем порядке. В большинстве случаев достаточно подать уведомление в Роскомнадзор о месте, целях и объёме обработки персональных данных.

Назначьте одно лицо или учредите должность ответственного за обработку персональных данных во всей компании. Это помогает не разносить ответственность по разным сотрудникам и не путать цели обработки.

2. Разработка Политики конфиденциальности

Пользователям вашего сайта необходимо объяснять, как хранятся и используются их персональные данные. Этот раздел должен быть чётким и прозрачным, а также, давать пользователю понимание его полномочий. Вот ключевые пункты Политики:

• какие данные собираются (имя, email, адрес доставки, данные логирования);
• зачем нужны данные (обработка заказов, рассылки, анализ поведения на сайте);
• как данные хранатся и кто имеет к ним доступ;
• как пользователь может управлять своими данными (запрос на удаление, исправление, отказ от обработки);
• какие механизмы защиты применяются (шифрование, ограничение доступа).

Политика cookies и дополнительные документы

Укажите использование cookies и цель их применения. Если данные пользователей участвуют в копировании контента, укажите условия копирования. Это помогает пользователям понять, как работают ваши сервисы и какие данные передаются третьим сторонам (аналитика, платежные сервисы). Пример: на странице «Политика конфиденциальности» добавьте раздел «Файлы cookie» с опциями управления настройками браузера.

3. Разработка Согласия на обработку ПДн

Согласие не обработку персональных данных часто путают с Политикой из предыдущего пункта, но Политику конфиденциальности и Согласие на обработку персональных данных необходимо разделять как отдельные документы. Это требование закреплено в изменениях законодательства, вступивших в силу с 1 сентября 2025 года. Нужно запрашивать согласие при:

• Регистрации пользователя на сайте;
• Подписке на рассылку;
• Отправки заявки или оформлении заказа;
• Участии в конкурсах;
• Везде, где пользователь оставляет контакты.

Важно, чтобы согласие на обработку было ясным, конкретным и не смешивалось с общими условиями сайта:

• Форма или текст Согласия должны чётко указывать цели обработки и перечень данных.
• У пользователя должна быть возможность отозвать Согласие и потребовать удаление данных, если это возможно по вашим Политикам.
• Важно использовать отдельную ссылку «Согласие на обработку персональных данных» в формах регистрации или покупки. Пример: при оформлении заказа поставить чекбокс подтверждение согласия на обработку данных с коротким описанием целей и/или ссылкой на страницу с полным текстом.

Работаете с персональными данными?

Проведём аудит по 152-ФЗ и устраним риски штрафов

Для заполнения данной формы включите JavaScript в браузере.

Checkboxes Ваше телефон

Ваше имя *

Ваш телефон *

Checkboxes *

• Даю согласие на обработку персональных данных

Отправить

Примеры реальных формулировок

• Политика конфиденциальности: «Мы собираем ваши данные для обработки заказов, улучшения сервиса и отправки специальных предложений, ограниченных по времени. Ваши данные хранятся безопасно и доступны только уполномоченным сотрудникам. Вы можете запросить удаление данных в любое время.»
• Согласие на обработку: «Я даю согласие на обработку своих персональных данных в целях оформления заказа и получения информационных рассылок. Я имею право отозвать согласие в любой момент.»

Чего избегать

• Не оставляйте согласие неясным или смешанным с другими условиями.
• Не прячьте политику конфиденциальности в глубине сайта — сделайте доступной на видном месте.
• Не забывайте обновлять уведомления и документы при изменении целей обработки или структуры компании.

4. Уведомление о начале работы с ПДн

До начала обработки персональных данных нужно уведомить Роскомнадзор (или подать уведомление онлайн через официальный портал с использованием электронной подписи). Это позволяет регулятору видеть, что вы действуете законно и контролируете обработку. Как это сделать просто:

• Подайте уведомление онлайн через официальный портал. Укажите цель обработки, перечень категорий ПДн и сроки хранения.
• В случае изменений целей или расширения объёмов данных — обновляйте уведомление и реестр соответствующим образом. Например, если вы расширяете сбор данных для новой программы лояльности — вы заново уведомляете Роскомнадзор об изменениях и обновляете реестр обработки.

Дресс-подсказки

• Регулярно проводите внутренний аудит: проверьте, чтобы на сайте были актуальные ссылки на политику конфиденциальности и текст/форму согласия.
• Сохраняйте документацию: копии уведомлений, протоколы изменений в реестре и внутренние инструкции по обработке данных.

Что дают все эти меры вашей компании

Во-первых, они обеспечивают прозрачность для посетителей: люди видят, какие данные вы собираете и зачем. Это напрямую повышает доверие ваших клиентов.

Во-вторых, меры позволяют добиться соответствия требованиям закона, что существенно уменьшает риск штрафов и санкций за нарушение.

В-третьих, они способствуют упрощению аудита: документы и уведомления всегда доступны по запросу как со стороны регулятора, так и внутри самой компании.