Персональные данные на сайте: требования 152-ФЗ к формам, cookies и согласиям

Любая информация, относящаяся к определённому или определяемому физическому лицу. Прямые ПДн — имя, фамилия, телефон, email, паспортные данные, адрес. Косвенные — IP-адрес, cookies с идентификаторами, геолокация (в комбинации). Особые категории — здоровье, биометрия, политические взгляды. На сайте обработкой ПДн считается работа с любыми из этих категорий через любые формы или аналитику.

Да. Если на лендинге есть хотя бы одна форма сбора имени, email или телефона — это обработка ПДн. Политика обязательна по статье 18.1 152-ФЗ. Размер сайта и количество форм не имеют значения. Отсутствие политики — штраф до 60 тыс. ₽ для юр.лица по статье 13.11 КоАП.

Формально — это нарушение принципа конкретности согласия по статье 9 152-ФЗ. Каждая цель обработки требует отдельного согласия: согласие на регистрацию ≠ согласие на маркетинговую рассылку. На практике общая галочка работает «до первой жалобы или проверки» — при разборе РКН фиксирует отсутствие конкретных согласий и привлекает к ответственности. Лучше разделить с самого начала.

Если сайт использует аналитику (Я.Метрика, Google Analytics), маркетинговые трекеры (ретаргетинг), виджеты соцсетей или другие технологии, идентифицирующие пользователя — да, баннер нужен. По разъяснениям Роскомнадзора 2022–2024 годов cookies с идентификаторами в комбинации с IP считаются обработкой ПДн и требуют согласия. Баннер должен давать возможность выбрать категории, а не только «Принять все».

20 критериев по Приказу Роскомнадзора 996/2020: данные оператора, цели обработки, правовые основания, категории субъектов и данных, способы обработки, сроки хранения, передача третьим лицам, меры защиты, права субъектов, контакты ответственного. Каждый пункт должен быть конкретным под вашу деятельность — не общие формулировки из шаблона.

Я.Метрика — формально требует согласия как обработка через cookies с идентификаторами. На практике большинство российских сайтов используют её без отдельного согласия, что фиксируется как нарушение при проверке. Правильная схема — в cookie-баннере выделить «Аналитические» как отдельную категорию и не запускать Я.Метрику до согласия. Google Analytics с 2022 года имеет дополнительные сложности с локализацией ПДн (242-ФЗ).

По 242-ФЗ операторы обязаны хранить ПДн граждан РФ в базах данных, расположенных на территории РФ. Для сайта это означает: ваш хостинг и базы данных должны быть в России; сторонние сервисы, которым передаются ПДн, должны иметь локализацию в РФ (Я.Метрика — да, Google Analytics — нет). Использование зарубежных хостингов или сервисов без локализации — нарушение, штраф до 6 млн ₽.

Зависит от состава. Отсутствие политики — до 60 тыс. ₽ (статья 13.11). Обработка без согласия — до 75 тыс. ₽ (статья 13.11). Невыполнение требований к локализации (242-ФЗ) — до 6 млн ₽. Утечка ПДн с 2024 года — оборотные штрафы до 500 млн ₽ для крупных операторов. Несколько нарушений одновременно — суммируются.

Чек-лист: (1) политика обновлена под новые цели обработки и новые подрядчики; (2) согласия под новыми формами добавлены отдельно; (3) cookie-баннер обновлён, если появились новые трекеры; (4) уведомление в Роскомнадзор актуализировано (если изменились существенные параметры); (5) журнал согласий настроен для новых форм. Лучше делать через экспресс-аудит /checksite + ручную сверку.

Не паниковать и не пытаться скрыть. Правильный путь — план приведения в соответствие. Начать с аудита (бесплатно /checksite или экспертно), составить список приоритетных исправлений, начать с критичных (политика, согласия под формами), параллельно подготовить документы для подачи актуализированного уведомления в РКН (если требуется). Документированный процесс «приводим в соответствие» — позиция, которая снижает риск штрафа даже если проверка придёт в процессе.