+7 (901) 499-39-49
Требования к сайту по 152 ФЗ
1. Краткий обзор правовых требований
- 152-ФЗ «О персональных данных»: регламентирует обязанности оператора ПДн, в том числе по информированию субъектов, получению согласий, защите данных и уведомлению Роскомнадзора
- ПП РФ № 1119: устанавливает требования к защите ПДн в ИСПДн, включая необходимость применения SSL-сертификатов, разграничения доступа и логирования действий
- Приказ ФСТЭК №21: описывает состав организационных и технических мер для защиты ПДн
- Приказы Роскомнадзора №94 и №198: методика уведомления о начале обработки и регламенты проверок
- Методические рекомендации Роскомнадзора: требуют публикации политики обработки ПДн на сайте, правильного оформления форм согласия и использования безопасных каналов связи.
- Гражданский кодекс РФ ст.152.1 и Конституция РФ ст.23: закрепляют права граждан на неприкосновенность частной жизни и защиту персональных данных.
2. Что обязан сделать владелец сайта при сборе ПДн
- Разместить Политику обработки ПДн и Пользовательское соглашение.
- Обеспечить согласие субъекта на обработку данных перед их сбором.
- Установить SSL-сертификат для шифрования данных.
- Ограничить доступ к данным, вести журналирование действий.
- Направить уведомление в Роскомнадзор о начале обработки (если собираются ПДн)
- Минимизировать состав собираемых данных до необходимого.
3. Какие документы и настройки нужны
Документ / настройка |
Обязательность |
Основание |
Политика обработки ПДн |
Да |
ст. 18.1 152-ФЗ |
Пользовательское соглашение (если есть личный кабинет) |
Да |
общие требования защиты информации |
Форма согласия на обработку ПДн |
Да |
ст. 9 152-ФЗ |
SSL-сертификат |
Да |
ПП РФ №1119 |
Логирование действий |
Да |
ПП РФ №1119 |
Уведомление в Роскомнадзор |
Да, при сборе ПДн |
ст. 22 152-ФЗ |
4. Как оформлять формы и чек-боксы
- Поле чек-бокса должно быть пустым по умолчанию (пользователь сам ставит галочку).
- Текст согласия должен быть понятным и конкретным: на что именно дается согласие и кому передаются данные.
- Согласие должно быть отдельным действием, не скрытым в пользовательском соглашении.
- Примеры допустимого текста: «Я даю согласие ООО "Ромашка" на обработку моих персональных данных в соответствии с Политикой обработки ПДн».
5. Особенности защиты данных при наличии личного кабинета
- Использовать двухфакторную аутентификацию (по возможности).
- Ограничить доступ по ролям: пользователь не должен видеть чужие данные.
- Проводить регулярное обновление CMS и установленных плагинов.
- Вести журнал регистрации событий безопасности (успешные/неудачные входы, изменение профиля).
6. Что делать, если ПДн не собираются
- Все равно разместить Политику конфиденциальности с пояснением, что сбор ПДн не ведется.
- Проверить, нет ли скрытого сбора через подключенные сторонние сервисы (например, аналитика, CRM-формы).
- Уведомление в Роскомнадзор подавать не нужно, если фактический сбор ПДн отсутствует.
7. Типичные ошибки и риски
- Размещение форм без согласия пользователя (штраф до 75 тыс. руб. по ст. 13.11 КоАП РФ).
- Отсутствие политики ПДн на сайте — штраф и предписание на устранение.
- Согласие в формате "по умолчанию" (галочка уже стоит) — признание согласия недействительным.
- Использование незашифрованных форм для ввода ПДн (нет HTTPS).
- Сбор лишних данных без необходимости (например, дата рождения в форме обратной связи).
8. Чек-лист для владельца сайта
✅ Политика обработки ПДн размещена в открытом доступе
✅ Форма согласия корректно оформлена, чек-боксы пустые
✅ Установлен SSL-сертификат
✅ Ведется журналирование действий на сайте
✅ Минимизирован сбор ПДн
✅ Уведомление в Роскомнадзор подано (если требуется)
✅ Проведена проверка всех подключенных сервисов на сбор ПДн
✅ Пользователь информирован о своих правах
9. Ссылки на законодательство
- Федеральный закон № 152-ФЗ «О персональных данных»
- Постановление Правительства РФ № 1119
- Приказ ФСТЭК России № 21
- Приказ Роскомнадзора № 94
- Гражданский кодекс РФ, ст. 152.1
- Конституция РФ, ст. 23
Оставить заявку