Обязанность уведомления Роскомнадзора при сборе минимальных персональных данных на сайте с аналитикой

<h2 id="-">Обязанность уведомить Роскомнадзор при сборе имени и номера телефона на сайте с веб-аналитикой и рекламой</h2> <p>Здравствуйте. Вы правильно опасаетесь нарушений — ваш случай действительно требует выполнения ряда формальностей по закону. Разберем всё по порядку, простым языком, но со ссылками на конкретные нормы.</p> <h3 id="1">1. Являетесь ли вы оператором персональных данных?</h3> <p>Да, являетесь. Даже если вы собираете только имя и номер телефона — это уже персональные данные. Закон определяет их как:</p> <blockquote> <p>«любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ст. 3 Федерального закона №152-ФЗ «О персональных данных»)</p> </blockquote> <p>Имя + номер телефона позволяют определить человека (позвонить по номеру, обратиться по имени). А если вы используете IP-адреса, cookies, метки веб-аналитики — это дополнительная информация, которая еще точнее связывается с посетителем. Вы сами определяете, какие данные собирать и зачем, значит, вы — <strong>оператор</strong>.</p> <h3 id="2">2. Нужно ли уведомлять Роскомнадзор?</h3> <p><strong>Да, нужно.</strong> Закон обязывает уведомить Роскомнадзор до начала обработки персональных данных, если только вы не подпадаете под исключения.</p> <blockquote> <p>«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи» (ч. 1 ст. 22 №152-ФЗ)</p> </blockquote> <p>Какие исключения действуют сейчас (с 1 сентября 2022 года)?</p> <ul> <li><strong>Обработка без средств автоматизации</strong> (п. 8 ч. 2 ст. 22) — то есть если вы ведете бумажные карточки или Excel вручную. У вас сайт с формой и веб-аналитика — это автоматизированная обработка. Исключение <strong>не подходит</strong>.</li> <li><strong>Государственные информационные системы</strong> (п. 7 ч. 2 ст. 22) — не ваш случай.</li> <li><strong>Транспортная безопасность</strong> (п. 9 ч. 2 ст. 22) — тоже нет.</li> </ul> <p>Других исключений (в том числе для «статистических целей» или «трудовых отношений») в текущей редакции закона <strong>нет</strong> — старые пункты утратили силу. Поэтому обязанность подать уведомление <strong>действует</strong>.</p> <p>Отсутствие фамилии и отчества <strong>не имеет значения</strong> — закон не требует, чтобы в состав данных обязательно входила фамилия. Любая информация, позволяющая определить человека, является персональными данными. Вы оперируете именно такими.</p> <h3 id="3">3. Что будет, если не уведомить?</h3> <p>Штраф за невыполнение обязанности по уведомлению (ст. 13.11 КоАП РФ, часть 10):</p> <blockquote> <p>«Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных — влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц — от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц — от ста тысяч до трехсот тысяч рублей»</p> </blockquote> <p>Если вы — индивидуальный предприниматель, то по общему правилу (примечание к ст. 13.11) за правонарушения по ч. 10 вы несете ответственность как должностное лицо (штраф 30–50 тыс. руб.). Если вы просто физическое лицо без статуса ИП — штраф 5–10 тыс. руб.</p> <p>Но это только за неуведомление. Если окажется, что вы еще и обрабатываете данные без согласия (а для рекламы согласие обязательно — см. ниже), то штрафы значительно выше (до 300 тыс. для юрлиц, до 100 тыс. для должностных за первичное нарушение, а за повторное — до 1,5 млн руб.).</p> <h3 id="4">4. Какие данные и цели нужно указать в уведомлении?</h3> <p>Уведомление должно содержать (ч. 3 ст. 22 №152-ФЗ):</p> <ul> <li>Ваши ФИО и адрес (как оператора).</li> <li><strong>Цель обработки</strong>. В вашем случае можно указать: «Обработка обращений физических лиц через форму обратной связи на сайте, а также маркетинговая деятельность и веб-аналитика». Лучше не писать размыто «связь с клиентом», а конкретизировать.</li> <li><strong>Правовое основание</strong> — например, «согласие субъекта персональных данных» (ст. 9 №152-ФЗ) и «договор, стороной которого является субъект» (п. 2 ч. 1 ст. 6 №152-ФЗ), если впоследствии вы заключаете договор с клиентом.</li> <li><strong>Категории персональных данных</strong> (ч. 3.1 ст. 22): «имя, номер мобильного телефона, IP-адрес, cookie-файлы, данные о поведении на сайте».</li> <li><strong>Категории субъектов</strong> — «посетители сайта, оставившие заявку через форму обратной связи».</li> <li><strong>Перечень действий</strong> — сбор, запись, систематизация, накопление, хранение, использование, передача (например, сервисам аналитики и рекламным системам), уничтожение.</li> <li><strong>Способы обработки</strong> — автоматизированная (с помощью средств вычислительной техники).</li> <li><strong>Дата начала обработки</strong> — дата, когда вы начали или планируете начать сбор.</li> <li><strong>Срок или условие прекращения</strong> — например, «до отзыва согласия субъектом или достижения цели обработки».</li> <li><strong>Сведения о трансграничной передаче</strong> — если используете Google Analytics (серверы за рубежом), нужно указать «да» и подать <strong>отдельное уведомление</strong> о трансграничной передаче (ст. 12 №152-ФЗ). Для Яндекс.Метрики обычно серверы в РФ, но если вы уверены, что передача за рубеж не происходит, можно указать «нет».</li> <li><strong>Сведения о месте нахождения базы данных</strong> — адрес сервера или хостинга, где хранятся данные (должен быть на территории РФ).</li> </ul> <p><strong>Как подать?</strong> Через портал Роскомнадзора (раздел «Обработка персональных данных»/«Уведомления»). Там есть готовая форма. Уведомление можно подписать электронной подписью или отправить бумажное письмо. Обычно проще через личный кабинет на сайте Роскомнадзора.</p> <h3 id="5">5. Важный момент: согласие на обработку для рекламы</h3> <p>Вы упомянули рекламу. Если вы планируете использовать данные для прямой рекламы (звонки, email-рассылка, таргетированная реклама в соцсетях), то закон требует <strong>предварительного согласия</strong>:</p> <blockquote> <p>«Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных» (ч. 1 ст. 15 №152-ФЗ)</p> </blockquote> <p>Кроме того, если вы передаете данные третьим лицам (Яндекс.Метрика, Google Analytics, рекламные кабинеты), то нужно получить согласие на <strong>передачу</strong> (ст. 9 №152-ФЗ). Согласие должно быть конкретным, предметным, информированным и однозначным. Лучше оформить его через чек-бокс (или другой активный элемент) на сайте перед отправкой формы. В согласии нужно указать, кому и для каких целей передаются данные.</p> <h3 id="6">6. Дополнительные требования</h3> <ul> <li><strong>Политика обработки персональных данных</strong> — вы обязаны разместить на сайте документ, в котором описано, какие данные собираете, как используете, как защищаете, права субъектов. Штраф за отсутствие такого документа — по ч. 3 ст. 13.11 КоАП: для ИП до 20 тыс. руб., для юрлиц до 60 тыс. руб.</li> <li><strong>Локализация баз данных</strong> — при сборе персональных данных граждан РФ через интернет их обработка должна осуществляться с использованием баз данных, находящихся на территории РФ (ч. 5 ст. 18 №152-ФЗ). Если ваш хостинг за рубежом — это нарушение. Убедитесь, что сайт физически размещен в РФ, либо используйте российские сервисы.</li> </ul> <h3 id="7">7. Что делать прямо сейчас?</h3> <ol> <li><strong>Не откладывая, подайте уведомление в Роскомнадзор</strong> через портал. Это бесплатно.</li> <li><strong>Разместите на сайте Политику обработки персональных данных</strong> (можно найти шаблоны, но лучше заказать у адвоката).</li> <li><strong>Настройте получение согласия</strong> через форму обратной связи — добавьте чекбокс с текстом согласия, который пользователь должен активно отметить (не предустановленный). В согласии укажите все цели (связь, аналитика, реклама), перечень данных, срок действия, факт передачи третьим лицам.</li> <li><strong>Проверьте, где находятся серверы</strong> ваших аналитических систем. Если используете Google Analytics — обязательно подайте отдельное уведомление о трансграничной передаче (ст. 12 №152-ФЗ). Если нет уверенности — проконсультируйтесь с адвокатом.</li> <li><strong>Убедитесь, что база данных с данными клиентов хранится в РФ</strong>.</li> </ol> <h3 id="_1">Вывод</h3> <p>Да, уведомление подать нужно. Отсутствие фамилии/отчества не освобождает от этой обязанности. Штрафы за нарушение существенные, а с учетом рекламной деятельности риски возрастают. Рекомендую обратиться к адвокату, специализирующемуся на персональных данных, для подготовки уведомления, политики и формы согласия — это сэкономит вам деньги и нервы в будущем.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>