Короткий ответ
Если сайт собирает персональные данные через форму заявки, регистрацию, заказ, личный кабинет, подписку, CRM или аналитику, обязанность уведомить Роскомнадзор нужно проверить отдельно. Публикация политики обработки персональных данных не заменяет уведомление.
После изменений 152-ФЗ исключений стало меньше. РКН на портале персональных данных прямо пишет, что операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных, кроме случаев, предусмотренных ч. 2 ст. 22 152-ФЗ.
Главный вывод для владельца сайта: если есть форма, заказ, аккаунт, CRM или аналитика, не спрашивайте “мы маленький сайт или большой”. Спрашивайте: “мы оператор персональных данных, какие цели обработки у нас есть и попадаем ли мы в исключение”.
Почему почти каждому сайту нужно хотя бы проверить уведомление
Проверка нужна не потому, что каждый сайт автоматически обязан подать уведомление, а потому что типичный сайт быстро выходит за пределы “просто визитки”: форма заявки, Метрика, CRM, личный кабинет, checkout, рассылка или иностранный сервис добавляют реальные цели и каналы обработки. Пока карта обработки не собрана, безопаснее считать уведомление отдельным вопросом аудита, а не побочной деталью политики ПДн.
Что такое уведомление РКН
Уведомление РКН — это не страница сайта и не ссылка в футере. Это отдельное сообщение в Роскомнадзор о том, что оператор обрабатывает персональные данные.
Оно не заменяет:
политику обработки ПДн;
согласие под формой;
cookie policy;
оферту;
договоры с подрядчиками;
внутренние меры защиты данных.И наоборот: эти документы не заменяют уведомление.
Быстрая таблица решений
| Ситуация на сайте | Что делать |
|---|---|
| На сайте только телефон и email компании, форм нет | Проверить, есть ли cookie, аналитика, чаты и другие сборы данных. Если данных пользователей не собираете, уведомление может не требоваться, но это нужно подтвердить фактом. |
| Есть форма “оставить заявку” | Проверить обязанность уведомления. Обычно такая форма означает обработку ПДн с использованием сайта. |
| Есть callback | Проверить, кто получает телефон, где он хранится и есть ли автоматизация. |
| Есть регистрация | Проверить цели аккаунта, данные профиля, сроки, базу данных, уведомление. |
| Есть интернет-магазин | Проверить заказ, оплату, доставку, возвраты, CRM, уведомление. |
| Есть рассылка | Проверить обработку email, рекламное согласие, отписку и уведомление. |
| Есть Метрика, GA, пиксели | Проверить сведения посетителей сайта, метрические программы, cookie и трансграничную передачу. |
| Заявки уходят в CRM | Проверить третьих лиц, поручение обработки, цели и уведомление. |
| Используется иностранный сервис | Проверить не только ст. 22, но и трансграничную передачу по ст. 12 152-ФЗ. |
Решающее дерево
Вопрос 1. Есть ли на сайте данные конкретных людей?
К персональным данным в сценарии сайта могут относиться:
имя;
телефон;
email;
адрес доставки;
данные аккаунта;
текст обращения;
файл пользователя;
номер заказа;
история покупок;
данные переписки;
запись звонка;
cookie и идентификаторы, если позволяют связать поведение с пользователем или устройством;
сведения метрических программ.Если таких данных нет вообще, риск уведомления ниже. Но это нужно проверять по фактическому сайту, а не по словам “у нас простой лендинг”.
Вопрос 2. Кто определяет цель обработки?
Оператор — это тот, кто организует обработку и определяет цели. Если владелец сайта решает, зачем собирать заявки, где их хранить, кому передавать и как использовать, он, скорее всего, оператор.
Вопрос 3. Есть ли автоматизация?
Если данные собираются через сайт, форму, CRM, email, аналитику или личный кабинет, обычно есть использование средств автоматизации. Исключение “исключительно без средств автоматизации” для сайта с формами чаще всего не подходит, но нужно проверять конкретный процесс.
Вопрос 4. Попадаете ли вы в исключения ч. 2 ст. 22 152-ФЗ?
Исключения ограничены. Нельзя автоматически считать, что сайт освобожден от уведомления, потому что он маленький, новый, не интернет-магазин или собирает только телефон.
Вопрос 5. Совпадает ли уведомление с реальным сайтом?
Если уведомление уже подано, его нужно сверить с фактом.
Проверьте:
цели обработки;
категории субъектов;
категории данных;
действия с данными;
срок или условие прекращения обработки;
место базы данных;
трансграничную передачу;
ответственного за обработку;
сведения о метрических программах;
изменения после подключения CRM, аналитики, рассылки или нового checkout.Что подготовить перед уведомлением
Не начинайте заполнять форму РКН вслепую. Сначала соберите карту обработки.
1. Кто оператор: ООО, ИП, самозанятый, несколько компаний.
2. Какие сайты и домены используются.
3. Какие формы есть на сайте.
4. Какие поля собираются.
5. Какие цели обработки есть.
6. Какие категории субъектов: посетители сайта, клиенты, пользователи аккаунта, подписчики, заявители.
7. Какие категории данных обрабатываются.
8. Какие действия выполняются: сбор, запись, систематизация, хранение, уточнение, передача, удаление.
9. Какие сервисы получают данные: CRM, email, хостинг, платежи, доставка, аналитика.
10. Есть ли иностранные сервисы.
11. Где находятся базы данных.
12. Когда начинается обработка.
13. Когда обработка прекращается.
14. Кто ответственный за обработку.Примеры по типам сайтов
Лендинг с формой заявки
Обычно нужно проверить уведомление, потому что сайт собирает имя, телефон, email или сообщение и передает их владельцу сайта или в CRM.
Что проверить:
форма;
согласие;
политика ПДн;
куда уходит заявка;
Метрика и пиксели;
CRM;
цели обработки;
категория “посетители сайта” и “заявители”.Интернет-магазин
Риск выше, потому что есть заказ, оплата, доставка, возврат, аккаунт, CRM и платежные документы.
Проверить:
покупатели;
получатели товара;
адрес доставки;
история заказов;
платежный провайдер;
доставка;
поддержка;
возвраты;
рассылки;
база данных в РФ;
уведомление об изменениях.SaaS или онлайн-сервис
Проверить:
аккаунты;
логи;
данные профиля;
тарифы;
подписку;
удаление аккаунта;
сервисные письма;
аналитику продукта;
иностранные сервисы;
подрядчиков поддержки.Сайт с Метрикой и GA
Даже если нет формы, но есть аналитика, нужно проверить, какие сведения собираются метрическими программами и как это отражено в документах и уведомлении.
Частые ошибки
“У нас только форма, уведомление не нужно”
Форма на сайте — это уже точка сбора персональных данных. Нужно проверить обязанность, а не отмахиваться.
“Политика опубликована, значит РКН закрыт”
Политика — это публичный документ. Уведомление — отдельное действие перед регулятором.
“Мы маленькая компания”
Размер компании сам по себе не освобождает от обязанности уведомления.
“CRM — это внутренний процесс”
Если заявка уходит в CRM, это часть обработки данных. Она должна быть учтена.
“Google Analytics — просто статистика”
Иностранные сервисы нужно проверять на фактическую передачу данных и трансграничный слой.
“Подали уведомление один раз и забыли”
Если изменились цели, категории данных, база, сервисы, трансграничная передача или ответственные лица, уведомление может потребовать обновления.
Чеклист перед подачей или обновлением уведомления
□ Определен оператор.
□ Собраны все формы сайта.
□ Собраны все цели обработки.
□ Определены категории субъектов.
□ Определены категории данных.
□ Учтены посетители сайта.
□ Учтены метрические программы.
□ Учтены CRM, email, платежи, доставка, хостинг.
□ Проверена трансграничная передача.
□ Проверена база данных в РФ.
□ Назначен ответственный, если нужно.
□ Проверены политика ПДн и согласия.
□ Проверены cookie и аналитика.
□ Подготовлены сведения для формы РКН.
□ Настроен процесс обновления уведомления при изменениях сайта.На что опирается этот материал
- 152-ФЗ, статья 22 об уведомлении
- Портал персональных данных РКН
- 152-ФЗ, статья 12 о трансграничной передаче
- 152-ФЗ, статья 18.1 о политике оператора
Что делать дальше
Сначала составьте карту обработки данных. Потом проверьте, подано ли уведомление и совпадает ли оно с фактическим сайтом. Если на сайте изменились формы, CRM, аналитика, рассылка, иностранные сервисы или checkout, проверьте необходимость обновления сведений.
