Обязанность уведомить Роскомнадзор при сборе имени и номера телефона на сайте с веб-аналитикой и рекламой
Здравствуйте. Вы правильно опасаетесь нарушений — ваш случай действительно требует выполнения ряда формальностей по закону. Разберем всё по порядку, простым языком, но со ссылками на конкретные нормы.
1. Являетесь ли вы оператором персональных данных?
Да, являетесь. Даже если вы собираете только имя и номер телефона — это уже персональные данные. Закон определяет их как:
«любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ст. 3 Федерального закона №152-ФЗ «О персональных данных»)
Имя + номер телефона позволяют определить человека (позвонить по номеру, обратиться по имени). А если вы используете IP-адреса, cookies, метки веб-аналитики — это дополнительная информация, которая еще точнее связывается с посетителем. Вы сами определяете, какие данные собирать и зачем, значит, вы — оператор.
2. Нужно ли уведомлять Роскомнадзор?
Да, нужно. Закон обязывает уведомить Роскомнадзор до начала обработки персональных данных, если только вы не подпадаете под исключения.
«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи» (ч. 1 ст. 22 №152-ФЗ)
Какие исключения действуют сейчас (с 1 сентября 2022 года)?
- Обработка без средств автоматизации (п. 8 ч. 2 ст. 22) — то есть если вы ведете бумажные карточки или Excel вручную. У вас сайт с формой и веб-аналитика — это автоматизированная обработка. Исключение не подходит.
- Государственные информационные системы (п. 7 ч. 2 ст. 22) — не ваш случай.
- Транспортная безопасность (п. 9 ч. 2 ст. 22) — тоже нет.
Других исключений (в том числе для «статистических целей» или «трудовых отношений») в текущей редакции закона нет — старые пункты утратили силу. Поэтому обязанность подать уведомление действует.
Отсутствие фамилии и отчества не имеет значения — закон не требует, чтобы в состав данных обязательно входила фамилия. Любая информация, позволяющая определить человека, является персональными данными. Вы оперируете именно такими.
3. Что будет, если не уведомить?
Штраф за невыполнение обязанности по уведомлению (ст. 13.11 КоАП РФ, часть 10):
«Невыполнение или несвоевременное выполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных — влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей; на должностных лиц — от тридцати тысяч до пятидесяти тысяч рублей; на юридических лиц — от ста тысяч до трехсот тысяч рублей»
Если вы — индивидуальный предприниматель, то по общему правилу (примечание к ст. 13.11) за правонарушения по ч. 10 вы несете ответственность как должностное лицо (штраф 30–50 тыс. руб.). Если вы просто физическое лицо без статуса ИП — штраф 5–10 тыс. руб.
Но это только за неуведомление. Если окажется, что вы еще и обрабатываете данные без согласия (а для рекламы согласие обязательно — см. ниже), то штрафы значительно выше (до 300 тыс. для юрлиц, до 100 тыс. для должностных за первичное нарушение, а за повторное — до 1,5 млн руб.).
4. Какие данные и цели нужно указать в уведомлении?
Уведомление должно содержать (ч. 3 ст. 22 №152-ФЗ):
- Ваши ФИО и адрес (как оператора).
- Цель обработки. В вашем случае можно указать: «Обработка обращений физических лиц через форму обратной связи на сайте, а также маркетинговая деятельность и веб-аналитика». Лучше не писать размыто «связь с клиентом», а конкретизировать.
- Правовое основание — например, «согласие субъекта персональных данных» (ст. 9 №152-ФЗ) и «договор, стороной которого является субъект» (п. 2 ч. 1 ст. 6 №152-ФЗ), если впоследствии вы заключаете договор с клиентом.
- Категории персональных данных (ч. 3.1 ст. 22): «имя, номер мобильного телефона, IP-адрес, cookie-файлы, данные о поведении на сайте».
- Категории субъектов — «посетители сайта, оставившие заявку через форму обратной связи».
- Перечень действий — сбор, запись, систематизация, накопление, хранение, использование, передача (например, сервисам аналитики и рекламным системам), уничтожение.
- Способы обработки — автоматизированная (с помощью средств вычислительной техники).
- Дата начала обработки — дата, когда вы начали или планируете начать сбор.
- Срок или условие прекращения — например, «до отзыва согласия субъектом или достижения цели обработки».
- Сведения о трансграничной передаче — если используете Google Analytics (серверы за рубежом), нужно указать «да» и подать отдельное уведомление о трансграничной передаче (ст. 12 №152-ФЗ). Для Яндекс.Метрики обычно серверы в РФ, но если вы уверены, что передача за рубеж не происходит, можно указать «нет».
- Сведения о месте нахождения базы данных — адрес сервера или хостинга, где хранятся данные (должен быть на территории РФ).
Как подать? Через портал Роскомнадзора (раздел «Обработка персональных данных»/«Уведомления»). Там есть готовая форма. Уведомление можно подписать электронной подписью или отправить бумажное письмо. Обычно проще через личный кабинет на сайте Роскомнадзора.
5. Важный момент: согласие на обработку для рекламы
Вы упомянули рекламу. Если вы планируете использовать данные для прямой рекламы (звонки, email-рассылка, таргетированная реклама в соцсетях), то закон требует предварительного согласия:
«Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных» (ч. 1 ст. 15 №152-ФЗ)
Кроме того, если вы передаете данные третьим лицам (Яндекс.Метрика, Google Analytics, рекламные кабинеты), то нужно получить согласие на передачу (ст. 9 №152-ФЗ). Согласие должно быть конкретным, предметным, информированным и однозначным. Лучше оформить его через чек-бокс (или другой активный элемент) на сайте перед отправкой формы. В согласии нужно указать, кому и для каких целей передаются данные.
6. Дополнительные требования
- Политика обработки персональных данных — вы обязаны разместить на сайте документ, в котором описано, какие данные собираете, как используете, как защищаете, права субъектов. Штраф за отсутствие такого документа — по ч. 3 ст. 13.11 КоАП: для ИП до 20 тыс. руб., для юрлиц до 60 тыс. руб.
- Локализация баз данных — при сборе персональных данных граждан РФ через интернет их обработка должна осуществляться с использованием баз данных, находящихся на территории РФ (ч. 5 ст. 18 №152-ФЗ). Если ваш хостинг за рубежом — это нарушение. Убедитесь, что сайт физически размещен в РФ, либо используйте российские сервисы.
7. Что делать прямо сейчас?
- Не откладывая, подайте уведомление в Роскомнадзор через портал. Это бесплатно.
- Разместите на сайте Политику обработки персональных данных (можно найти шаблоны, но лучше заказать у адвоката).
- Настройте получение согласия через форму обратной связи — добавьте чекбокс с текстом согласия, который пользователь должен активно отметить (не предустановленный). В согласии укажите все цели (связь, аналитика, реклама), перечень данных, срок действия, факт передачи третьим лицам.
- Проверьте, где находятся серверы ваших аналитических систем. Если используете Google Analytics — обязательно подайте отдельное уведомление о трансграничной передаче (ст. 12 №152-ФЗ). Если нет уверенности — проконсультируйтесь с адвокатом.
- Убедитесь, что база данных с данными клиентов хранится в РФ.
Вывод
Да, уведомление подать нужно. Отсутствие фамилии/отчества не освобождает от этой обязанности. Штрафы за нарушение существенные, а с учетом рекламной деятельности риски возрастают. Рекомендую обратиться к адвокату, специализирующемуся на персональных данных, для подготовки уведомления, политики и формы согласия — это сэкономит вам деньги и нервы в будущем.