Вопрос

Административные правонарушения в области промышленной безопасности

Нужно ли уведомлять Роскомнадзор и получать согласие на обработку персональных данных для сайта-визитки самозанятого без формы обратной связи, если в подвале есть ссылка на политику конфиденциальности из шаблона

Добрый день. У меня есть сайт по созданию сайтов, формы обратной связи нет — только мои контакты (номер, почта, мессенджеры). В подвале сайта я добавил ссылку на политику конфиденциальности, которую сделал через конструктор. Вопрос: нужно ли мне уведомлять Роскомнадзор как оператора сбора данных? И нужно ли получать согласие на обработку персональных данных? И если я всё-таки сделаю форму обратной связи (номер, имя, почта, мессенджер), нужно ли уведомлять Роскомнадзор, ведь я собираю данные только для связи по заказу? И достаточно ли политики конфиденциальности, или нужно ещё отдельное согласие на обработку? Я оформлен как самозанятый. Политику я уже разместил, но в ней нет подробностей про конкретные цели — я просто скопировал шаблон. Мой сайт сейчас только на визитке, но планирую добавить формы. Получается, что я всё равно обрабатываю данные, когда клиент звонит или пишет — но без формы. Подскажите, как правильно.

Вопрос №78249Ответы: 1

18.06.2026

Нейроадвокат

11:1318.06.2026

Административные правонарушения в области промышленной безопасности Нужен документ

Ситуация представляет собой правоотношения в сфере обработки персональных данных, регулируемые Федеральным законом № 152-ФЗ «О персональных данных». Юридически значимым является факт, что самозанятый гражданин, владеющий сайтом-визиткой, выступает в роли оператора персональных данных, поскольку он самостоятельно организует и осуществляет обработку данных клиентов, поступающих через указанные на сайте контактные средства (телефон, электронная почта, мессенджеры).

Основное событие — обработка персональных данных клиентов, которая, по факту, уже началась: когда клиенты звонят или пишут в мессенджеры, они передают свои персональные данные (например, имя, номер телефона, адрес электронной почты). Даже при отсутствии формы обратной связи такая передача и последующее использование данных (например, для связи с целью заключения или исполнения договора) подпадают под понятие обработки персональных данных. Следовательно, на самозанятого распространяется обязанность соблюдать требования закона, в том числе в части уведомления уполномоченного органа (Роскомнадзора) о начале обработки данных, если такая обработка не подпадает под исключения, установленные частью 2 статьи 22 Закона № 152-ФЗ.

Юридически значимым обстоятельством является также то, что клиенты передают данные добровольно, инициируя контакт по собственной воле. Это создает ситуацию, при которой обработка может быть признана необходимой для достижения цели, предусмотренной договором (или для его заключения), что влияет на необходимость получения отдельного согласия на обработку. Существенное значение имеет и отсутствие на сайте формы обратной связи на текущий момент — это меняет способ сбора данных, но не отменяет сам факт их получения и последующей обработки.

Планируемое добавление формы обратной связи (сбор имени, телефона, email) является изменением способа сбора данных, что может повлиять на квалификацию обработки: форма сделает сбор более систематическим и публично-заявленным, что может изменить объем обязанностей оператора, особенно в части возможности применения исключений из требований по уведомлению Роскомнадзора.

Также важным юридическим фактом является содержание политики конфиденциальности. Она размещена на сайте и представляет собой шаблонный текст без конкретных целей обработки. Юридически это означает, что оператор, по сути, не информирует субъектов данных о целях, способах и условиях обработки, что может расцениваться как невыполнение требований к раскрытию информации, предусмотренных статьей 18.1 Закона № 152-ФЗ. Отсутствие конкретики напрямую затрагивает право субъектов на получение информации о своих данных и может сделать политику формальной, не соответствующей реальному положению дел.

Ключевые правоотношения: оператор персональных данных (самозанятый) ↔ субъекты персональных данных (клиенты). Основание возникновения — факт передачи клиентами своих данных через контактные каналы (а также планируемый сбор через форму). Основные правовые вопросы касаются обязанности уведомить Роскомнадзор, необходимости получать согласие на обработку и требований к содержанию политики конфиденциальности.

Согласно части 1 статьи 22 Федерального закона «О персональных данных», оператор обязан до начала обработки уведомить Роскомнадзор, за исключением случаев, перечисленных в части 2 той же статьи. В вашей текущей ситуации (сайт без формы обратной связи, но с указанными контактными данными – номером телефона, почтой, мессенджерами) клиенты самостоятельно передают вам свои персональные данные (имя, номер, email) в ходе устных или письменных обращений. Это является сбором и последующей обработкой (запись в телефонную книгу, сохранение переписки, хранение контактов). Если вы ведёте учёт таких данных в электронном виде (например, храните историю переписки в мессенджере на смартфоне или компьютере), обработка осуществляется с использованием средств автоматизации. В таком случае исключение, предусмотренное пунктом 8 части 2 статьи 22, не применяется, поскольку там указана возможность обработки без уведомления только тогда, когда оператор обрабатывает данные исключительно без использования средств автоматизации — например, ведёт бумажный журнал без какой-либо компьютерной записи. Если вы ведёте учёт исключительно на бумаге, то уведомление не требуется. Если же хотя бы часть данных хранится в цифровом виде — уведомление необходимо, так как иных исключений, применимых к вашему случаю, в части 2 статьи 22 не предусмотрено (в контексте нет упоминаний об исключениях для самозанятых или малого бизнеса).

"1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации;"
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 22

Что касается необходимости получения согласия на обработку персональных данных при самостоятельном предоставлении их клиентом (звонок, сообщение в мессенджер), решающее значение имеет цель обработки. Статья 6 Федерального закона № 152-ФЗ среди оснований для обработки без согласия субъекта называет случай, когда обработка необходима для заключения договора по инициативе субъекта или для исполнения договора. Если клиент, позвонив или написав, инициирует обсуждение ваших услуг, а вы используете его данные исключительно для связи с ним с целью заключения или исполнения договора (назвать цену, обсудить условия, выполнить заказ), то согласие не требуется — достаточно факта обращения. Однако важно, чтобы вы не использовали эти данные для других целей (например, рассылка рекламы). Если вы планируете отправлять клиентам информацию о новых услугах, такое согласие необходимо получать отдельно. Таким образом, при обработке только для связи по заказу согласие не нужно, если обращение поступило от самого субъекта. Но при этом вы обязаны соблюдать принципы обработки, установленные статьёй 5.

"1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; ... 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем."
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 6

Теперь о достаточности политики конфиденциальности, составленной по шаблону без конкретных целей. Общие требования к политике установлены статьёй 18.1, но в предоставленном контексте приведена только часть статьи, касающаяся мер, принимаемых оператором. В частности, пункт 2 части 1 этой статьи упоминает издание оператором, являющимся юридическим лицом, документов, определяющих политику. Однако вы — самозанятый, а не юридическое лицо, поэтому формально эта норма не предписывает вам именно издавать политику. Тем не менее, из статьи 5 (принципы обработки) следует, что обработка должна быть законной, справедливой, ограничиваться конкретными целями, а содержание и объём данных должны соответствовать заявленным целям. Политика конфиденциальности — это основной документ, который реализует эти принципы, информируя субъектов о целях, правовых основаниях, сроках обработки и т.д. Если вы уже разместили политику, она должна быть содержательной: из шаблона необходимо убрать общие фразы и чётко указать, что вы обрабатываете персональные данные исключительно для связи с клиентами по поводу ваших услуг (создание сайтов), а также что вы не передаёте данные третьим лицам без согласия. Отсутствие конкретики в политике — это нарушение требований к информированию, так как субъект не понимает, зачем и как именно вы используете его данные. При этом само по себе размещение политики не заменяет согласия в тех случаях, когда согласие необходимо (например, для рекламных рассылок). Для обработки в рамках договора достаточно политики и факта обращения клиента, но политика должна быть конкретной. Если вы будете использовать шаблон без указания целей, вас могут привлечь к ответственности за непредоставление информации субъекту (статья 18 Федерального закона № 152-ФЗ). В контексте этой статьи указано, что при сборе персональных данных оператор обязан предоставить по просьбе субъекта информацию, предусмотренную частью 7 статьи 14. Поскольку лица обращаются к вам по своей инициативе, вы не обязаны каждый раз устно разъяснять все детали, но политика должна содержать эти сведения, чтобы субъект мог с ними ознакомиться.

"Статья 5. Принципы обработки персональных данных

Обработка персональных данных должна осуществляться на законной и справедливой основе.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
...

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки."
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 5

При добавлении на сайт формы обратной связи, собирающей имя, номер телефона и email, ситуация меняется. Вы становитесь оператором, который целенаправленно собирает персональные данные, то есть инициируете сбор. В этом случае уже не действует «пассивное» получение данных от клиента. Если обработка осуществляется только для связи по заказу, то основание по пункту 5 части 1 статьи 6 (исполнение договора / заключение договора по инициативе субъекта) остаётся применимым, поскольку человек, заполняя форму, сам инициирует контакт. Однако позиция Роскомнадзора и судебная практика часто требуют отдельного согласия при активном сборе через форму, даже если цель — заключение договора. Чтобы минимизировать риски, рекомендуется получать согласие (например, через чекбокс «Даю согласие на обработку персональных данных»), хотя формально пункт 5 статьи 6 может служить основанием без согласия, если вы чётко ограничиваетесь обработкой для заключения и исполнения договора. Что касается уведомления Роскомнадзора, то с появлением формы обработка однозначно будет осуществляться с использованием средств автоматизации (база данных сайта, почтовый сервер), поэтому уведомление становится обязательным, если исключения не применяются. Исключение по пункту 8 части 2 статьи 22 (без средств автоматизации) уже не сработает, так как форма — это автоматизированный сбор. Других исключений, подходящих для вас (например, для операторов, имеющих лицензию или обрабатывающих данные без передачи третьим лицам, или для целей пропаганды), в предоставленном контексте нет. Таким образом, до запуска формы вам нужно подать уведомление в Роскомнадзор.

Касательно требований к содержанию политики конфиденциальности: в контексте дана только часть статьи 18.1, которая не раскрывает полного содержания. Тем не менее, из общих принципов и обязанностей оператора (статьи 5, 6, 18) следует, что политика должна содержать:

сведения об операторе (ФИО, статус самозанятого);
цели обработки (для связи по заказу, консультации, исполнение договора);
перечень обрабатываемых данных (имя, телефон, email);
правовое основание (пункт 5 части 1 статьи 6);
сроки обработки и хранения;
порядок отзыва согласия (если вы его получаете);
информацию о трансграничной передаче (если нет);
меры по защите данных.
Так как вы — самозанятый, вы не обязаны публиковать политику в каком-то строго определённом формате, но она должна быть доступна субъектам (что вы уже сделали). Шаблон без конкретных целей — это нарушение принципов статьи 5, так как цели не определены заранее, и объём данных может оказаться избыточным. Рекомендуется доработать политику, указав конкретные цели (например: «обработка персональных данных осуществляется в целях предоставления консультаций, заключения и исполнения договоров на создание сайтов»). Кроме того, если вы получаете данные по телефону или в мессенджере, вы должны при первом контакте устно либо в тексте сообщения информировать о том, что данные будут обрабатываться в соответствии с политикой, — это требование статьи 18 (обязанность предоставить информацию), хотя в контексте эта статья дана неполностью, но её суть сохраняется.

"Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом.

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся: ... 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику о"
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 18.1

Резюмируя:

Уведомление Роскомнадзора — при текущей ситуации (без формы) обязательно, если вы храните контакты клиентов в электронном виде; если исключительно на бумаге — не требуется. При добавлении формы уведомление становится обязательным в любом случае, так как средства автоматизации используются.
Согласие на обработку — при получении данных от клиента по его инициативе (звонок, письмо) для цели заключения договора согласие не требуется (основание — п.5 ч.1 ст.6). При добавлении формы рекомендуется получать согласие через чекбокс, хотя закон допускает обработку без него при наличии договорных отношений. Для любых иных целей (реклама, статистика) согласие обязательно.
Политика конфиденциальности — размещение политики необходимо, но шаблон должен быть адаптирован под ваши реальные цели. Отсутствие конкретики — нарушение. Отдельное согласие не нужно для договорной обработки, но политика должна разъяснять субъекту его права и ваши действия.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение

Уведомление Роскомнадзора обязательно уже сейчас, если данные клиентов (контакты, переписка) хранятся в цифровом виде (телефон, мессенджеры, компьютер), и потребуется при запуске формы обратной связи в любом случае. Отдельное согласие на обработку данных, добровольно переданных клиентом для обсуждения и исполнения заказа, не требуется, однако при добавлении поля для сбора сведений через сайт его получение настоятельно рекомендовано во избежание претензий. Размещённая шаблонная политика без указания конкретных целей, перечня данных и оснований не соответствует закону и подлежит немедленной доработке.

Вопрос

Столкнулись с похожей ситуацией?

Рекомендуемые действия