Иконка поиска

Вопрос

Обработка персональных данных через форму обратной связи на сайте: только номер телефона и юридические последствия

Добрый день. У меня на сайте есть форма обратной связи, где пользователи указывают только номер своего телефона, без других данных. Я хочу разобраться, считается ли это обработкой персональных данных по закону, и если да, то почему именно? Ответ нужен, чтобы правильно оформить политику конфиденциальности на сайте и избежать проблем. Также интересует, как это регулируется, если сайт используется для коммерческой деятельности, данные хранятся в базе какое-то время, но никуда не передаются третьим лицам – это всё равно подпадает под обработку? Добавьте, пожалуйста, детали про то, что нужно указывать в политике в таком случае. Спасибо за помощь!

Вопрос №58981Ответы: 1
15.04.2026
Аватар НейроадвокатаНейроадвокат
Обработка номера телефона через форму обратной связи на коммерческом сайте

Анализ вашей ситуации

Вы собираете номера телефонов посетителей через форму обратной связи на коммерческом сайте, храните их в базе данных и используете для связи с клиентами, не передавая третьим лицам.

1. Является ли номер телефона персональными данными?

Да, является. Согласно законодательству, персональные данные — это "любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).

Номер мобильного телефона позволяет идентифицировать конкретное физическое лицо (его владельца), даже если не указаны ФИО. Телефонный номер закреплен за конкретным абонентом и через него можно установить личность, поэтому он однозначно относится к персональным данным.

2. Являются ли ваши действия обработкой персональных данных?

Да, являются. Закон определяет обработку как "любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение..." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).

Ваши действия — сбор номеров через форму, их запись в базу данных и хранение — полностью подпадают под это определение.

3. Применяются ли к вам обязанности оператора персональных данных?

Да, применяются. Вы являетесь оператором персональных данных, так как "организуете и осуществляете обработку персональных данных, а также определяете цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3).

Факт использования сайта в коммерческих целях только подтверждает, что обработка осуществляется в рамках предпринимательской деятельности.

4. Освобождает ли отсутствие передачи данных третьим лицам от соблюдения закона?

Нет, не освобождает. Обязанности оператора возникают с момента начала обработки данных, независимо от того, передаются они третьим лицам или нет. Конфиденциальность — лишь одно из требований: "Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 7).

Однако помимо конфиденциальности, оператор обязан соблюдать все остальные требования закона: получать согласие, обеспечивать безопасность, информировать субъектов и т.д.

5. Требуется ли согласие на обработку и как его получить?

Да, требуется. "Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 6).

Простая отправка номера через форму НЕ является автоматическим выражением согласия. Закон устанавливает требования к согласию: "Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 9).

На практике это означает, что рядом с формой обратной связи должна быть:

  • Четко видимая ссылка на политику конфиденциальности
  • Галочка (checkbox), которую пользователь должен отметить, подтверждая, что он ознакомлен с политикой и согласен на обработку своих персональных данных
  • Текст примерно такого содержания: "Нажимая кнопку "Отправить", я даю согласие на обработку моих персональных данных в соответствии с Политикой конфиденциальности"

6. Нужно ли уведомлять Роскомнадзор?

Да, нужно. "Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 22).

Исключения из этого правила не применяются к вашей ситуации, так как:

  • Вы осуществляете обработку с использованием средств автоматизации (форма на сайте)
  • Обработка не относится к исключительным случаям, перечисленным в части 2 статьи 22

7. Что должно быть указано в политике конфиденциальности?

Политика должна содержать информацию, которую оператор обязан предоставить субъекту персональных данных. В соответствии с законом, при сборе персональных данных оператор обязан предоставить субъекту информацию, включая:

  1. Наименование или фамилию, имя, отчество и адрес оператора
  2. Цель обработки персональных данных и ее правовое основание
  3. Перечень персональных данных
  4. Установленные законом права субъекта персональных данных (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18)

Дополнительно политика должна отражать принципы обработки: "Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей" и "Хранение персональных данных должно осуществляться... не дольше, чем этого требуют цели обработки персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 5).

8. Требования к обеспечению безопасности

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19).

Конкретные меры зависят от типа и объема обрабатываемых данных, но как минимум включают организационные меры (назначение ответственного, регламенты доступа) и технические (защита базы данных, шифрование при передаче).

Выводы и рекомендации

  1. Вы являетесь оператором персональных данных, поскольку собираете и храните номера телефонов посетителей сайта.

  2. Необходимо получить согласие на обработку персональных данных через явный механизм (галочка с ссылкой на политику).

  3. Требуется разработать и разместить на сайте политику конфиденциальности, которая должна содержать:

    • Ваши реквизиты как оператора
    • Цели обработки данных (связь с клиентами)
    • Перечень обрабатываемых данных (номера телефонов)
    • Права субъектов персональных данных
    • Сведения о принимаемых мерах безопасности
    • Сроки хранения данных
  4. Необходимо направить уведомление в Роскомнадзор о начале обработки персональных данных.

  5. Следует принять меры по обеспечению безопасности обрабатываемых данных в соответствии с требованиями законодательства.

  6. Отсутствие передачи данных третьим лицам не освобождает от выполнения остальных обязанностей оператора.

Рекомендую обратиться к адвокату, специализирующемуся на информационном праве, для разработки полного комплекта документов и консультации по конкретным мерам безопасности, соответствующим масштабам вашей деятельности.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение