Вопрос

Нужно ли подавать уведомление в Роскомнадзор ИП до публикации сайта, если сайт пока не собирает персональные данные, и как составить политику обработки данных с указанием всех будущих операторов

Добрый день! Я ИП, планирую запустить сайт с услугами в сфере маркетинга (аудит, подготовка материалов, организация мероприятий). Уже купила домен на reg.ru, но сайт не публикую, так как не подала уведомление в Роскомнадзор как оператор персональных данных. Пока я не собираю данные посетителей, но в будущем планирую минимальный сбор — логи и данные для договора. Яндекс.Метрику тоже пока не подключила. Сайт на Тильде, сначала не хотела форму обратной связи, но поняла, что раз уж всё равно готовить политику, то лучше её добавить. Вопрос: обязана ли я подавать заявление в Роскомнадзор до публикации сайта, если сайт пока не собирает данные? И нужно ли в политике обработки персональных данных заранее указывать всех, кому планирую передавать данные (Яндекс, Тильда, хостинг), а также ЦОДы? Это кажется избыточным — политика получается огромной, хотя неизвестно, будут ли вообще клиенты. Спасибо!

Вопрос №80913Ответы: 1

25.06.2026

Нейроадвокат

05:2525.06.2026

Налоговые проверки и аудит Нужен документ

Индивидуальный предприниматель планирует запуск сайта, на котором в будущем будет осуществляться сбор персональных данных (логи посетителей, данные контрагентов для заключения договоров). На текущий момент сайт не опубликован, сбор данных не производится, сервисы аналитики (Яндекс.Метрика) не подключены, формы обратной связи отсутствуют. Домен приобретён, сайт создаётся на платформе Тильда.

Ключевой юридический аспект данной ситуации — определение момента, с которого лицо приобретает статус оператора персональных данных. Согласно законодательству, оператором признаётся лицо, которое организует и (или) осуществляет обработку персональных данных. Юридически значимым является не сам факт регистрации домена или создания макета сайта, а начало фактической обработки данных: то есть их сбора, записи, систематизации, накопления, хранения или передачи. Пока сайт не размещён в открытом доступе, не ведётся сбор данных посредством форм обратной связи, не установлены счётчики и не заключаются договоры с контрагентами, фактическая обработка отсутствует.

Однако правовая неопределённость возникает из-за обязанности оператора уведомить Роскомнадзор до начала обработки. Закон не устанавливает точного срока подачи уведомления «заранее» (например, за месяц до запуска), но требует совершить это действие до того, как начнётся любая операция с персональными данными. Поэтому с формальной точки зрения подача уведомления именно до публикации сайта не является обязательной, если обработка на момент публикации всё ещё не начата (например, если страницы не содержат форм и кода сбора логов). Вместе с тем, состояние «планирования» и подготовки инфраструктуры (хостинг, IP-логи) уже может порождать риски: технически даже простая загрузка сайта на сервер может запустить фиксацию технических логов (IP-адреса, user-agent) веб-сервером или платформой Тильда, что уже является сбором данных. В такой ситуации предприниматель может быть признан оператором с момента первого обращения посетителя к сайту.

Что касается политики обработки персональных данных, её содержание должно отражать реальные процессы обработки на момент её утверждения. Закон не требует включать в политику исчерпывающий перечень всех возможных будущих контрагентов или третьих лиц, с которыми отношения ещё не возникли и даже не запланированы на конкретный срок. Если на момент составления политики передача данных Яндексу (для Метрики), Тильде или ЦОДам не осуществляется и не поставлена на конкретную дату, то включение абстрактного перечня всех потенциальных участников действительно избыточно. Однако есть важный нюанс: если предприниматель твёрдо знает, что при появлении клиентов данные неизбежно будут передаваться этим сервисам (например, все данные будут храниться на серверах Тильды, а для рассылок будет использоваться Яндекс), то для соблюдения принципа добросовестности и прозрачности (ст. 5 Закона «О персональных данных») рекомендуется изначально указать в политике круг лиц, которым данные могут быть переданы в рамках обычного функционирования сайта. При этом закон не требует перечислять всех поимённо — достаточно указать категории (например, «владельцы платформы, на которой размещён сайт», «владельцы систем аналитики», «хостинг-провайдеры»).

Юридически значимым обстоятельством является также состав обрабатываемых данных: технические логи (IP-адрес, дата и время посещения, тип браузера) являются персональными данными, если они позволяют идентифицировать конкретное лицо (например, в совокупности с cookies, логином или уникальным идентификатором устройства). Поэтому планы по сбору «минимальных логов» уже требуют осознанного подхода к определению статуса оператора.

Согласно определению, содержащемуся в Федеральном законе «О персональных данных», оператором признаётся лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели такой обработки. Индивидуальный предприниматель, планирующий организовать сбор персональных данных посетителей сайта (логи, данные для договора) и тем самым определяющий цели и средства обработки, становится оператором с момента, когда возникает намерение осуществлять такую деятельность. Это означает, что статус оператора не зависит от фактического начала сбора, а определяется намерением и подготовительными действиями.

Статья 3 содержит определения ключевых понятий: персональные данные (п.1), оператор (п.2), обработка персональных данных (п.3), предоставление персональных данных (п.6). Эти определения необходимы для ответа на вопросы, так как позволяют установить, является ли ИП оператором, что считается обработкой, и что такое предоставление данных третьим лицам.
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 3

Статья 22 закона устанавливает императивное требование: оператор до начала обработки персональных данных обязан уведомить уполномоченный орган (Роскомнадзор) о своём намерении. В рассматриваемой ситуации сайт ещё не опубликован, сбор данных не производится, но планируется — значит, момент «начала обработки» ещё не наступил. Однако обязанность подать уведомление возникает до того, как будет осуществлён первый фактический сбор данных, а не в момент планирования. Таким образом, пока персональные данные не обрабатываются (не собираются, не систематизируются, не накапливаются), подавать уведомление не требуется. Исключение из общего правила (часть 2) допускает обработку без уведомления в ряде случаев, в том числе при обработке исключительно без использования средств автоматизации. Поскольку в будущем планируется сбор через сайт (автоматизированная система Тильда, логи, Яндекс.Метрика), это исключение не применимо. Следовательно, уведомление должно быть подано до того момента, как начнётся любая операция с персональными данными (например, как только пользователь заполнит форму обратной связи и данные поступят на сервер).

Статья 22. Уведомление об обработке персональных данных

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: ... 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации; ...

— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 22

Статья 18.1 предписывает оператору принимать меры, направленные на обеспечение выполнения обязанностей, в том числе издавать документы, определяющие политику в области обработки персональных данных. Политика является локальным актом, который должен быть разработан до начала обработки, но не обязательно содержать исчерпывающий перечень всех третьих лиц, которым данные могут передаваться в будущем. Закон требует, чтобы политика раскрывала сведения о целях, правовых основаниях, перечне обрабатываемых данных, сроках, порядке уничтожения и иных обязательных элементах. Если на момент составления политики конкретная передача данных третьим лицам (Яндекс, Тильда, хостинг, ЦОДы) ещё не осуществляется и не запланирована на определённом этапе, включать их поименный перечень не обязательно. Достаточно указать, что данные могут передаваться лицам, обеспечивающим техническое функционирование сайта, по мере необходимости, с последующим уточнением в политике при начале фактической передачи. Оператор вправе самостоятельно определить состав и перечень мер, исходя из принципа разумной достаточности. Вместе с тем, если передача данных конкретному сервису (например, Яндекс.Метрика) планируется, рекомендуется указать это в политике сразу, чтобы избежать необходимости её срочного изменения, — закон не устанавливает запрета на включение потенциальных обрабатывающих лиц.

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом. 1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся: ... 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику о
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 18.1

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение

Подача уведомления в Роскомнадзор до публикации сайта не является формальной обязанностью, пока обработка данных фактически не началась. Однако при размещении сайта на сервере автоматическая фиксация технических логов (IP-адресов) с первого обращения посетителя признаётся сбором персональных данных, что делает вас оператором. Поэтому во избежание нарушения уведомление нужно подать до запуска сайта. Политика обработки данных не требует заранее перечислять всех потенциальных третьих лиц — достаточно указать категории (например, хостинг-провайдер, владелец платформы, сервисы аналитики), а упоминание конкретных сервисов (Яндекс, Тильда) возможно, но не обязательно с точки зрения закона.

Вопрос

Столкнулись с похожей ситуацией?

Рекомендуемые действия