Но как только на сайте появляется форма заявки, обратной связи, корзина, регистрация, подписка на рассылку или устанавливаются cookie, которые позволяют идентифицировать пользователя, — сайт становится инструментом обработки ПДн, и уведомление необходимо.
Обоснование по законодательству
- ФЗ-152, ст. 22: оператор обязан уведомить Роскомнадзор до начала обработки ПДн.
- ФЗ-152, ст. 3: обработка — любое действие с персональными данными (сбор, запись, хранение, систематизация и т. д.).
- Если сайт не собирает данные и не даёт возможности идентифицировать посетителей, формально обработки нет, и обязанности по уведомлению не возникает.
Дополнительные пояснения
— Даже сайт-визитка может собирать данные через счётчики аналитики (Яндекс.Метрика, Google Analytics). Если в них включён сбор идентификаторов (cookie, IP-адреса), это уже обработка ПДн.
— Если визитка указывает только контакты компании (телефон, адрес, e-mail) и не предусматривает никаких форм обратной связи, уведомление не требуется.
— На практике Роскомнадзор проверяет наличие политики ПДн даже у визиток, так как часто такие сайты используют метрику или виджеты.
Пример из практики
Компания сделала сайт-визитку без форм обратной связи, но установила Яндекс.Метрику. При проверке Роскомнадзор признал сбор cookie и IP-адресов обработкой ПДн и потребовал подать уведомление.
Рекомендации и выводы
— Если у вас «чистая визитка» без форм и аналитики — уведомление не нужно.
— Если установлен хотя бы счётчик с cookie или формой обратной связи — уведомление обязательно.
— Даже для визитки полезно разместить политику ПДн, чтобы исключить риски при проверке.
