Согласие на обработку персональных данных (ПДн) — добровольное, конкретное, информированное и сознательное волеизъявление субъекта персональных данных, которым он разрешает оператору обрабатывать свои данные в указанных целях. Требование получения согласия закреплено в статье 9 Федерального закона № 152-ФЗ «О персональных данных».
Как работает в хостинге
При регистрации аккаунта хостинг-провайдер собирает персональные данные: ФИО, email, телефон, адрес (для юрлиц — ИНН, реквизиты). Перед отправкой формы пользователь должен явно подтвердить согласие — чекбокс «Я согласен(на) на обработку персональных данных» с ссылкой на политику конфиденциальности.
Требования к согласию по 152-ФЗ:
- Конкретность цели — нельзя давать согласие «на любые цели». Должно быть указано: регистрация аккаунта, выставление счетов, рассылка уведомлений.
- Добровольность — нельзя отказывать в услуге при отказе от согласия на маркетинговые цели. Обязательная обработка (исполнение договора) не требует согласия.
- Информированность — субъект должен знать: кто оператор, какие данные, зачем, как долго хранятся, кому передаются.
- Отзывность — субъект вправе в любой момент отозвать согласие.
Согласие на рекламные рассылки (email-маркетинг) — отдельное согласие. Нельзя объединять согласие на обработку ПДн с согласием на получение рекламы в один чекбокс.
Технические требования к сайтам
Для легальной работы сайта, собирающего ПДн:
- Политика конфиденциальности — опубликована и доступна до начала обработки данных.
- Форма согласия — чекбокс, не предзаполненный (пользователь должен поставить галочку сам).
- Хранение данных — на серверах в РФ для российских граждан (локализация данных — статья 18 152-ФЗ).
- Передача данных третьим лицам (облачные сервисы, CRM, email-провайдеры) — требует либо согласия, либо поручения на обработку.
Требование локализации данных граждан РФ на российских серверах — ключевой аргумент для выбора российского хостинга: данные должны первично обрабатываться на российских серверах.
История
152-ФЗ «О персональных данных» принят в 2006 году в соответствии с Конвенцией Совета Европы ETS № 108 (1981). Требование локализации добавлено поправками в 2015 году (вступило в силу 1 сентября 2015). Штрафы за нарушение до 2021 года были минимальными (75 000 руб.). С 2022–2023 годов штрафы существенно выросли: за утечку ПДн — до 15 млн руб., за повторные нарушения — до 300 млн руб. GDPR (ЕС) — аналогичный европейский регулятор, вступивший в силу в 2018 году, с штрафами до 20 млн евро или 4% годового оборота.
На что обращать внимание
Типичные ошибки операторов: предзаполненный чекбокс согласия, отсутствие ссылки на политику конфиденциальности, объединение разных согласий (обязательная обработка + маркетинг) в один чекбокс. Зарубежные облачные сервисы (Google Analytics, HubSpot, Mailchimp) требуют поручения на обработку персональных данных и соответствующих пунктов в политике. Роскомнадзор ведёт реестр операторов ПДн — при обработке данных сторонних лиц рекомендуется уведомить регулятора (статья 22 152-ФЗ). Сайты с формой обратной связи, регистрацией, интернет-магазины — все являются операторами ПДн.
ПДн и хостинг
По 152-ФЗ персональные данные российских граждан должны храниться на серверах в России. Российский хостинг автоматически выполняет это требование. Иностранные провайдеры (AWS, Hetzner) — нарушение 152-ФЗ при хранении ПДн россиян. Политика конфиденциальности — обязательный документ на сайте, собирающем ПДн (имена, email, телефоны). Согласие на обработку ПДн: checkbox на форме регистрации + текст согласия. SSL-сертификат обязателен для шифрования передаваемых ПДн. Хранение ПДн в MySQL/PostgreSQL на сервере в РФ — стандартная практика соответствия 152-ФЗ.