Человек заходит на сайт, видит форму «Оставьте заявку» и вводит имя с телефоном. Нажимает «Отправить». С этой секунды сайт уже обрабатывает его персональные данные — и несёт за это юридическую ответственность.
Большинство владельцев сайтов об этом не думают. Форма стоит, заявки приходят, всё работает. Но отсутствие правильно оформленного согласия — это нарушение 152-ФЗ, даже если данные никуда не утекают.
Разберём, что требует закон, какие документы нужны и что грозит за их отсутствие.
Почему форма обратной связи считается сбором персональных данных
Персональные данные — это любая информация, которая относится к конкретному человеку. Имя — персональные данные. Телефон — тоже. Email — тоже, потому что привязан к конкретному лицу.
Как только форма принимает хотя бы одно такое поле — начинается обработка персональных данных. Неважно, что происходит дальше: письмо лежит на почте или сразу удалилось. Сам факт передачи данных через форму — уже обработка по смыслу 152-ФЗ.
Владелец сайта в этот момент автоматически становится оператором персональных данных — со всеми вытекающими обязанностями.
Юридические требования к размещению формы
Закон не запрещает собирать данные через форму. Он требует делать это правильно: с согласия пользователя. Три обязательных элемента рядом с каждой формой:
Чек-бокс согласия — пустой по умолчанию
Пользователь ставит галочку сам. Предустановленная галочка юридически недействительна: человек не совершал никакого действия. Как правильно оформить галочку согласия — подробный разбор со стороны закона.
Кликабельная ссылка на политику конфиденциальности
Не просто текст «согласен с политикой», а именно ссылка, по которой можно прочитать документ. Фраза без ссылки не даёт пользователю возможности понять, с чем он соглашается.
Блокировка отправки без согласия
Форму нельзя отправить, пока пользователь не поставил галочку. Либо кнопка неактивна, либо форма выдаёт ошибку — оба варианта подходят.
Состав необходимых документов
Форма с чек-боксом — только одна часть. Нужны ещё и сами документы, на которые она ссылается.
Политика конфиденциальности. Основной документ: описывает, какие данные собираются, зачем, как хранятся, кому передаются, как пользователь может отозвать согласие. Публикуется на отдельной странице сайта. Подробнее — как правильно разместить политику конфиденциальности.
Согласие пользователя. Это не отдельный документ, а действие — галочка в чек-боксе. Фиксируется технически: дата и время отправки формы с отмеченным чек-боксом. Письменное согласие в бумажном виде нужно только для особых категорий данных — биометрия, сведения о здоровье, судимости.
Пользовательское соглашение. Необязательный, но полезный документ для сайтов с регистрацией, личным кабинетом или платным сервисом. Отличается от политики тем, что регулирует правила использования сайта в целом, а не только обработку данных.
Технические требования к защите данных
Мало собрать данные с согласия — нужно ещё и передавать их безопасно. На практике для большинства сайтов это означает три вещи.
HTTPS вместо HTTP. Данные из формы передаются зашифрованными. Для этого нужен SSL-сертификат. Сайт без HTTPS передаёт данные открытым текстом — это нарушение требований к защите. Браузеры ещё и показывают предупреждение «Небезопасное соединение».
Хранение на серверах в РФ. При первичном сборе данных российских граждан сервер должен находиться на территории России. Если CRM или хостинг зарубежные — вопрос локализации данных нужно решать отдельно.
Ограничение доступа. Заявки из форм не должны быть доступны всем сотрудникам подряд. Только тем, кому это нужно для работы. Логи и базы — под паролем, с разграничением прав.
Ответственность за нарушения
Штрафы за нарушения в сфере персональных данных существенно выросли с 2024 года. Проверки чаще всего начинаются по жалобам пользователей, но бывают и плановые.
| Нарушение | Штраф |
|---|---|
| Обработка данных без согласия | 300 000 — 700 000 ₽ |
| Повторное нарушение | до 1 500 000 ₽ |
| Отсутствие политики конфиденциальности | до 60 000 ₽ |
| Хранение данных за пределами РФ | 100 000 — 300 000 ₽ |
При визите проверяющих из Роскомнадзора нужно быть готовым предъявить политику конфиденциальности, логи форм с отметками чек-боксов и документы, описывающие, кто имеет доступ к данным. Подробнее — об ответственности за нарушения.
Частые вопросы
Сайт маленький, заявок мало — нужно ли всё равно оформлять согласие?
Форма только для обратного звонка — один телефон. Согласие тоже нужно?
Можно ли один чек-бокс использовать сразу для нескольких форм на странице?
Нужно ли хранить доказательства того, что пользователь дал согласие?
Главное
Любая форма на сайте, которая принимает имя, телефон или email — это сбор персональных данных. Не важно, насколько простой сайт и сколько заявок приходит в день.
Для соблюдения закона нужно три вещи: чек-бокс рядом с каждой формой (пустой по умолчанию), кликабельная ссылка на политику конфиденциальности — и сама эта политика на отдельной странице сайта.
Дополнительно — HTTPS и хранение данных на серверах в России. Всё это несложно реализовать, зато защищает от штрафов и претензий.