Почему это касается каждого сайта с формой
Имя и телефон в форме «Заказать звонок» — это персональные данные. Собираете их — вы оператор персональных данных со всеми обязанностями по 152-ФЗ. Штрафы ощутимо выросли и продолжают ужесточаться: за отсутствие согласия — до 300 тыс. ₽ для юрлица (повторно — до 500 тыс.), за утечки — миллионы, а с 2025 года действуют и оборотные штрафы за повторные утечки. Роскомнадзор проверяет сайты в том числе автоматикой, так что «мы маленькие, нас не заметят» больше не работает.
Дисклеймер: мы разработчики, а не юристы; статья — ориентир, для сложных случаев нужен юрист по ПД.
Минимальный комплект для сайта
1. Политика обработки персональных данных
Отдельная страница: какие данные собираете, зачем, как храните и защищаете, кому передаёте, как удалить. Ссылка — в подвале каждой страницы. Шаблон из интернета — лучше, чем ничего, но адаптируйте под себя: перечисленные в политике цели должны совпадать с реальностью.
2. Согласие в каждой форме
- Чекбокс «Согласен на обработку персональных данных» со ссылкой на политику — у каждой формы: заявка, обратный звонок, комментарии, подписка.
- Чекбокс не проставлен заранее — это прямое требование.
- Без отметки форма не отправляется.
- Согласие на рассылку — отдельным чекбоксом, не «в нагрузку» к заявке.
3. Уведомление Роскомнадзора
Оператор обязан уведомить РКН о начале обработки ПД до её начала — через форму на сайте ведомства. Исключений почти не осталось. Бесплатно, делается один раз, за неподачу — штраф.
4. Баннер cookies
Метрика и пиксели собирают идентификаторы, которые практика относит к ПД. Ставьте баннер «Мы используем cookies» со ссылкой на политику. Требования ужесточаются в сторону явного согласия — заложите возможность «принять/отклонить».
5. Хранение данных в России
Базы с ПД россиян должны первично храниться на серверах в РФ. Практический вывод: хостинг и база — российские; зарубежные сервисы форм и CRM — юридический риск.
Технические меры (спросят при проверке и при утечке)
- HTTPS на всём сайте — передача форм в открытом виде это уже «неприятие мер защиты».
- Доступ к заявкам — по ролям, не «пароль от админки в общем чате».
- Обновления CMS и плагинов — большинство утечек малого бизнеса происходят через дырявые плагины.
- Назначенный ответственный за обработку ПД (приказом) и пара внутренних документов — их запрашивают первыми.
- Об утечке теперь обязательно уведомлять РКН в течение 24 часов — имейте план на этот случай.
Частые заблуждения
- «У нас просто форма на телефон, это не ПД» — телефон + имя = ПД.
- «Мы ИП, закон для больших» — закон для всех операторов, включая ИП и самозанятых с сайтом.
- «Поставили галочку — всё, спим спокойно» — согласие лишь один пункт; политика, уведомление РКН и защита данных тоже обязательны.
Чек-лист на сегодня
- Политика ПД на сайте, ссылка в подвале.
- Чекбоксы согласия во всех формах (не предотмеченные).
- Уведомление в РКН подано.
- Cookie-баннер стоит.
- HTTPS, обновлённая CMS, доступы по ролям.
- Хостинг в РФ.
Вывод
Привести сайт в соответствие со 152-ФЗ — день работы, штраф — сотни тысяч и репутация. Проверим ваш сайт и внедрим всё техническое: формы, политику, баннер, HTTPS — напишите нам.
