Формы на сайте и 152-ФЗ: как собирать заявки легально и не попасть на штраф

Формы на сайте и 152-ФЗ: как собирать заявки легально и не попасть на штраф

На сайте есть форма «Оставьте заявку»? Значит, вы уже оператор персональных данных — со всеми обязанностями, которые из этого вытекают. Хорошая новость: закрыть эту тему один раз стоит недорого. Плохая: с 30 мая 2025 года за небрежность штрафуют уже не тысячами, а миллионами, а за повторную утечку — процентом от годовой выручки. Разбираемся по-человечески: что должно быть на сайте с формой, чтобы собирать заявки легально и спать спокойно.

Имя и телефон в форме — это уже персональные данные

Многие уверены, что персональные данные (ПДн) — это что-то про паспорта, СНИЛС и медкарты. На деле всё гораздо проще и ближе. Персональные данные — это любая информация, относящаяся к конкретному человеку. Как только в вашу форму заявки посетитель вписал имя и телефон (или email) — вы начали обрабатывать его персональные данные. Всё, вы оператор ПДн по 152-ФЗ.

Не важно, что это «всего лишь» форма обратного звонка на лендинге за 20 000 рублей. Не важно, что заявок три штуки в неделю. Закон не делает скидку на размер бизнеса и количество полей. Форма подписки на рассылку, окошко онлайн-чата, калькулятор с полем «куда прислать расчёт», квиз, корзина интернет-магазина — везде, где человек оставляет о себе хоть что-то, работает один и тот же набор правил.

Что закон требует от любого сайта с формой

Требований, по сути, четыре. Ни одно из них не про программирование — все про порядок в документах и честность с посетителем.

  • Согласие на обработку ПДн. Человек должен осознанно согласиться, прежде чем нажать кнопку. На практике это галочка рядом с формой и короткий текст со ссылкой на политику. Галочка не должна стоять заранее — пользователь ставит её сам.
  • Политика конфиденциальности. Отдельная страница на сайте, где написано: кто оператор, какие данные и зачем собираются, сколько хранятся, кому передаются, как человек может их отозвать. Это не формальность «для галочки» — Роскомнадзор реально проверяет наличие и содержание.
  • Уведомление в Роскомнадзор. Раньше сайты с простой формой заявки часто попадали под исключение. С 30 мая 2025 года эта лазейка практически закрыта: уведомить регулятора о том, что вы обрабатываете ПДн, должны почти все, кто собирает данные через сайт. Подаётся один раз через сайт РКН или Госуслуги.
  • Хранение данных на серверах в РФ (локализация). Первичный сбор и хранение персональных данных россиян должны происходить на серверах, физически расположенных в России. Это важный нюанс при выборе хостинга, CRM и сервисов рассылок — далеко не все зарубежные решения тут подходят.

Первая утечка — от 3 до 15 млн ₽. Повторная — 1–3% годовой выручки, но не меньше 20–25 млн и до 500 млн ₽.

Это не «страшилка из интернета», а нормы КоАП, действующие с 30 мая 2025 года. Отдельно штрафуют даже за то, что вы просто не уведомили Роскомнадзор, — до 300 000 ₽.

Штрафы 2025: почему стало по-настоящему дорого

До 2025 года штрафы за нарушения в области ПДн измерялись десятками тысяч рублей — их закладывали в «издержки» и не особо переживали. Федеральный закон от 30.11.2024 № 420-ФЗ перевернул стол: с 30 мая 2025 года ответственность стала кратно жёстче, а за утечки ввели оборотные штрафы — то есть привязанные к выручке компании.

Нарушение (для юрлица)Штраф
Не уведомили Роскомнадзор об обработке ПДн100–300 тыс. ₽
Утечка данных 1 000+ человек3–5 млн ₽
Утечка данных 10 000+ человек5–10 млн ₽
Утечка данных 100 000+ человек10–15 млн ₽
Повторная утечка (оборотный штраф)1–3% выручки, 20–500 млн ₽

Обратите внимание на нижнюю строку. Повторная утечка карается не фиксированной суммой, а процентом от годовой выручки — при этом установлена «нижняя планка» в 20–25 млн рублей (в зависимости от состава нарушения) и потолок в 500 млн. Для среднего бизнеса это не «неприятность», а сценарий, после которого компания может не встать. И да, отдельный штраф прилетает за сам факт того, что об утечке не сообщили вовремя.

Важная оговорка: мы не юристы и не заменяем консультацию. Составы нарушений, льготы и смягчающие обстоятельства — тема тонкая, и по конкретно вашей ситуации стоит проконсультироваться со специалистом. Наша задача — чтобы техническая и организационная сторона на сайте была закрыта заранее, до того как ею заинтересуется проверяющий.

Как это выглядит на живом сайте

Теория теорией, а на практике всё сводится к нескольким конкретным вещам, которые видит посетитель и проверяющий.

Под каждой формой — чекбокс, который пользователь ставит сам, с текстом вроде: «Нажимая кнопку, я соглашаюсь на обработку персональных данных и принимаю Политику конфиденциальности». Слова «Политика конфиденциальности» — кликабельная ссылка на отдельную страницу. Кнопка отправки не должна срабатывать, пока галочка не стоит. Сама политика — живой документ с реальными данными вашей компании, а не скачанный чужой шаблон, где в подвале забыли поменять ИНН.

Отдельная частая ошибка — сервисы. Форма шлёт заявку в зарубежную CRM, рассылки идут через иностранный сервис, аналитика льётся куда-то за границу. Технически удобно, юридически — мина. При аудите мы первым делом смотрим, где физически оседают данные ваших клиентов.

Чек-лист: что должно быть на сайте с формой

  1. Под каждой формой — чекбокс согласия на обработку ПДн, который пользователь ставит сам (не проставлен заранее).
  2. Рядом с чекбоксом — текст согласия со ссылкой на политику конфиденциальности.
  3. Кнопка отправки неактивна, пока согласие не отмечено.
  4. Отдельная страница «Политика конфиденциальности» с реальными реквизитами и содержанием по 152-ФЗ.
  5. Поданное уведомление в Роскомнадзор об обработке персональных данных.
  6. Хранение и первичный сбор данных — на серверах в РФ (хостинг, CRM, рассылки, аналитика).
  7. Порядок реагирования на запросы: как человек может отозвать согласие и удалить свои данные.
  8. Регламент на случай утечки: кого и в какой срок уведомлять (это тоже требование закона).

Если хотя бы половина пунктов вызывает у вас «а у нас точно так?» — это нормально. По нашему опыту, на большинстве действующих сайтов малого и среднего бизнеса закрыты один-два пункта из восьми, а остальные держатся на честном слове и удаче.

С чего начать и чем поможем мы

Приводить сайт в порядок не обязательно долго и дорого. Обычно это один аудит и точечная доработка: подключить корректные согласия ко всем формам, написать или актуализировать политику под ваши реальные процессы, помочь с уведомлением в РКН и проверить, где живут данные. Для нового сайта всё это закладывается сразу — и тема закрыта на старте.

Проверим ваши формы, политику и согласия — и скажем прямо, где вы под риском.

IT-Aegis — веб-студия полного цикла: разработка, безопасность и постоянная поддержка. Аудит безопасности и доработка — от 25 000 ₽, разовые работы по факту, без абонплаты за «воздух». Напишите info@it-aegis.ru или позвоните +7 (933) 031-13-06 — разберёмся вместе.

Формы на сайте приносят заявки — и они же тихо копят юридический риск, пока о нём не вспомнит первая проверка. Закрыть эту тему один раз кратно дешевле, чем разбираться с последствиями. Мы не пугаем — мы помогаем сделать так, чтобы к вашему сайту было не придраться.

Источники: КонсультантПлюс — «Персональные данные: новые штрафы с 30 мая 2025 года»; КонсультантПлюс — «Новые штрафы за утечку персональных данных: закон опубликован» (ФЗ от 30.11.2024 № 420-ФЗ); БУХ.1С — «Штрафы за персональные данные с 30 мая 2025 года»; Астрал — уведомление в Роскомнадзор об обработке ПДн. Материал носит информационный характер и не является юридической консультацией — по вашей ситуации обратитесь к профильному специалисту.

Обсудить проект — разработка, безопасность, поддержка сайтов.

Оставить заявку Услуги