На сайте есть форма «Оставьте заявку»? Значит, вы уже оператор персональных данных — со всеми обязанностями, которые из этого вытекают. Хорошая новость: закрыть эту тему один раз стоит недорого. Плохая: с 30 мая 2025 года за небрежность штрафуют уже не тысячами, а миллионами, а за повторную утечку — процентом от годовой выручки. Разбираемся по-человечески: что должно быть на сайте с формой, чтобы собирать заявки легально и спать спокойно.
Имя и телефон в форме — это уже персональные данные
Многие уверены, что персональные данные (ПДн) — это что-то про паспорта, СНИЛС и медкарты. На деле всё гораздо проще и ближе. Персональные данные — это любая информация, относящаяся к конкретному человеку. Как только в вашу форму заявки посетитель вписал имя и телефон (или email) — вы начали обрабатывать его персональные данные. Всё, вы оператор ПДн по 152-ФЗ.
Не важно, что это «всего лишь» форма обратного звонка на лендинге за 20 000 рублей. Не важно, что заявок три штуки в неделю. Закон не делает скидку на размер бизнеса и количество полей. Форма подписки на рассылку, окошко онлайн-чата, калькулятор с полем «куда прислать расчёт», квиз, корзина интернет-магазина — везде, где человек оставляет о себе хоть что-то, работает один и тот же набор правил.
Что закон требует от любого сайта с формой
Требований, по сути, четыре. Ни одно из них не про программирование — все про порядок в документах и честность с посетителем.
- Согласие на обработку ПДн. Человек должен осознанно согласиться, прежде чем нажать кнопку. На практике это галочка рядом с формой и короткий текст со ссылкой на политику. Галочка не должна стоять заранее — пользователь ставит её сам.
- Политика конфиденциальности. Отдельная страница на сайте, где написано: кто оператор, какие данные и зачем собираются, сколько хранятся, кому передаются, как человек может их отозвать. Это не формальность «для галочки» — Роскомнадзор реально проверяет наличие и содержание.
- Уведомление в Роскомнадзор. Раньше сайты с простой формой заявки часто попадали под исключение. С 30 мая 2025 года эта лазейка практически закрыта: уведомить регулятора о том, что вы обрабатываете ПДн, должны почти все, кто собирает данные через сайт. Подаётся один раз через сайт РКН или Госуслуги.
- Хранение данных на серверах в РФ (локализация). Первичный сбор и хранение персональных данных россиян должны происходить на серверах, физически расположенных в России. Это важный нюанс при выборе хостинга, CRM и сервисов рассылок — далеко не все зарубежные решения тут подходят.
Первая утечка — от 3 до 15 млн ₽. Повторная — 1–3% годовой выручки, но не меньше 20–25 млн и до 500 млн ₽.
Это не «страшилка из интернета», а нормы КоАП, действующие с 30 мая 2025 года. Отдельно штрафуют даже за то, что вы просто не уведомили Роскомнадзор, — до 300 000 ₽.
Штрафы 2025: почему стало по-настоящему дорого
До 2025 года штрафы за нарушения в области ПДн измерялись десятками тысяч рублей — их закладывали в «издержки» и не особо переживали. Федеральный закон от 30.11.2024 № 420-ФЗ перевернул стол: с 30 мая 2025 года ответственность стала кратно жёстче, а за утечки ввели оборотные штрафы — то есть привязанные к выручке компании.
| Нарушение (для юрлица) | Штраф |
|---|---|
| Не уведомили Роскомнадзор об обработке ПДн | 100–300 тыс. ₽ |
| Утечка данных 1 000+ человек | 3–5 млн ₽ |
| Утечка данных 10 000+ человек | 5–10 млн ₽ |
| Утечка данных 100 000+ человек | 10–15 млн ₽ |
| Повторная утечка (оборотный штраф) | 1–3% выручки, 20–500 млн ₽ |
Обратите внимание на нижнюю строку. Повторная утечка карается не фиксированной суммой, а процентом от годовой выручки — при этом установлена «нижняя планка» в 20–25 млн рублей (в зависимости от состава нарушения) и потолок в 500 млн. Для среднего бизнеса это не «неприятность», а сценарий, после которого компания может не встать. И да, отдельный штраф прилетает за сам факт того, что об утечке не сообщили вовремя.
Важная оговорка: мы не юристы и не заменяем консультацию. Составы нарушений, льготы и смягчающие обстоятельства — тема тонкая, и по конкретно вашей ситуации стоит проконсультироваться со специалистом. Наша задача — чтобы техническая и организационная сторона на сайте была закрыта заранее, до того как ею заинтересуется проверяющий.
Как это выглядит на живом сайте
Теория теорией, а на практике всё сводится к нескольким конкретным вещам, которые видит посетитель и проверяющий.
Под каждой формой — чекбокс, который пользователь ставит сам, с текстом вроде: «Нажимая кнопку, я соглашаюсь на обработку персональных данных и принимаю Политику конфиденциальности». Слова «Политика конфиденциальности» — кликабельная ссылка на отдельную страницу. Кнопка отправки не должна срабатывать, пока галочка не стоит. Сама политика — живой документ с реальными данными вашей компании, а не скачанный чужой шаблон, где в подвале забыли поменять ИНН.
Отдельная частая ошибка — сервисы. Форма шлёт заявку в зарубежную CRM, рассылки идут через иностранный сервис, аналитика льётся куда-то за границу. Технически удобно, юридически — мина. При аудите мы первым делом смотрим, где физически оседают данные ваших клиентов.
Чек-лист: что должно быть на сайте с формой
- Под каждой формой — чекбокс согласия на обработку ПДн, который пользователь ставит сам (не проставлен заранее).
- Рядом с чекбоксом — текст согласия со ссылкой на политику конфиденциальности.
- Кнопка отправки неактивна, пока согласие не отмечено.
- Отдельная страница «Политика конфиденциальности» с реальными реквизитами и содержанием по 152-ФЗ.
- Поданное уведомление в Роскомнадзор об обработке персональных данных.
- Хранение и первичный сбор данных — на серверах в РФ (хостинг, CRM, рассылки, аналитика).
- Порядок реагирования на запросы: как человек может отозвать согласие и удалить свои данные.
- Регламент на случай утечки: кого и в какой срок уведомлять (это тоже требование закона).
Если хотя бы половина пунктов вызывает у вас «а у нас точно так?» — это нормально. По нашему опыту, на большинстве действующих сайтов малого и среднего бизнеса закрыты один-два пункта из восьми, а остальные держатся на честном слове и удаче.
С чего начать и чем поможем мы
Приводить сайт в порядок не обязательно долго и дорого. Обычно это один аудит и точечная доработка: подключить корректные согласия ко всем формам, написать или актуализировать политику под ваши реальные процессы, помочь с уведомлением в РКН и проверить, где живут данные. Для нового сайта всё это закладывается сразу — и тема закрыта на старте.
Проверим ваши формы, политику и согласия — и скажем прямо, где вы под риском.
IT-Aegis — веб-студия полного цикла: разработка, безопасность и постоянная поддержка. Аудит безопасности и доработка — от 25 000 ₽, разовые работы по факту, без абонплаты за «воздух». Напишите info@it-aegis.ru или позвоните +7 (933) 031-13-06 — разберёмся вместе.
Формы на сайте приносят заявки — и они же тихо копят юридический риск, пока о нём не вспомнит первая проверка. Закрыть эту тему один раз кратно дешевле, чем разбираться с последствиями. Мы не пугаем — мы помогаем сделать так, чтобы к вашему сайту было не придраться.
Источники: КонсультантПлюс — «Персональные данные: новые штрафы с 30 мая 2025 года»; КонсультантПлюс — «Новые штрафы за утечку персональных данных: закон опубликован» (ФЗ от 30.11.2024 № 420-ФЗ); БУХ.1С — «Штрафы за персональные данные с 30 мая 2025 года»; Астрал — уведомление в Роскомнадзор об обработке ПДн. Материал носит информационный характер и не является юридической консультацией — по вашей ситуации обратитесь к профильному специалисту.