Если вам пришло письмо от Роскомнадзора или вы просто хотите разобраться — эта статья даст конкретные шаги. Без воды, с актуальными данными на 2024–2025 год.

Что такое 152-ФЗ и кто такой оператор персональных данных

152-ФЗ — это Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Он устанавливает правила сбора, хранения и использования любых данных о людях на территории России. Закон касается всех — от крупных корпораций до ИП с одним лендингом.

Оператор персональных данных (статья 3, пункт 2 152-ФЗ) — это государственный орган, юридическое или физическое лицо, которое организует и осуществляет обработку персональных данных. Проще говоря: если на вашем сайте есть форма, куда пользователь вводит имя, email или телефон — вы оператор. Всё, порог вхождения именно такой.

Персональные данные (статья 3, пункт 1 152-ФЗ) — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу. Для сайта это:

  • имя и фамилия
  • адрес электронной почты
  • номер телефона
  • IP-адрес (при наличии возможности идентификации — позиция Роскомнадзора)
  • cookies, если позволяют идентифицировать пользователя
  • любая комбинация из перечисленного

Имя плюс email — уже персональные данные. Форма «оставьте номер телефона» — уже сбор ПД.

Зачем сайту на Tilda нужна политика конфиденциальности

Многие владельцы небольших лендингов считают, что закон их не касается. Это распространённое заблуждение: 152-ФЗ не делает исключений по размеру бизнеса или количеству форм на сайте.

Штрафы за нарушения: по состоянию на 2024–2025 год

По статье 13.11 КоАП РФ (в редакции с изменениями 2022–2023 годов):

Нарушение Физлицо Должностное лицо Юрлицо
Обработка ПД без согласия (ч. 2) до 30 000 руб. до 100 000 руб. до 300 000 руб.
Обработка ПД без письменного согласия, когда оно обязательно (ч. 2.1) до 40 000 руб. до 160 000 руб. до 700 000 руб.
Нарушение требований к политике / непубликация (ч. 3) до 6 000 руб. до 30 000 руб. до 100 000 руб.
Обработка ПД сверх необходимого (ч. 1) до 6 000 руб. до 20 000 руб. до 100 000 руб.
Повторные нарушения увеличены увеличены увеличены

⚠️ В конце 2024 года вносились законопроекты о дальнейшем существенном увеличении штрафов, в том числе оборотных, за утечку персональных данных. Часть поправок могла вступить в силу — уточните актуальную редакцию статьи 13.11 КоАП РФ в первоисточнике.

Роскомнадзор проводит плановые и внеплановые проверки. Жалоба одного пользователя — уже основание. Практика привлечения к ответственности небольших сайтов в 2023–2024 году заметно активизировалась.

Что должна содержать политика конфиденциальности сайта

Закон не устанавливает жёсткого шаблона, но статья 18.1 152-ФЗ обязывает публиковать политику, а статьи 14–17 закрепляют права пользователей, которые вы обязаны обеспечить и раскрыть.

Вот что обязательно должно быть в политике:

  1. Кто является оператором — полное наименование, ИНН, контакты. Для ИП — ФИО и ОГРНИП.

  2. Какие данные собираются — конкретный перечень: имя, email, телефон, IP-адрес, данные из форм.

  3. Цели обработки — зачем вы собираете данные. «Для обратной связи», «для рассылки», «для оформления заказа» — каждая цель описывается отдельно. Общие формулировки типа «для улучшения сервиса» без конкретизации не являются надлежащей целью по смыслу закона.

  4. Правовое основание обработки — согласие пользователя (статья 9 152-ФЗ), договор или иное основание из статьи 6 152-ФЗ.

  5. Третьи лица, которым передаются данные — критически важный пункт, который большинство игнорирует. Если вы используете Яндекс Метрику, сервисы рассылок (UniSender, SendPulse и др.), CRM-системы — всё это может быть передачей данных третьим лицам. Каждый значимый сервис должен быть упомянут.

  6. Срок хранения данных — как долго вы храните данные и по каким критериям их удаляете.

  7. Права пользователя — право на доступ, исправление, удаление, отзыв согласия (статьи 14–17 152-ФЗ). В российском праве нет термина «право быть забытым» — это из GDPR; у нас речь идёт о праве требовать прекращения обработки и удаления данных по статье 21 152-ФЗ.

  8. Порядок реализации прав — как пользователь может обратиться с запросом. Контактный email для этих целей обязателен.

  9. Трансграничная передача данных — если вы используете зарубежные сервисы (Mailchimp, HubSpot и др.), это трансграничная передача. По статье 12 152-ФЗ (в редакции от 14.07.2022) оператор обязан убедиться в адекватной защите ПД в стране получателя и уведомить Роскомнадзор.

  10. Использование cookies — какие cookies применяются и в каких целях.

Главное правило: политику нужно писать под свой сайт, а не копировать чужую. Если в вашей политике упомянут сервис, который вы не используете, или не упомянут тот, который используете — это несоответствие реальной обработке данных и прямой правовой риск.

Где и как разместить политику конфиденциальности на сайте Tilda

Вариант 1 — отдельная страница (рекомендуется)

Самый правильный вариант. Создаёте страницу с URL /privacy или /policy, размещаете текст политики.

Пошаговая инструкция:

  1. В редакторе Tilda нажмите «Добавить страницу».
  2. Выберите тип «Страница».
  3. Задайте адрес страницы: /privacy.
  4. Добавьте текстовый блок (T123 или аналогичный).
  5. Вставьте текст политики конфиденциальности.
  6. Отключите страницу из навигации — она не должна отображаться в меню, но должна быть доступна по прямой ссылке.
  7. Опубликуйте страницу.

Вариант 2 — ссылка в футере

Ссылка на политику должна быть на каждой странице сайта. Футер — стандартное место.

  1. Откройте блок Footer в редакторе.
  2. Добавьте текстовую ссылку «Политика конфиденциальности».
  3. Укажите URL страницы с политикой.
  4. Настройте открытие в той же вкладке.

Вариант 3 — всплывающее окно

Используйте блок «Popup» в Tilda — привяжите его к ссылке «Политика конфиденциальности» в футере. Текст политики размещается внутри попапа с вертикальной прокруткой.

Важно: какой бы вариант вы ни выбрали, политика должна быть доступна до момента отправки формы. Пользователь должен иметь возможность ознакомиться с ней до того, как нажмёт кнопку.

Как настроить согласие на обработку персональных данных в формах Tilda

Это самый важный технический раздел. Наличие политики — половина дела. Вторая половина — правильно оформленное согласие в каждой форме.

Добавление чекбокса согласия

  1. Откройте блок с формой в редакторе Tilda.
  2. Нажмите на форму, чтобы перейти в её настройки.
  3. В разделе «Поля формы» нажмите «Добавить поле».
  4. Выберите тип поля «Чекбокс» (Checkbox).
  5. В поле «Текст чекбокса» введите текст согласия (об этом ниже).
  6. Активируйте опцию «Обязательное поле» — это критически важно.

⚠️ Интерфейс редактора Tilda периодически обновляется. Названия пунктов меню могут отличаться — уточните актуальное расположение в официальной документации Tilda.

Как сделать чекбокс обязательным

В настройках поля найдите опцию «Обязательное» (Required) и активируйте её. Тогда форма не отправится, пока пользователь не поставит галочку. Без этой настройки согласие юридически не получено — вы не можете доказать, что пользователь его дал.

Текст согласия — что писать

Согласие по статье 9 152-ФЗ должно быть конкретным, информированным и однозначным.

Плохой вариант:

«Я согласен с политикой конфиденциальности»

Хороший вариант:

«Отправляя форму, я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности в целях получения консультации»

Ещё лучше — развёрнутый вариант:

«Я даю согласие ООО/ИП [название] на обработку моих персональных данных (ФИО, email, телефон) в целях [цель]. Согласие дано в соответствии со ст. 9 Федерального закона № 152-ФЗ. Ознакомлен(а) с Политикой конфиденциальности»

Замените # на настоящую ссылку на страницу с политикой.

Если форм несколько

Чекбокс с согласием нужен в каждой форме отдельно. Одно общее согласие «где-то на сайте» не является надлежащим применительно к каждой конкретной форме и цели обработки.

Cookie-баннер на Tilda: нужен ли и как настроить

Здесь важно разделить два регуляторных режима, которые часто путают.

GDPR (европейский регламент) — требует явного согласия на cookies до их установки. Применяется, если среди ваших пользователей есть граждане или резиденты ЕС — независимо от того, где находится ваш бизнес.

152-ФЗ (российский закон) — не содержит прямого требования получать отдельное согласие на cookies. Но если cookies позволяют идентифицировать пользователя (данные Яндекс Метрики, рекламных пикселей), это может квалифицироваться как обработка персональных данных со всеми вытекающими требованиями.

Практический вывод: cookie-баннер в формате GDPR российским законодательством прямо не предусмотрен. Но уведомить пользователя о сборе данных через cookies — признанная практика, снижающая правовые риски.

Варианты реализации cookie-баннера на Tilda

Вариант Сложность Стоимость Подходит для
Встроенный блок Tilda Низкая Бесплатно Малый бизнес, российская аудитория
Кастомный HTML-блок Средняя Бесплатно Те, кто умеет работать с кодом
Сторонний сервис (CookieYes и др.) Средняя Платно Сайты с трафиком из ЕС, GDPR

Минимальный рабочий вариант: в Tilda есть встроенный блок уведомления о cookies — ищите «Cookie notification» в разделе «Другое» при добавлении блока. Это плашка внизу экрана с кнопкой «Принять». Добавьте его через «Настройки сайта → Блоки на всех страницах», укажите в тексте, что сайт использует cookies для аналитики, и дайте ссылку на политику конфиденциальности.

Для аудитории из ЕС такого решения недостаточно — потребуется полноценная система управления согласиями (CMP) с раздельным управлением категориями cookies.

Нужно ли уведомлять Роскомнадзор об обработке персональных данных

Кто обязан подавать уведомление

По статье 22 152-ФЗ оператор обязан до начала обработки направить уведомление в Роскомнадзор. Требования скорректированы Федеральным законом от 14.07.2022 № 266-ФЗ.

Когда уведомление не нужно

Статья 22 152-ФЗ содержит закрытый перечень исключений. В частности, уведомление не требуется, если вы обрабатываете ПД:

  • исключительно в рамках трудовых отношений
  • в рамках договора с субъектом ПД, без передачи третьим лицам и только для исполнения договора
  • включающие только ФИО субъектов

⚠️ Если ваш сайт собирает имена и email для рассылки, консультаций или продаж — применение исключений маловероятно. Большинству владельцев коммерческих сайтов уведомление подавать необходимо. При сомнениях — проконсультируйтесь с юристом.

Как подать уведомление

  1. Перейдите на сайт rkn.gov.ru.
  2. Найдите раздел «Реестр операторов персональных данных».
  3. Заполните форму уведомления онлайн.
  4. Подпишите квалифицированной электронной подписью или направьте в бумажном виде.

Внесение в реестр бесплатно. После регистрации вы получаете статус зарегистрированного оператора, что снижает риски при проверках.

Чек-лист: сайт на Tilda соответствует требованиям 152-ФЗ

Пройдитесь по каждому пункту. Незакрытые позиции — приоритет номер один.

  • На сайте есть страница с политикой конфиденциальности
  • Политика актуальна и отражает все используемые сервисы
  • Ссылка на политику размещена в футере каждой страницы
  • В каждой форме сбора данных есть чекбокс согласия
  • Чекбокс согласия является обязательным полем
  • Текст согласия содержит ссылку на политику и указывает цель обработки
  • В политике указаны все сторонние сервисы, получающие данные пользователей
  • Трансграничная передача (зарубежные сервисы) отражена в политике; Роскомнадзор уведомлён при её наличии
  • Есть контактный email для запросов пользователей
  • Оператор подал уведомление в Роскомнадзор или имеет документально обоснованные основания для исключения
  • На сайте есть уведомление об использовании cookies
  • Политика обновлялась после последнего изменения набора используемых сервисов

Частые ошибки при настройке политики конфиденциальности на Tilda

Политика написана для другого бизнеса. Скопированная или сгенерированная политика с чужими сервисами — несоответствие реальности. Политика должна точно описывать фактическую обработку данных на вашем конкретном сайте.

Чекбокс есть, но не обязательный. Форму можно отправить без галочки — фактически согласие не получено. Это может квалифицироваться как обработка ПД без согласия субъекта.

Текст согласия — общая фраза без цели. «Согласен с политикой» не является надлежащим согласием по статье 9 152-ФЗ. Нужны конкретная цель обработки и ссылка на политику.

Подключили новый сервис, не обновили политику. Добавили CRM, подключили пиксель ретаргетинга, сменили email-сервис — всё это требует обновления политики. Это происходит часто и почти всегда упускается.

Политика недоступна на мобильных. Если ссылка в футере не работает на смартфоне или документ отображается некорректно — это техническая проблема, которая влияет на выполнение требований закона.

Формы на разных страницах без согласия. Форма подписки в блоге, форма заявки на странице услуги — в каждой нужен отдельный чекбокс.

Часто задаваемые вопросы

Нужна ли политика конфиденциальности, если у меня один лендинг с одной формой?

Да. Одна форма, собирающая имя и телефон, — уже обработка персональных данных. Требования 152-ФЗ применяются вне зависимости от размера сайта и количества форм на нём.

Можно ли использовать готовый шаблон политики конфиденциальности?

Шаблон — хорошая отправная точка, но не финальный документ. Укажите своё юрлицо или данные ИП, перечислите фактически используемые сервисы, пропишите реальные цели сбора. Шаблон без доработки создаёт иллюзию соответствия, но не защищает от претензий регулятора.

Какой штраф грозит за отсутствие или нарушение требований к политике конфиденциальности?

По части 3 статьи 13.11 КоАП — до 30 000 рублей для граждан, до 100 000 рублей для юридических лиц (уточните актуальную редакцию в первоисточнике — размеры штрафов корректировались). Штраф за обработку ПД без письменного согласия, когда оно обязательно, идёт по отдельной части статьи и достигает 700 000 рублей для юрлиц.

Обязателен ли cookie-баннер в России?

Прямого требования в формате GDPR в российском законодательстве нет. Но если через cookies обрабатываются данные, позволяющие идентифицировать пользователя (Яндекс Метрика, рекламные пиксели), уведомить пользователя — признанная практика, снижающая правовые риски.

Нужно ли подавать уведомление в Роскомнадзор, если я ИП?

Да. ИП — такой же оператор персональных данных, как и юрлицо. Уведомление обязательно при отсутствии оснований для исключений статьи 22 152-ФЗ. Большинство коммерческих сайтов под исключения не попадают.

Маркетолог настраивал сайт — кто отвечает перед Роскомнадзором?

Владелец бизнеса. Оператор персональных данных — это вы, и административная ответственность лежит на вас. Маркетолог или разработчик могут отвечать перед вами по договору, но не перед регулятором. При сдаче сайта от подрядчика включайте настройку соответствия 152-ФЗ в техническое задание.

Итог

Соответствие 152-ФЗ — это не разовая задача. Нужна актуальная политика конфиденциальности, обязательный чекбокс согласия в каждой форме, уведомление об использовании cookies и своевременное обновление документов при любом изменении инфраструктуры сайта. Штрафы выросли, проверок стало больше — откладывать это становится всё дороже.

Проверьте свой сайт бесплатно

Не уверены, что ваш сайт соответствует требованиям 152-ФЗ? Проверьте его на сервисе ЧистыйСайт — быстро, бесплатно, без регистрации.

→ Проверить сайт на ЧистыйСайт.ру