Если вам пришло письмо от Роскомнадзора или вы просто хотите разобраться — эта статья для вас. Ниже объясняем простым языком: что должно быть на сайте, какие тексты использовать и как не получить штраф до 700 000 рублей.

Ключевые понятия: что нужно знать с самого начала

152-ФЗ — это Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Он обязывает любого, кто собирает данные людей через сайт, соблюдать правила: получать согласие, хранить данные в России, публиковать политику конфиденциальности. Нарушение — штраф.

Персональные данные (ПД) — любая информация, по которой можно идентифицировать человека: имя, телефон, email, адрес, дата рождения. Если хотя бы одно такое поле есть на вашем сайте — закон уже касается вас.

Оператор персональных данных — тот, кто собирает и использует ПД. Если на вашем сайте есть форма с полем «Имя» или «Телефон» — вы оператор. Неважно, ИП вы или ООО, используете Tilda или WordPress, платформу или самописный сайт.

Субъект персональных данных — человек, чьи данные вы собираете. Ваш клиент, подписчик, посетитель.

Согласие на обработку персональных данных — добровольное, конкретное и осознанное разрешение человека на сбор и использование его данных. Определение закреплено в статье 9 152-ФЗ. Без такого разрешения собирать данные нельзя.

Зачем это нужно и чем грозит нарушение

Как только на вашем сайте появляется форма с именем, телефоном или email — вы становитесь оператором персональных данных. С этого момента требования 152-ФЗ распространяются на вас в полном объёме.

Обязанности оператора:

  • получить согласие субъекта до начала обработки данных;
  • уведомить Роскомнадзор о начале деятельности по обработке ПД (есть исключения — ч. 2 ст. 22 152-ФЗ);
  • разработать и опубликовать политику конфиденциальности;
  • хранить данные граждан РФ на серверах в России (ст. 18 ч. 5 152-ФЗ);
  • обеспечить возможность отзыва согласия.

Штрафы по статье 13.11 КоАП РФ (актуально на начало 2025 года):

Нарушение Физлица Должностные лица / ИП Юридические лица
Обработка ПД без согласия (ч. 2 ст. 13.11) до 30 000 руб. до 100 000 руб. до 700 000 руб.
Отсутствие политики конфиденциальности (ч. 3 ст. 13.11) до 6 000 руб. до 30 000 руб. до 100 000 руб.
Повторное нарушение по ч. 2 ст. 13.11 до 50 000 руб. до 200 000 руб. до 1 500 000 руб.

Важно для ИП. По статье 2.4 КоАП РФ ИП несут ответственность как должностные лица, если иное прямо не указано в норме. Уточняйте применимые санкции в актуальной редакции ст. 13.11 КоАП РФ.

Роскомнадзор проводит плановые и внеплановые проверки, принимает жалобы от пользователей и сканирует сайты автоматически. С 2022 года количество дел по ст. 13.11 КоАП РФ растёт ежегодно. Малый бизнес — не исключение.

Чем согласие отличается от политики конфиденциальности {#chem-otlichaetsya}

Это два разных документа. Их путают чаще всего — и это одна из самых дорогостоящих ошибок.

Параметр Согласие на обработку ПД Политика конфиденциальности
Что это Действие пользователя Документ оператора
Кто составляет Пользователь даёт, оператор фиксирует Оператор разрабатывает и публикует
Где размещается В форме, рядом с полями ввода Отдельная страница сайта
Обязательность Да, если нет иного законного основания Да, для всех операторов (ч. 2 ст. 18.1 152-ФЗ)
Что содержит Разрешение на конкретные действия с ПД Полное описание того, как оператор работает с данными

Простая логика: политика конфиденциальности отвечает на вопрос «как мы работаем с данными». Согласие — это «я разрешаю вам это делать». Оба документа обязательны, и в тексте согласия должна быть ссылка на политику.

Когда на сайте нужно согласие {#kogda-nuzhno}

Коротко: каждый раз, когда пользователь вводит персональные данные и нет иного законного основания для обработки (например, исполнение договора — п. 5 ч. 1 ст. 6 152-ФЗ).

Форма обратной связи — поля «Имя» и «Телефон» или «Email». Самый распространённый случай. Согласие обязательно.

Форма заявки или заказа — обработка данных, как правило, необходима для исполнения договора, но получение согласия всё равно рекомендуется как дополнительная гарантия.

Подписка на рассылку — здесь нужно два отдельных согласия: на обработку ПД и на получение рекламных сообщений (Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе»). Объединять их в один чекбокс нельзя.

Регистрация личного кабинета — расширенный набор данных, согласие обязательно, текст должен быть детальным.

Онлайн-чат и обратный звонок — даже если виджет сторонний (JivoSite, CallbackHunter и др.), оператором остаётесь вы. Согласие нужно.

Комментарии на сайте — если пользователь указывает имя и email, согласие нужно.

Форма на лендинге — правила те же. Использование Tilda или любого другого конструктора не снимает с вас ответственности как с оператора.

Требования 152-ФЗ к содержанию согласия {#trebovaniya}

Часть 4 статьи 9 закона устанавливает обязательный состав письменного согласия. В тексте должны присутствовать:

  • Наименование и адрес оператора — полное юридическое название организации или ФИО ИП, адрес;
  • Цели обработки — конкретно: «обработка вашего обращения», «направление коммерческого предложения», «исполнение договора»;
  • Перечень персональных данных — только те, что реально собираете: имя, телефон, email;
  • Наименование лица, осуществляющего обработку по поручению — если передаёте данные третьим лицам;
  • Действия с данными — сбор, хранение, передача (если передаёте — указать кому);
  • Срок действия согласия — конкретный срок или «до момента отзыва»;
  • Порядок отзыва — как пользователь может отозвать согласие.

Примечание. Этот перечень предусмотрен для письменного согласия (ч. 4 ст. 9 152-ФЗ). Для согласия через чекбокс на сайте закон не устанавливает столь же детального перечня реквизитов, однако включение всех элементов снижает риски при проверке.

Закон требует, чтобы согласие было написано ясным языком. Юридический текст, который никто не читает, формально выполняет требование — но создаёт репутационные риски и может быть оспорен.

Готовые образцы текстов согласия для форм на сайте {#obrazcy}

Вариант 1: Короткая строка под кнопкой «Отправить»

Подходит для простых форм с минимальным набором полей (имя + телефон или email).

Нажимая кнопку «Отправить», вы соглашаетесь с обработкой персональных данных
в соответствии с Политикой конфиденциальности.

Слово «Политикой конфиденциальности» — кликабельная ссылка. Это минимально допустимый вариант. Он не включает все элементы из ч. 4 ст. 9 152-ФЗ, поэтому риски выше — Роскомнадзор и суды в ряде случаев признавали такой формат недостаточным.

Вариант 2: Чекбокс + текст — стандартный вариант (рекомендуется)

[ ] Я соглашаюсь с обработкой моих персональных данных (имя, телефон, адрес
электронной почты) компанией [Название организации] в целях обработки моего
обращения. Данные хранятся в течение [срок] и не передаются третьим лицам.
Я вправе отозвать согласие, направив письмо на [email]. Подробнее —
Политика конфиденциальности.

Чекбокс обязательно должен быть пустым по умолчанию — пользователь ставит галочку сам. Без галочки кнопка «Отправить» не должна работать.

Вариант 3: Расширенный текст для формы заявки или регистрации

Отправляя данную форму, я, субъект персональных данных, даю своё согласие
[полное наименование оператора, ИНН / ОГРН или ОГРНИП],
расположенному по адресу: [адрес], на обработку следующих персональных данных:
фамилия, имя, отчество, номер телефона, адрес электронной почты.

Цель обработки: рассмотрение и обработка обращения, направление ответа
или коммерческого предложения.

Действия с данными: сбор, запись, систематизация, хранение, использование.

Срок хранения: [например, 3 года с момента получения согласия].

Согласие может быть отозвано путём направления письменного заявления
на адрес электронной почты: [email].

С Политикой конфиденциальности ознакомлен(а): [ссылка].

Как адаптировать образец под свой сайт

  1. Замените [Название организации] на полное юридическое название — ООО «Название» или ИП Иванов Иван Иванович.
  2. Укажите реальный перечень данных, которые собирает форма — не больше и не меньше.
  3. Пропишите реальный срок хранения, обоснованный целями обработки.
  4. Укажите рабочий email для отзыва согласия.
  5. Убедитесь, что ссылка на политику конфиденциальности ведёт на реальную страницу, а не на 404.

Техническое размещение согласия в форме {#texnika}

Требования к чекбоксу

  • Чекбокс по умолчанию пуст. Предзаполненный чекбокс — нарушение: согласие должно быть активным волеизъявлением пользователя.
  • Форма не должна отправляться, если чекбокс не отмечен.
  • Чекбокс располагается до кнопки «Отправить» или рядом с ней — не после.

Пример HTML-кода

<form id="contactForm">
  <input type="text" name="name" placeholder="Ваше имя" required>
  <input type="tel" name="phone" placeholder="Телефон" required>

  <label class="consent-label">
    <input type="checkbox" name="consent" id="consent" required>
    Я соглашаюсь с обработкой персональных данных в соответствии с
    <a href="/privacy-policy/" target="_blank">Политикой конфиденциальности</a>
  </label>

  <button type="submit">Отправить</button>
</form>

Атрибут required у чекбокса блокирует отправку формы без галочки на уровне браузера. Дополнительно обязательно проверяйте на серверной стороне — браузерную валидацию можно обойти.

Формы на Tilda

В Tilda нет встроенного обязательного чекбокса в стандартных блоках. Варианты (уточните в актуальной документации Tilda):

  • Добавьте блок «HTML» и вставьте чекбокс вручную перед кнопкой.
  • Используйте блоки серии T123 с чекбоксом из библиотеки Zero Block.
  • В настройках формы Tilda укажите текст под кнопкой — минимальный, но менее надёжный вариант.

Важно: Tilda передаёт данные вам. Оператором остаётесь вы, а не Tilda. Между вами и Tilda должен быть заключён договор о поручении обработки персональных данных — уточните порядок его подписания в документации Tilda.

Bitrix24 и amoCRM

При использовании CRM-форм данные попадают напрямую в CRM. В Bitrix24 согласие добавляется через раздел «CRM-формы» — там есть поле для текста согласия и чекбокса. В amoCRM аналогичная настройка доступна в конструкторе форм. Уточните актуальный интерфейс в документации сервиса.

Также проверьте: в договоре с CRM-сервисом должно быть прописано поручение на обработку персональных данных (ст. 6 ч. 3 152-ФЗ).

WordPress

Плагины Contact Form 7, WPForms, Gravity Forms поддерживают добавление обязательного чекбокса с текстом согласия. В Contact Form 7 добавьте в шаблон формы:

[acceptance consent]
  Соглашаюсь с <a href="/privacy-policy/">Политикой конфиденциальности</a>
[/acceptance]

Поле acceptance по умолчанию необязательное — в настройках плагина включите опцию «Обязательное поле».

Как хранить факт согласия

Роскомнадзор при проверке может запросить подтверждение того, что согласие было получено. Фиксируйте:

  • Timestamp — дату и время получения согласия;
  • IP-адрес пользователя;
  • Версию текста согласия, действовавшую на момент заполнения;
  • Данные формы — что именно заполнил пользователь.

Если CRM не пишет логи автоматически, добавьте серверный скрипт. Хранить логи рекомендуется не менее срока, указанного в согласии, плюс разумный период на случай споров.

Типичные ошибки при оформлении согласия {#oshibki}

Один чекбокс для ПД и рассылки одновременно. Нельзя. Согласие на обработку ПД и согласие на рекламные сообщения — разные согласия с разными правовыми основаниями (152-ФЗ и Федеральный закон № 38-ФЗ «О рекламе»). Пользователь должен иметь возможность согласиться с обработкой ПД, но отказаться от рассылки.

Предзаполненный чекбокс. Галочка по умолчанию — нарушение. Согласие должно быть активным волеизъявлением.

Нет ссылки на политику конфиденциальности. Текст согласия без ссылки на документ с условиями обработки считается неполным.

Ссылка на политику ведёт на 404. Страница удалена или переименована. Роскомнадзор фиксирует это при автоматическом сканировании.

Согласие написано для другой компании. Скопированный шаблон с чужим названием — серьёзная проблема. Пользователь даёт согласие компании X, а данные обрабатывает компания Y.

Слишком широкие цели обработки. «В любых законных целях» — не цель. Укажите конкретно: «для ответа на обращение», «для исполнения договора», «для направления коммерческого предложения».

Нет механизма отзыва. 152-ФЗ требует, чтобы пользователь мог отозвать согласие (ч. 2 ст. 9). Укажите реальный способ — email, форму, почтовый адрес.

Чек-лист: проверьте согласие на своём сайте {#checklst}

Пункт Статус
На каждой форме есть текст согласия с обработкой ПД ✅ / ❌
Чекбокс пустой по умолчанию ✅ / ❌
Форма не отправляется без отметки чекбокса ✅ / ❌
В тексте согласия указано название вашей компании ✅ / ❌
Перечень данных в согласии совпадает с полями формы ✅ / ❌
Есть ссылка на политику конфиденциальности ✅ / ❌
Ссылка на политику работает (не 404) ✅ / ❌
Согласие на ПД и на рассылку — разные чекбоксы ✅ / ❌
Указан способ отзыва согласия ✅ / ❌
Факт согласия фиксируется с timestamp и IP ✅ / ❌
Вы уведомили Роскомнадзор об обработке ПД (если нет оснований по ч. 2 ст. 22 152-ФЗ) ✅ / ❌

Что делать, если форма работала без согласия {#ispravit}

Не откладывайте. Каждый день без согласия — это период, за который регулятор может предъявить претензии.

  1. Разработайте или обновите политику конфиденциальности под реальные процессы вашего сайта.
  2. Добавьте чекбокс с текстом согласия на каждую форму.
  3. Убедитесь, что форма не отправляется без галочки.
  4. Настройте логирование согласий.
  5. Подайте уведомление в Роскомнадзор, если не подавали и нет оснований для освобождения (ч. 2 ст. 22 152-ФЗ).

Главный вывод. Если на вашем сайте есть хотя бы одна форма с полем «Имя» или «Телефон» — вы уже оператор персональных данных по 152-ФЗ. Это значит: нужно согласие в форме, политика конфиденциальности на сайте и уведомление в Роскомнадзор. Штраф за игнорирование — до 700 000 рублей для юридических лиц, для ИП — как для должностного лица. Исправить это технически несложно: чекбокс, правильный текст, рабочая ссылка на политику — и риск проверки существенно снижается.

Часто задаваемые вопросы {#faq}

Нужен ли чекбокс или достаточно текста под кнопкой?

Формально закон не обязывает использовать именно чекбокс. Текст под кнопкой «Отправить» с формулировкой «нажимая кнопку, вы соглашаетесь…» на практике признаётся согласием, однако судебная и административная практика по этому вопросу неоднородна. Чекбокс надёжнее: пользователь совершает явное активное действие, и это проще доказать при проверке.

Нужно ли отдельное согласие для каждой формы на сайте?

Отдельный документ не требуется, но у каждой формы должен быть свой блок согласия с актуальным перечнем данных и целей. Форма обратной связи и форма оформления заказа могут собирать разные данные в разных целях — их согласия должны это отражать.

Политика конфиденциальности и согласие — это одно и то же?

Нет. Политика — это документ оператора, который описывает правила работы с данными. Согласие — это действие пользователя, которым он разрешает обработку своих данных. Оба обязательны. В тексте согласия должна быть ссылка на политику.

Если сайт на Tilda — кто является оператором персональных данных?

Оператором остаётесь вы как владелец сайта. Tilda выступает лицом, осуществляющим обработку по вашему поручению (ч. 3 ст. 6 152-ФЗ). Между вами и Tilda должен быть заключён договор о поручении обработки ПД — уточните его наличие и порядок подписания в документации Tilda.

Роскомнадзор реально проверяет сайты малого бизнеса?

Да. Плановые проверки, внеплановые по жалобам пользователей, автоматическое сканирование сайтов. По состоянию на 2024 год количество штрафов значительно выросло по сравнению с предыдущими периодами. Сайты малого бизнеса входят в сферу интересов регулятора наравне с крупными компаниями. Жалобу на ваш сайт может подать любой пользователь.

Нужно ли хранить согласие, если собираю только имя и телефон?

Да. Имя и телефон — персональные данные в понимании 152-ФЗ. Обязанность хранить подтверждение согласия возникает при сборе любых ПД. Фиксируйте дату, время, IP-адрес и версию текста согласия при каждой отправке формы.

Проверьте свой сайт прямо сейчас

Не уверены, всё ли правильно оформлено на вашем сайте? Бесплатно проверьте формы, политику конфиденциальности и текст согласия на сервисе ЧистыйСайт — получите конкретный список нарушений и рекомендации по исправлению.

→ Бесплатно проверить свой сайт на ЧистыйСайт