Если сайт собирает имя, телефон, email, резюме, заявки, обращения через форму обратной связи, подписки, данные через чат или аналитику, тема 152-ФЗ для него уже актуальна. Даже простой лендинг может стать источником рисков, если на нём есть форма и сбор пользовательских данных.
Проблема в том, что многие владельцы сайтов думают о 152-ФЗ слишком узко, только как о «политике конфиденциальности в футере». На практике этого недостаточно. Для соответствия требованиям закона нужно смотреть на сайт как на часть процесса обработки персональных данных.
Когда сайт подпадает под требования 152-ФЗ
В большинстве случаев сайт подпадает под требования, если на нём есть хотя бы что-то из этого:
- форма обратной связи
- форма заявки или заказа
- подписка на рассылку
- онлайн-чат
- личный кабинет
- callback-виджет
- сбор резюме
- cookie и аналитика, которые позволяют идентифицировать пользователя в связке с другими данными
Если сайт принимает и передаёт такие сведения в CRM, email, мессенджер, таблицу или облачный сервис, обработка персональных данных уже идёт.
Что должно быть на сайте по 152-ФЗ
1. Политика обработки персональных данных
Это базовый документ, который должен быть доступен пользователю. В нём обычно раскрывают:
- кто является оператором
- какие данные собираются
- для каких целей
- на каких основаниях
- кому данные могут передаваться
- как пользователь может реализовать свои права
Важно не просто разместить шаблон, а синхронизировать политику с реальными процессами на сайте.
2. Корректные формы сбора данных
Если сайт собирает данные через форму, пользователь должен понимать:
- какие данные он передаёт
- зачем они нужны
- на что он соглашается
Частая ошибка, форма есть, а рядом нет ясного текста о согласии, цели обработки и ссылки на политику.
3. Согласие на обработку персональных данных
Не всегда достаточно просто кнопки «Отправить». Во многих сценариях нужно, чтобы логика формы подтверждала согласие пользователя на обработку данных и была связана с актуальной политикой или отдельным текстом согласия.
4. Понятная контактная информация оператора
Пользователь должен понимать, кто именно собирает данные. Если на сайте нет прозрачной информации о компании или ИП, это повышает риск вопросов и претензий.
5. Логика работы с cookies и аналитикой
Если используются системы аналитики, счётчики, маркетинговые пиксели, cookie-файлы и внешние формы, их тоже нужно учитывать в модели обработки персональных данных.
Что часто забывают владельцы сайтов
Нет связи между сайтом и внутренними документами
Политика на сайте есть, а внутри компании не определены:
- цели обработки
- ответственные лица
- перечни данных
- порядок хранения и удаления
- подрядчики, которым передаются данные
То есть сайт формально выглядит аккуратно, но с точки зрения реального compliance всё рассыпается.
Нет проверки интеграций
Данные с сайта могут уходить:
- в CRM
- в email-маркетинг
- в коллтрекинг
- в облачные таблицы
- в чат-виджеты
- подрядчикам по рекламе или разработке
Каждая такая связка влияет на модель обработки персональных данных.
Нет учёта HR-сценариев
Если сайт принимает резюме или анкеты соискателей, это уже отдельный поток персональных данных, для которого лучше отдельно описывать цель, состав данных и порядок обработки.
Минимальный чек-лист проверки сайта
Вот быстрый список того, что стоит проверить на любом коммерческом сайте:
- Есть ли политика обработки персональных данных.
- Есть ли ссылка на неё из форм.
- Понятно ли, кто оператор.
- Есть ли описание целей обработки.
- Корректно ли оформлено согласие в формах.
- Учтены ли cookies, аналитика и внешние сервисы.
- Понимаете ли вы, куда дальше уходят данные из формы.
- Есть ли внутренние документы, подтверждающие эту модель.
- Проверен ли вопрос уведомления в Роскомнадзор.
- Назначен ли ответственный и понятен ли порядок хранения данных.
Какие страницы чаще всего нужны на сайте
В типовой модели обычно нужны:
- страница политики обработки персональных данных
- страница политики конфиденциальности, если вы используете её отдельно
- корректные тексты около форм
- раздел с реквизитами и данными оператора
- при необходимости, отдельные тексты для оферты, согласий и специальных сценариев
Но точный набор зависит от того, что именно делает сайт.
Когда одного сайта уже недостаточно
Даже если на сайте всё выглядит прилично, риски всё равно остаются, если внутри компании нет:
- набора документов по 152-ФЗ
- регламентов и инструкций
- порядка реагирования на обращения субъектов
- правил хранения, изменения и удаления данных
- понимания, кому и зачем передаются данные
Поэтому проверка сайта, это только первый слой. За ним всегда стоит внутренняя часть compliance.
Частые ошибки по 152-ФЗ на сайте
Ошибка 1. Копипаст шаблонной политики
Документ не соответствует фактическим процессам, а значит не помогает при проверке.
Ошибка 2. Чекбокс без логики согласия
На форме есть галочка, но неясно, на что именно пользователь соглашается.
Ошибка 3. Игнорирование аналитики и cookies
Владелец сайта думает, что это не персональные данные, хотя фактически сайт уже использует идентификаторы и связки с поведением пользователя.
Ошибка 4. Нет единой картины по обработке данных
Сайт собирает данные, CRM хранит, подрядчики получают, но никто не описал это в документах.
Что делать владельцу сайта прямо сейчас
Если у вас уже есть сайт, начните с практической последовательности:
- Выпишите все формы и точки сбора данных.
- Проверьте, какие данные собираются в каждой форме.
- Зафиксируйте цели обработки.
- Проверьте тексты согласий и ссылки на политику.
- Посмотрите, какие сервисы получают данные после отправки формы.
- Сверьте сайт с внутренними документами.
- Отдельно проверьте необходимость уведомления в Роскомнадзор.
Короткий вывод
Требования 152-ФЗ к сайту, это не одна страница в футере, а целая система:
- прозрачная политика
- корректные формы
- понятные согласия
- учёт cookies и интеграций
- внутренние документы
- соответствие реальным процессам обработки данных
Если сайт собирает заявки, лиды, обращения или резюме, его лучше проверять как часть полноценной системы обработки персональных данных, а не как чисто маркетинговый инструмент.
FAQ
Если на сайте только одна форма обратной связи, 152-ФЗ уже касается сайта?
Да, чаще всего уже касается, потому что идёт сбор персональных данных пользователя.
Нужна ли политика обработки персональных данных на лендинге?
Да, если лендинг собирает данные пользователя.
Достаточно ли чекбокса под формой?
Нет, важна не только галочка, но и вся логика согласия, текста и ссылки на документы.
Нужно ли учитывать Яндекс Метрику и другие системы аналитики?
Да, такие инструменты нужно учитывать в общей схеме обработки данных и в документах.
Если сайт сделали подрядчики, ответственность всё равно на владельце?
Да, ответственность за модель обработки данных несёт оператор, а не только разработчик сайта.
Что почитать дальше
- Политика обработки персональных данных
- Оператор персональных данных
- Локализация персональных данных
- Нужно ли подавать уведомление в Роскомнадзор
CTA
Если вы не уверены, соответствует ли ваш сайт требованиям 152-ФЗ, разумный первый шаг, это не переделывать вслепую, а пройти проверку по чек-листу: формы, политика, согласия, cookies, интеграции, уведомление и внутренние документы. Обычно уже после такой проверки видно, где у сайта реальные риски.