Sovetniki.online

Налоги, право, деньги — структурированный ответ в одном кабинете

Форма обратной связи на сайте: что указать, чтобы не нарушить закон

Простая форма обратной связи способна принести не только заявки, но и штраф до 100 000 рублей, если в ней не хватает обязательных полей и ссылок. Разберём требования закона «О персональных данных» и составим чек-лист, который снизит риски до нуля.

  • Какие данные можно запрашивать без лишних рисков
  • Обязательный чекбокс согласия: формулировки, которые работают
  • Что должно быть в политике конфиденциальности для формы
  • Когда нужна регистрация в Роскомнадзоре и как её избежать
  • Технические требования: SSL, хранение, сроки удаления
  • Пошаговый план: от текста согласия до публикации политики

AI-Юрист разберёт вашу ситуацию

Получите ответ по своей задаче, а не общий текст статьи

Напишите 1–2 предложения: что случилось, какие суммы или сроки важны. После регистрации вопрос откроется в чате нужного советника.

Проверить правовой рискПодготовить текстПонять порядок действий
Разобрать с AI-ЮристБез оплаты на старте. Сначала задайте вопрос.

Какие данные можно запрашивать без риска

Принцип минимизации — основа закона. Вы должны собирать только те сведения, которые действительно нужны для ответа пользователю. Имя и e‑mail — достаточный минимум. Если вы планируете перезванивать, можно добавить поле «Телефон», но не превращайте его в обязательное. Избегайте избыточных полей вроде «Адрес», «Паспорт», «ИНН», если они не обоснованы бизнес-целью. Каждая лишняя графа — повод для претензий проверяющих. В мобильной версии достаточно трёх полей: имя, контакт, сообщение.

Обязательный чекбокс согласия

Любая форма на российском сайте, собирающая персональные данные (ФИО, e‑mail, телефон), обязана содержать неактивированный флажок «Согласен на обработку персональных данных». Предустановленная галочка — прямое нарушение (ч. 1 ст. 13.11 КоАП РФ, штраф до 100 000 рублей на юрлицо). Чекбокс должен быть пустым, а текст рядом — конкретным: «Я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности». Обязательно сделайте фразу ссылкой на полный текст политики, открывающийся в новом окне. Без нажатия на чекбокс форма не должна отправляться.

AI-Юрист разберёт вашу ситуацию

Получите ответ по своей задаче, а не общий текст статьи

Напишите 1–2 предложения: что случилось, какие суммы или сроки важны. После регистрации вопрос откроется в чате нужного советника.

Проверить правовой рискПодготовить текстПонять порядок действий
Разобрать с AI-ЮристБез оплаты на старте. Сначала задайте вопрос.

Как правильно написать текст согласия

Формулировка должна быть прозрачной и однозначной. Пример: «Нажимая кнопку “Отправить”, я даю согласие на обработку своих персональных данных (имя, адрес электронной почты, номер телефона) в целях ответа на моё обращение. С Политикой конфиденциальности ознакомлен.» Укажите конкретные цели: «для обратной связи», «для ответа на запрос». Если хотите использовать адрес для рассылки новостей, добавьте отдельную галочку «Подписаться на рассылку» — смешивать всё в одном чекбоксе рискованно. Храните логи согласий (IP, дату, текст) как минимум до удаления данных.

Политика конфиденциальности: что должно быть и где разместить

Документ, который часто называют «Privacy Policy» или «Положение об обработке персональных данных», должен быть доступен по прямой ссылке из формы. В нём пропишите: категории собираемых данных (имя, контакты), цели обработки (обратная связь, звонок), правовое основание (согласие субъекта), порядок отзыва согласия, срок хранения данных (например, 30 дней после ответа), меры защиты. Если сайт принимает заказы, добавьте раздел о передаче данных курьерским службам. Политику можно выложить в подвале сайта и в разделе «Правовая информация».

Техническая безопасность формы и сроки хранения

Форма должна передавать данные только по защищённому протоколу HTTPS. Настройте SSL-сертификат — это уже почти обязательный минимум для любого сайта. Все полученные заявки храните в защищённой CRM или на сервере с ограниченным доступом. Установите срок хранения: по закону данные нельзя хранить дольше, чем того требует цель обработки. Для простой обратной связи разумный срок — 30–60 дней после закрытия обращения. По истечении периода данные должны быть удалены из всех систем, включая резервные копии. Автоматизируйте удаление, если поток обращений большой.

Регистрация в Роскомнадзоре: когда она нужна

По закону оператор, обрабатывающий персональные данные, обязан уведомить Роскомнадзор до начала обработки. Однако из этого правила есть исключения. Если вы собираете только фамилию, имя, отчество, e‑mail и телефон исключительно для ответа на обращение, и данные не передаются третьим лицам, уведомление может не требоваться (ч. 2 ст. 22 Федерального закона № 152-ФЗ). На практике многие малые бизнесы не регистрируются, но если вы используете форму для маркетинга, передаёте данные подрядчикам или имеете более 5 сотрудников, обрабатывающих базу, — настоятельно рекомендуем подать уведомление. Форма уведомления бесплатна и занимает 30 минут.

Ответственность и штрафы: что грозит за ошибки

Нарушения при сборе согласий и отсутствие политики конфиденциальности караются по ст. 13.11 КоАП РФ. Основные составы: обработка персональных данных без согласия (если оно требуется) — штраф на должностных лиц до 60 000 ₽, на организацию до 100 000 ₽; неопубликование политики или отсутствие неограниченного доступа к ней — до 40 000 ₽ на должностных и до 80 000 ₽ на юрлиц. Если утечка данных повлекла вред репутации, возможны иски о компенсации морального вреда. Проверки участились после приказов Роскомнадзора о мониторинге сайтов. Устраните риски заранее.

Пошаговый план: что сделать, чтобы форма была законной

1. Определите минимальный набор полей (обычно имя, e‑mail, телефон). Уберите всё лишнее. 2. Подготовьте Политику конфиденциальности, указав цели, сроки и порядок отзыва согласия. Используйте готовый шаблон, адаптировав под свой сайт. 3. Разместите политику по постоянной ссылке (подвал сайта, страница «Политика»). 4. Добавьте в форму пустой чекбокс «Согласен на обработку…» с гиперссылкой на политику. Кнопка отправки должна быть неактивна без согласия. 5. Закрепите текст согласия в коде формы, чтобы он сохранялся вместе с заявкой. 6. Настройте SSL‑сертификат, проверьте, что форма отправляется через HTTPS. 7. Назначьте ответственного за обработку персональных данных (можно оформить приказом). 8. Определите срок хранения заявок (например, 60 дней) и реализуйте механизм удаления — ручной или автоматический в CRM. 9. Проверьте, нужно ли вам уведомлять Роскомнадзор. Если сомневаетесь, подайте уведомление через сайт ведомства — это снизит риски. 10. Периодически проверяйте актуальность политики и работоспособность чекбокса.

Частые вопросы

Нужно ли регистрироваться в Роскомнадзоре, если я просто собираю заявки с сайта?

Если вы собираете только имя, e‑mail и телефон, используете их исключительно для ответа на обращение и не передаёте никому, то, вероятно, подпадаете под исключение (ч. 2 ст. 22 152‑ФЗ), и уведомление не обязательно. Но гарантий нет, и Роскомнадзор может трактовать иначе. Мы рекомендуем подать уведомление — это бесплатно и сразу снижает риск претензий.

Можно ли поставить галочку согласия по умолчанию?

Нет. Предзаполненная галочка («согласие получено») прямо запрещена. Субъект должен совершить активное действие — самостоятельно поставить отметку. Штраф за такое нарушение до 100 000 ₽ для организации.

Что делать, если пользователь просит удалить свои данные из формы?

Вы обязаны прекратить обработку и удалить данные в срок не более 30 дней после получения отзыва согласия, если нет иных законных оснований для хранения. Удалите не только из базы, но и из почтового ящика, CRM и резервных копий. Ответьте пользователю о выполнении.

Можно ли использовать адрес из формы для email-рассылки?

Нельзя, если в согласии указана только цель «обратная связь». Для рассылки требуется отдельное согласие (чекбокс «Подписаться на новости»). Нарушение — штраф до 100 000 ₽. Лучше добавить отдельную опцию.

Как быть с файлами cookies, если в форме нет таких полей?

Если на сайте используются аналитические или рекламные cookies, это тоже сбор персональных данных. Даже если в форме разрешения нет, требуется отдельный баннер с согласием на cookies. Для чисто технических cookies согласие не нужно. Проконсультируйтесь отдельно, если сайт сложный.

Материал носит информационный характер и не заменяет индивидуальную консультацию специалиста. Перед принятием решения проверьте актуальность информации и учитывайте обстоятельства вашей ситуации.