Любой сайт, на котором есть форма обратной связи, кнопка «Перезвоните мне» или счетчик аналитики, собирает персональные данные. С точки зрения законодательства владелец такого сайта является оператором ПДн и несет полную ответственность за законность их сбора и обработки.
Одним из ключевых условий законной работы с ПДн является наличие согласия пользователя (если нет иного основания по ст.6 152-ФЗ — например, исполнение договора).
На практике большинство сайтов нарушают это требование. Плашка «Продолжая использовать сайт, вы соглашаетесь...» согласием не является, так же как и проставленная по умолчанию галочка. Штраф за обработку ПДн без надлежащего согласия для юридических лиц достигает 300 тысяч рублей. С 2026 года такие нарушения вновь рассматривает суд общей юрисдикции, что существенно ускоряет привлечение к ответственности.
Что считается персональными данными на сайте
По определению 152-ФЗ, ПДн — это «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Формулировка намеренно широкая: законодатель не ограничивает перечень конкретными сведениями.
На практике к ПДн, собираемым на сайте, относятся:
- имя и фамилия. Даже имя без фамилии в связке с номером телефона уже идентифицирует человека;
- номер телефона и адрес электронной почты. Как правило, они собираются через формы обратной связи, подписки, регистрации;
- IP-адрес. Фиксируется автоматически при каждом визите;
- cookie-файлы. Содержат идентификаторы устройства и отслеживают поведение пользователя на сайте;
- данные из форм. Должность, название компании-работодателя, любые сведения о себе, которые пользователь вводит самостоятельно.
Отдельного внимания заслуживают cookies. Сами по себе технические cookie, например, те, что сохраняют товары в корзине или иным образом обеспечивают функционирование сайта, не идентифицируют человека, а потому и не требуют согласия на обработку ПДн. Но аналитические и маркетинговые cookie работают иначе: счетчики Яндекс Метрики, пиксели ВКонтакте и Telegram накапливают данные о поведении пользователя и передают их третьим лицам, то есть рекламным сетям и сервисам аналитики. Роскомнадзор расценивает подобную передачу как обработку ПДн, которая требует отдельного согласия. Сбор cookies, передающих данные третьим лицам, регулируется 152-ФЗ наравне с любой другой формой обработки ПДн.
Важно понимать: оператором ПДн становится не только тот, кто хранит базу клиентов в CRM, а любой владелец сайта, на котором установлен хотя бы один счетчик аналитики или размещена форма сбора контактов.
Кто обязан получать согласие
Получать согласие обязан любой владелец сайта, который собирает, хранит или передает ПДн пользователей, вне зависимости от формы собственности и масштаба бизнеса.
Многие предприниматели ошибочно полагают, что требования 152-ФЗ распространяются только на крупные компании с большими базами данных. На практике это не так. Как только на сайте появляется форма с полем «Имя» или «Телефон», владелец сайта автоматически становится оператором ПДн со всеми вытекающими обязанностями. Организационно-правовая форма значения не имеет: ООО, ИП и самозанятый с сайтом находятся в одинаковом правовом положении.
Оператором ПДн по факту является владелец сайта, если на нем присутствует даже что-то одно из списка:
- форма обратной связи, заполнения заявки или заказа обратного звонка;
- форма регистрации или авторизации в личном кабинете;
- форма подписки на рассылку;
- счетчик веб-аналитики Яндекс Метрика, Google Analytics;
- рекламный пиксель ВКонтакте, Telegram;
- онлайн-чат или виджет мессенджера.
Регистрация в реестре операторов ПДн Роскомнадзора — отдельная обязанность, которая возникает параллельно с началом обработки ПДн. Уведомление подается до начала работы с ПДн, а не после запуска сайта.
Как оформить согласие в формах на сайте
Согласие, оставленное в форме на сайте, считается действительным только при одновременном соблюдении двух условий: пользователь самостоятельно проставил галочку в пустом чекбоксе, и этот чекбокс относится к конкретной цели обработки ПДн.
Статья 9 закона № 152-ФЗ устанавливает, что согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Каждый из этих критериев напрямую влияет на то, как технически реализуется чекбокс в форме.
Правило пустого чекбокса
Галочка в форме не может быть проставлена по умолчанию. Механизм pre-checked, при котором пользователь видит уже отмеченный чекбокс и должен снять галочку, чтобы отказаться, прямо противоречит требованию однозначности и сознательности согласия. Молчание или бездействие пользователя не может считаться согласием: это требование ч. 1 ст.9 152-ФЗ: согласие должно быть однозначным, то есть выражено активным действием, а не молчанием или бездействием.
Пользователь обязан совершить активное действие и самостоятельно поставить галочку. До этого момента кнопка отправки формы должна оставаться неактивной.
Два чекбокса вместо одного
Одной из наиболее распространенных ошибок в веб-формах является объединение в одном чекбоксе двух юридически разных процессов: согласия на обработку ПДн и согласия на получение рекламных рассылок.
Это два самостоятельных правовых основания. Обработка ПДн для исполнения договора или ответа на заявку регулируется 152-ФЗ, а рекламную рассылку регулирует статья 18 закона №38-ФЗ «О рекламе», которая требует отдельного согласия на получение рекламы. Объединение этих согласий в один чекбокс делает их оба недействительными.
Формулировка текста под галочкой
Текст рядом с чекбоксом должен содержать ссылку на документ, с которым пользователь соглашается. Расплывчатые формулировки, такие как «соглашаюсь с условиями», без прикрепления конкретного документа или ссылки на него не отвечают критерию информированности.
Корректная формулировка выглядит так: «Я даю согласие на обработку моих персональных данных в соответствии с [ссылка на согласие на обработку персональных данных]».
Фраза «Отправляя заявку, вы соглашаетесь на обработку персональных данных» без чекбокса не имеет юридической силы. Она не фиксирует активное действие пользователя и не позволяет доказать факт получения согласия.
Как логировать факт согласия
Логирование — это фиксация цифрового следа, подтверждающего, что конкретный пользователь дал согласие на обработку своих ПДн в определенный момент времени.
Получить согласие недостаточно. Необходимо иметь возможность доказать его наличие. Часть 3 статьи 9 закона №152-ФЗ прямо возлагает бремя доказывания на оператора: именно владелец сайта обязан подтвердить, что согласие было получено. При проверке Роскомнадзора или в судебном споре показания сторон без технической фиксации не являются доказательством.
Что именно нужно фиксировать
Минимально достаточный набор ПДн для логирования согласия включает:
Где и как хранить логи
Логи согласий хранятся на стороне сервера, а именно в базе данных сайта или отдельном защищенном хранилище. Хранение только в браузере пользователя через cookie не является надлежащей фиксацией: пользователь может очистить cookies, и доказательство будет утрачено.
Срок хранения логов определяется сроком действия согласия и периодом, в течение которого возможна проверка или судебное разбирательство. На практике рекомендуется хранить логи не менее трех лет после прекращения обработки ПДн конкретного пользователя.
Что происходит при отзыве согласия
Если пользователь отозвал согласие, лог отзыва также подлежит фиксации с той же детализацией: дата, время, способ отзыва. После получения отзыва оператор обязан уничтожить ПДн в течение 30 дней. Факт уничтожения фиксируется отдельно.
Технически логирование реализуется на уровне серверного кода сайта. На платформах WordPress это решается через специализированные плагины управления согласиями, а на Tilda и Bitrix — через интеграцию с CRM или отдельными скриптами. Для сайтов с высокой посещаемостью или работающих с чувствительными данными целесообразно рассмотреть внедрение специализированного решения, которое автоматизирует сбор, хранение и управление согласиями, например, Consent Management Platform.
Штрафы за нарушения на сайте
За нарушения в сфере обработки ПДн на сайте предусмотрена административная ответственность по статье 13.11 КоАП РФ. С 30 мая 2025 года (ФЗ №420-ФЗ от 30.11.2024) размеры штрафов существенно выросли, а рассмотрение дел перешло к судам общей юрисдикции в лице мировых судей, что ускорило процесс привлечения к ответственности.
Роскомнадзор выявляет нарушения как в ходе плановых проверок, так и по жалобам от конкурентов, недовольных клиентов или сотрудников. Автоматизированный мониторинг сайтов также ведется на постоянной основе. Это означает, что вероятность выявления нарушения не зависит от размера бизнеса или региона присутствия.
Ниже приведены актуальные на 2026 год размеры штрафов за наиболее распространенные нарушения на сайтах:
Штрафы суммируются. Если при проверке выявлено несколько нарушений одновременно: например, отсутствует политика обработки ПДн, согласие получено через pre-checked чекбокс, а логи не ведутся, то каждое из них квалифицируется отдельно. Итоговая сумма для небольшой компании может оказаться критической.
Помимо административной ответственности, с декабря 2024 года (ФЗ №421-ФЗ от 30.11.2024) введена уголовная ответственность за незаконное использование и передачу ПДн по статье 272.1 УК РФ. Она применяется при утечках данных и умышленных нарушениях, однако ее появление в правовом поле существенно меняет общий уровень риска для операторов ПДн.
Данную статью вы можете прочитать у нас на сайте.