Сбор персональных данных через форму на сайте по закону
Любая форма на сайте, которая просит имя, телефон или email, означает сбор персональных данных. Заявка, обратный звонок, подписка на рассылку, регистрация в личном кабинете: как только посетитель вводит контакты, владелец сайта становится оператором персональных данных и попадает под 152-ФЗ. Дальше начинаются вопросы: нужен ли под формой чекбокс согласия, обязательна ли ссылка на политику, на каком вообще основании эти данные можно собирать.
Ответ не такой простой, как «поставь галочку и забудь». Где-то чекбокс согласия обязателен, а где-то он юридически избыточен и только мешает. Ниже разберём, как отличить эти случаи, что должно стоять рядом с формой и какую ошибку чаще всего находит автоматическая проверка.
Сразу оговоримся про частую путаницу. Многие владельцы сайтов думают, что под 152-ФЗ попадают только крупные компании с базами клиентов. На деле оператором становится любой, кто собирает контакты через сайт: ИП с одной формой заявки, самозанятый мастер, небольшой интернет-магазин. Размер бизнеса не освобождает от требований закона, а отсутствие чекбокса или ссылки на политику видно проверяющему так же легко, как и посетителю.
Сначала основание, потом чекбокс
Главная развилка не «ставить галочку или нет», а «на каком основании я обрабатываю эти данные». Согласие, это лишь одно из оснований, перечисленных в статье 6 закона 152-ФЗ, и далеко не всегда нужное. Пока не определено основание, спорить про чекбокс бессмысленно.
Для форм на сайте чаще всего работают два основания.
Исполнение договора. Если человек оформляет заказ, бронирует столик, регистрируется, чтобы пользоваться услугой, то обработка его контактов и адреса нужна, чтобы исполнить договор, стороной которого он сам является. Это самостоятельное основание из статьи 6, а не согласие. Отдельный чекбокс «даю согласие на обработку» тут юридически избыточен: данные обрабатываются для того, ради чего человек и заполнил форму.
Согласие субъекта. Если обработка выходит за рамки договора (подписка на маркетинговую рассылку, передача данных партнёрам, профилирование для рекламы), у неё нет другого основания, кроме согласия. Здесь чекбокс обязателен, потому что человек должен активно разрешить именно это.
Есть и третье основание, которое иногда выручает: закон. Когда обработка прямо предписана нормой, отдельного согласия не нужно, основанием служит сам закон. Для форм на сайте это редкость, но встречается: например, данные о платежах оператор хранит для налогового учёта не по согласию плательщика, а потому что так требует Налоговый кодекс. Для большинства же форм заявок и подписок выбор сводится к первым двум основаниям, договору и согласию.
Практический смысл различия такой. Форма заказа, где человек получает услугу, держится на договоре. Форма «подпишитесь на новости и акции» держится на согласии. Одна и та же кнопка «отправить» может опираться на разные основания, всё зависит от того, зачем собираются данные.
Разберём на одной форме. Интернет-магазин просит при заказе имя, телефон и адрес доставки. Это договор: без этих данных заказ не исполнить, согласие как отдельный документ не нужно. Но если в той же форме стоит галочка «хочу получать письма о скидках», то по этой галочке основание уже другое, согласие, потому что рассылка не нужна для исполнения заказа. Выходит, одна форма может одновременно работать на двух основаниях: данные для доставки, по договору, а подписку на акции, по согласию. Поэтому и разбирать форму нужно не целиком, а по целям, для чего конкретно используется каждое поле и каждая галочка.
Когда чекбокс согласия обязателен, а когда нет
Свести к одной фразе «чекбокс нужен всегда» нельзя: это распространённое заблуждение, которое приводит к двум противоположным ошибкам сразу.
Чекбокс согласия нужен, когда основание обработки именно согласие:
- подписка на рассылку, новости, акции, дайджесты;
- передача данных третьим лицам в рекламных или иных целях, не вытекающих из договора;
- профилирование, таргетинг, аналитика поведения с привязкой к личности;
- сбор данных, не обязательных для услуги, которые человек даёт «на будущее».
Чекбокс согласия как отдельный документ может не требоваться, когда обработка целиком покрыта другим основанием:
- оформление заказа, бронирование, оплата: исполнение договора;
- вход и регистрация ради получения услуги, тоже исполнение договора;
- обработка, прямо предписанная законом (например, хранение данных о платежах для налогового учёта).
При этом «согласие не требуется» не означает «можно молчать». Даже когда основание это договор, оператор обязан до сбора данных сообщить человеку, кто собирает данные и с какой целью, и обеспечить доступ к политике обработки. Просто роль чекбокса здесь иная: он не разрешает обработку, а в лучшем случае подтверждает ознакомление с условиями.
Отсюда две зеркальные ошибки. Первая, требовать согласие там, где оно избыточно: навешивать «согласен на обработку ПДн» на форму заказа, которая и так работает по договору. Вторая, более опасная, забывать про согласие там, где оно действительно нужно: собирать email в рассылку без отдельной отметки воли. Сканер чаще ловит именно второй случай, и не случайно: галочку под формой заказа добавляют «на всякий случай» гораздо охотнее, чем отдельное согласие под скромным полем подписки.
Каким должен быть чекбокс согласия
Если основание это согласие, к самому чекбоксу закон предъявляет требования. Часть 1 статьи 9 закона 152-ФЗ задаёт, каким согласие должно быть, чтобы вообще иметь силу: оно даётся свободно, своей волей, и должно быть конкретным, информированным, сознательным и однозначным. Из этого вытекают практические правила.
Галочка не должна быть проставлена заранее. Предзаполненный чекбокс, который нужно снять, чтобы отказаться, это не свободное волеизъявление. Человек ничего не выбирал, значит, сознательного согласия нет. Отметку ставит сам посетитель.
Согласие отдельное, а не «согласен со всем». Один общий чекбокс «принимаю оферту, политику и даю согласие» не годится. Согласие на обработку оформляется отдельно от других согласий и документов, его нельзя склеивать с принятием оферты. Если на форме две разные цели, например обработка заявки и отдельно рассылка, это два разных волеизъявления, а не одна галочка.
Согласие информированное. До того как поставить отметку, человек должен видеть, кто оператор, какие данные собираются и зачем. Поэтому рядом с чекбоксом нужна ссылка на политику обработки персональных данных и понятная формулировка цели. Без этого согласие нельзя назвать информированным, даже если галочка есть.
Формулировка однозначная. Из текста рядом с чекбоксом должно быть ясно видно, на что человек соглашается. Размытое «согласен на всё» предметным согласием не считается.
Признаки действительного согласия и причины, по которым его с 1 сентября 2025 года оформляют отдельным документом, подробнее разобраны в статье о согласии на обработку персональных данных.
Ссылка на политику рядом с каждой формой
Ссылка на политику обработки персональных данных нужна не только там, где есть чекбокс. Она работает на два требования сразу.
Во-первых, оператор, который собирает данные через интернет, обязан обеспечить неограниченный доступ к документу, определяющему его политику обработки. Ссылка на политику должна быть видна с любой страницы, где есть форма, и открываться без регистрации и оплаты.
Во-вторых, при сборе данных оператор обязан проинформировать человека: сообщить цель обработки, наименование оператора, на каком основании и какие данные собираются. Ссылка «нажимая кнопку, вы соглашаетесь с политикой обработки персональных данных» рядом с формой как раз закрывает информирование: человек до отправки данных может прочитать, что и зачем с ними будет.
Важно не путать две вещи. Ссылка на политику, это информирование и ознакомление, она нужна у любой формы. Чекбокс согласия, это волеизъявление, он нужен там, где основание именно согласие. Дать ссылку на политику не равно получить согласие. Где обработка строится на согласии, нужны обе вещи: и ссылка для информирования, и отдельная отметка воли.
Что в самой политике обязано быть раскрыто, это отдельный разговор, его мы разобрали в материале о содержании политики конфиденциальности.
Цель и минимизация: не собирайте лишнего
Ещё одно требование, о котором забывают, настраивая формы: данных должно быть ровно столько, сколько нужно для цели. Обработка ограничивается достижением конкретных, заранее определённых целей, и не должна быть избыточной по отношению к ним. Это принцип минимизации из статьи 5 закона 152-ФЗ.
На практике это значит простую проверку каждого поля формы: зачем оно здесь. Форме обратного звонка достаточно имени и телефона. Запрашивать в ней дату рождения, паспорт или адрес «на всякий случай» избыточно: эти данные не нужны, чтобы перезвонить. Чем больше лишних полей, тем выше риск, что обработка будет признана несовместимой с заявленной целью.
Отдельно стоит следить за чувствительными данными. Если форма запрашивает сведения о здоровье, паспортные данные или иные специальные категории, требования к основанию и оформлению строже, и собирать их «заодно» нельзя. Например, медицинскому центру для записи на приём достаточно имени и телефона; диагноз или жалобы в форме записи избыточны, и для них потребовалось бы отдельное, более строгое основание.
Минимизация защищает не только посетителя, но и самого оператора. Чем меньше данных собрано, тем меньше последствий при утечке и тем проще доказать, что обработка соответствует заявленной цели. Лишнее поле в форме это не «забота о клиенте на будущее», а дополнительный риск и лишний предмет для претензии. Если поле нельзя объяснить целью формы здесь и сейчас, его стоит убрать, а не оставлять «вдруг пригодится».
Минимизация связывает всё предыдущее: цель определяет, какие данные нужны и на каком основании они обрабатываются. Сначала формулируется, зачем форма существует, потом под эту цель подбираются поля, основание и, если основание согласие, текст рядом с чекбоксом.
Как проверить форму на сайте
Пройдитесь по каждой форме сайта глазами посетителя и сверьте с тем, что требует закон:
- определено основание обработки для каждой формы: договор или согласие;
- там, где основание согласие (рассылка, передача партнёрам), под формой есть отдельный чекбокс, а не общий «принимаю всё»;
- галочка не проставлена заранее, её ставит сам человек;
- рядом с формой есть ссылка на политику обработки персональных данных, открывается без регистрации;
- формулировка согласия конкретна и понятна, цель названа;
- в форме нет полей, которые не нужны для её цели.
Самая частая ошибка, которую находит наша автоматическая проверка, это форма, которая собирает контакты, но рядом нет ни чекбокса согласия, ни ссылки на политику. Для рассылки или передачи данных это уже состав части 1 статьи 13.11 КоАП: обработка без надлежащего основания и без информирования субъекта.
Увидеть эти расхождения по всему сайту разом удобнее автоматически, чем вручную обходить каждую страницу. На странице проверки сайта по 152-ФЗ сканер находит формы и внешние сервисы и показывает, где рядом с формой нет согласия или ссылки на политику и где оформление расходится с требованиями закона. Индивидуальные случаи это не заменит, но покажет, с какой формы начинать.
Коротко
Любая форма с контактами означает обработку персональных данных, но чекбокс согласия нужен не везде. Если данные собираются для исполнения договора (заказ, регистрация ради услуги), основание это договор, и отдельное согласие может не требоваться. Если обработка выходит за рамки договора (рассылка, передача партнёрам, профилирование), основание это согласие, и чекбокс обязателен.
Сам чекбокс должен быть не предзаполнен, отдельным от других согласий и информированным, со ссылкой на политику и понятной целью рядом. Ссылка на политику нужна у любой формы, даже без согласия: это информирование субъекта. И в любом случае собирайте только те данные, которые нужны для цели формы. Форма без чекбокса и без ссылки на политику там, где основание это согласие, остаётся самой частой и легко проверяемой ошибкой.
Нормативная база
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 6 — основания обработки персональных данных; пункт 1 части 1 (с согласия субъекта) и пункт 5 части 1 (обработка для исполнения договора, стороной которого является субъект).
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 1 статьи 9 — согласие на обработку даётся свободно, своей волей и в своём интересе, должно быть конкретным, предметным, информированным, сознательным и однозначным.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 2 статьи 18.1 — оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 7 статьи 14 — право субъекта персональных данных получить сведения об операторе и об обработке его персональных данных.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 2 статьи 5 — обработка должна ограничиваться достижением конкретных, заранее определённых и законных целей; не допускается обработка, несовместимая с целями сбора (минимизация данных).
- КоАП РФ, часть 1 статьи 13.11 — обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка, несовместимая с целями сбора; влечёт предупреждение или административный штраф.