Форма обратной связи на сайте — как не получить штраф

Почему простая форма — это сбор персональных данных

Форма «Задайте вопрос» с полями «Имя» и «Email» — сбор персональных данных. Форма «Заказать звонок» с одним полем «Телефон» — тоже сбор персональных данных. Даже если поле «Имя» не обязательное.

Тамбовская юридическая компания проиграла суд именно по такому делу. На их сайте была форма из трёх полей: имя (необязательное), тема, текст. Суд решил: раз форма может собрать имя — значит, сайт обрабатывает персональные данные. Политика конфиденциальности отсутствует — штраф.

Похожая история в Астрахани: прокуратура проверяла сайты по алфавиту. Застройщики с формами «Заказать обратный звонок» получили штрафы один за другим.

Что должно быть у формы

1. Чекбокс согласия. Текст: «Я согласен(а) на обработку персональных данных в соответствии с Политикой конфиденциальности» — где «Политика конфиденциальности» — ссылка на документ. Галочка не установлена по умолчанию.

2. Блокировка отправки без согласия. Кнопка «Отправить» неактивна, пока чекбокс не отмечен. Или форма показывает ошибку при попытке отправить без галочки.

3. Ссылка на политику конфиденциальности. Не просто текст «мы заботимся о ваших данных», а конкретная ссылка на документ, где описаны цели обработки, сроки хранения, права субъекта.

4. Минимизация данных. Не собирайте больше, чем нужно. Форма обратной связи — достаточно имени и способа связи. Не просите дату рождения, адрес и паспортные данные, если они не нужны для обработки обращения.

Типичные ошибки

Чекбокс есть, но не работает. Можно отправить форму без галочки. JavaScript не валидирует, серверная проверка отсутствует. Формально нарушение.

Ссылка ведёт на 404. Политика конфиденциальности удалена или перемещена. Чекбокс есть, но документ недоступен.

Одна политика на весь сайт, но на разных страницах — разные формы. Форма записи на консультацию собирает одни данные, форма заявки на расчёт — другие. Политика описывает только первый случай.

Pop-up-формы без согласия. Всплывающее окно «Оставьте телефон, мы перезвоним» — без чекбокса, без ссылки на политику. Pop-up — та же форма, те же требования.

Какой штраф реален

За обработку ПД без согласия (ч. 2 ст. 13.11 КоАП):

• Граждане: от 15 000 до 30 000 рублей
• Должностные лица: от 100 000 до 200 000 рублей
• Юрлица: от 300 000 до 700 000 рублей

Если при этом нет политики конфиденциальности — добавляется ещё один штраф по ч. 3 ст. 13.11:

• Юрлица: от 150 000 до 300 000 рублей

Итого за одну форму без защиты: до 1 000 000 рублей для юрлица.

Кратко

• Любая форма, собирающая имя, телефон или email — это обработка персональных данных
• Нужен чекбокс согласия, ссылка на политику, блокировка отправки без галочки
• Реальные штрафы за формы без согласия: от 300 000 до 700 000 рублей
• Pop-up-формы и виджеты — те же требования
• Суд в Тамбове подтвердил: даже необязательное поле «Имя» делает форму объектом 152-ФЗ

Частые вопросы

Форма без поля «Имя» — только телефон. Нужен ли чекбокс?

Да. Номер телефона — персональные данные, позволяющие идентифицировать человека. Согласие обязательно.

Виджет чата (Jivosite, Carrot Quest) — нужно ли согласие?

Если виджет собирает имя, email или телефон до начала диалога — да. Если человек просто пишет текст без идентификации — ситуация менее однозначная, но политика конфиденциальности на сайте всё равно должна быть.

Можно ли заменить чекбокс на текст «Нажимая кнопку, вы соглашаетесь...»?

Формально Роскомнадзор принимает такую конструкцию как допустимую, но она менее надёжна с юридической точки зрения. Чекбокс — безопаснее.

Сколько форм на сайте проверяет Роскомнадзор?

Все, которые найдёт. Каждая форма без согласия — отдельное нарушение. Пять форм — пять нарушений.