Формы на сайте: чек‑боксы, оферты и журналы согласий

Формы на сайте: чек‑боксы, оферты и журналы согласий

Введение: что требует 152‑ФЗ для веб‑форм

Любая форма на сайте — сбор персональных данных (ПДн): имя, e‑mail, телефон, IP‑адрес, идентификаторы cookies и др. Чтобы легально принимать заявки с форм сайта (152‑ФЗ), нужен корректный юридический фундамент: подходящее основание обработки, информирование субъекта, безопасная передача, и доказательства того, что согласие было получено законно.

Базовые требования и источники:

• Что такое ПДн и общие принципы — см. о законе 152‑ФЗ, текст, последняя редакция, ст. 5 — принципы.
• Основания обработки (не только согласие) — ст. 6.
• Распространение и публичные источники — ст. 10.1.
• Политика и договорные документы — Политика обработки ПДн, документы для сайта.

Визуально поток данных из формы можно представить так:

Какие формы и какие основания: краткая таблица

Не всегда требуется отдельная галочка. Если обработка объективно необходима для заключения и исполнения договора, достаточно договорного основания (ст. 6). Всё, что выходит за рамки договора (маркетинг, передача партнёрам, публикация), требует отдельного согласия.

Тип формы	Основание	Нужные чек‑боксы	Особенности
Обратная связь/вопрос	Согласие	Согласие на обработку ПДн	Ссылка на Политику обязательна; хранение заявки по установленным срокам
Заказ/оформление покупки	Договор (оферта)	Отдельный чек‑бокс на маркетинг (опционально)	Данные для доставки — по договору; рассылки только при отдельном согласии
Подписка на e‑mail/мессенджер	Согласие	Согласие на обработку ПДн + на рассылку	Рекомендуем double opt‑in и журнал согласий 152‑ФЗ
Бронирование/запись на приём	Договор	Отдельный чек‑бокс на маркетинг/опросы	Медицинские/биометрические ПДн — особый порядок
Резюме/вакансия	Согласие	Согласие на обработку ПДн + на хранение в кадровом резерве	Отдельно оговаривайте срок хранения резюме
Комментарии/поддержка	Согласие	Согласие на обработку ПДн	Согласие на модерацию/публикацию (если отображаются публично)

См. также: требования к сайту, cookie и баннеры.

Чек‑боксы согласия: правила и примеры формулировок

Правильная форма согласия на обработку персональных данных по 152‑ФЗ — это чёткая, конкретная, информированная и добровольная воля субъекта. Что важно:

• Только активное действие. Галочка по умолчанию не допускается.
• Конкретность цели. Разделяйте цели: исполнение заявки, маркетинг, передача третьим лицам, распространение в открытом доступе.
• Разделяйте согласия. Отдельные чек‑боксы для рассылки, передачи партнёрам, трансграничной передачи, размещения отзыва/фото и т. п.
• Ссылка на документы. Рядом с чек‑боксом — ссылка на Политику и при необходимости на отдельные формы согласий: на обработку ПДн, на распространение ПДн.
• Младшие 18 лет. Для детей и подростков учитывайте согласие законного представителя — см. дети и несовершеннолетние ПДн.

Пример короткой надписи у чек‑бокса (для формы обратной связи):

"Я даю ООО «Компания» согласие на обработку моих персональных данных для ответа на обращение и ведения истории переписки, на условиях Политики." Политика

Для рассылки:

"Согласен(на) получать информационные и маркетинговые сообщения по указанным контактам."

Для публикации отзыва/фото (распространение):

"Согласен(на) на распространение моего отзыва/изображения в интернете на условиях согласия на распространение ПДн."

Оферта, политика и отдельное согласие: как совместить

• Оферта (публичный договор) — фиксирует условия покупки/оказания услуг. Обработка ПДн, необходимая для исполнения договора (доставка, биллинг), основана на ст. 6 и не требует отдельной галочки.
• Политика — публичный документ с описанием целей, категорий ПДн, сроков, мер защиты и прав субъекта. Размещается в подвале, упоминается в формах.
• Отдельное согласие — нужно для всего, что не покрыто договором: маркетинг, профильная аналитика, публикация данных, передача партнёрам/аутсорсерам, трансграничная передача, использование специальных категорий.

Подберите комплект документов под ваш сценарий: пакет документов 152‑ФЗ, документы для сайта. Для тонкой настройки согласий используйте наш генератор политики и согласий.

Журнал согласий 152‑ФЗ: состав записей и хранение

"Журнал согласий 152‑ФЗ" — это доказательная база: когда, на что и каким образом человек дал согласие. В законе нет унифицированной формы, но Роскомнадзор на проверках ожидает, что оператор сможет предъявить запись с атрибутами события.

Что фиксировать в журнале (рекомендуемый состав):

Поле	Зачем
Дата/время (с тайм‑зоной)	Установить момент волеизъявления
IP‑адрес и User‑Agent	Идентификация устройства/сеанса
URL страницы и реферер	Где именно было получено согласие
Идентификатор формы и чек‑бокса	Привязка к конкретной форме/тексту
Полный текст согласия и версия документов	Доказать содержание согласия в тот момент
Данные субъекта (e‑mail/телефон, ФИО)	Привязка согласия к субъекту
Метод подтверждения	Галочка, double opt‑in, код из SMS
Статус	Выдано/отозвано (с датой отзыва)
Хэш/ссылка на слепок (PDF/скриншот)	Защититься от подмены текста задним числом

Рекомендации по хранению:

• Срок — до истечения целей обработки или исковой давности по договору/спору (см. сроки хранения ПДн).
• Защита — разграничение доступа, шифрование данных в покое и в передаче (см. SSL/HTTPS, меры безопасности, требования ФСТЭК и ФСБ).
• После отзыва — прекратить обработку по соответствующим целям и выполнить блокировку/уничтожение записей, кроме минимального объёма, необходимого для защиты прав оператора.

Техническая реализация на популярных платформах

• CMS и конструкторы. Проверьте настройки на Tilda, WordPress, Bitrix:
  • Добавьте необязательные чек‑боксы для маркетинга/передач.
  • Привяжите веб‑хуки формы к базе журнала согласий.
  • Включите логи IP/времени и версионирование текстов.
• Внешние формы и виджеты: Яндекс Формы и аналитика Яндекс Метрика. Учитывайте cookies и идентификаторы — настройте баннер и сценарии согласия: cookie и баннеры.
• Локализация данных. Первичный сбор ПДн — на серверах в РФ. Используйте подходящую инфраструктуру: серверы/хостинг/ЦОД, Yandex Cloud. Для вывоза за рубеж оформляйте условия трансграничной передачи.
• Безопасность передачи. Обязателен HTTPS, актуальные шифросuites, HSTS — см. SSL/HTTPS.

Заявки с форм сайта: обработка и действия с ПДн

После поступления заявки важно описать и соблюдать весь цикл обработки — это поможет ответить на вопросы проверяющих и клиента.

Классические действия с персональными данными (ФЗ‑152) включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление/изменение), извлечение, использование, передачу (предоставление/доступ), обезличивание, блокирование, удаление и уничтожение. См. понятия и правила: ст. 3 — термины, передача третьим лицам, обезличивание, прекращение обработки.

Практические шаги:

• Карта потоков данных: кто и зачем получает доступ (оператор, процессоры, партнёры). Закрепите в договорах поручения обработки — см. поручение обработки ПДн.
• Реагирование на запросы субъекта: доступ, исправление, ограничение, отзыв — см. права субъектов ПДн, заявления и отзыв согласия, отзыв согласия.
• Сроки хранения: фиксируйте в Политике и карточках процессов — см. сроки хранения ПДн.

Типичные ошибки и штрафы

• Предустановленные галочки. Согласие считается недоказанным.
• Один чек‑бокс на всё. Маркетинг, передача партнёрам и распространение требуют отдельных, явных согласий.
• Нет ссылки на Политику и на условия согласия. Пользователь не информирован.
• Нет доказательств: не ведётся журнал согласий 152‑ФЗ, отсутствуют логи, нет версий документов.
• Трансграничная передача без оформления и без локализации первичного сбора.

Ответственность: см. КоАП 13.11, ответственность и штрафы, кейсы — судебная практика. Как проходит контроль — проверки Роскомнадзора.

Чек‑лист внедрения на сайт

• Определите юридические основания по каждой форме: договор или согласие. При необходимости разделите на несколько согласий.
• Обновите тексты: Политика, оферта/договор, формы согласий. Используйте шаблоны и формы или наш генератор политики и согласий.
• Настройте чек‑боксы и баннер cookies с раздельным согласием на маркетинг и аналитику.
• Организуйте журнал согласий 152‑ФЗ: база, резервные копии, экспорт на проверку.
• Проверьте локализацию данных и договоры с подрядчиками (процессорами).
• Внедрите HTTPS, разграничение доступа, журналирование — см. меры безопасности.
• Проведите тестовую онлайн‑проверку сайта и внутренний аудит. Подготовьтесь к возможной проверке — чек‑лист 152‑ФЗ, подготовка к проверке.

Заключение и следующий шаг

Корректные чек‑боксы, продуманная оферта и аккуратный журнал согласий — три кита, на которых держатся законные заявки с форм сайта по 152‑ФЗ. Настройте раздельные согласия, фиксируйте доказательства, соблюдайте сроки и безопасность — и вы уверенно пройдёте любую проверку.

Нужна быстрая помощь? За час соберём комплект текстов и чек‑лист внедрения. Воспользуйтесь нашим генератором политики и согласий или закажите аудит и документы под ключ.