Яндекс.Формы и 152‑ФЗ: сбор заявок законно

Яндекс.Формы и 152‑ФЗ: сбор заявок законно

---

Зачем 152‑ФЗ важен для заявок через Яндекс.Формы

Если вы собираете заявки с форм сайта через конструктор Яндекс.Формы, вы — оператор персональных данных и обязаны соблюдать Федеральный закон № 152‑ФЗ. Нарушения при «простых» формах обратной связи попадают в поле зрения Роскомнадзора не реже, чем крупные CRM‑системы: бо́льшая часть проверок касается информационных обязанностей, отсутствия согласия и неправильного хранения.

• Что такое 152‑ФЗ и кого касается — кратко в разделе О законе и Текст 152‑ФЗ (последняя редакция).
• Базовые принципы обработки и цели — Принципы и цели, статьи 5 и 6.

Какие персональные данные собирают формы

Даже минимальный набор полей (имя, телефон, e‑mail) — это персональные данные. Через Яндекс.Формы часто собирают также адрес, компанию, должность, комментарии, файлы. Оцените риски:

• общие ПДн: имя, контакты, идентификаторы;
• специальные категории (ст. 10): состояние здоровья, религиозные взгляды и т. п. — избегайте их в формах без особой необходимости, см. Специальные категории ПДн и Медицинские ПДн;
• биометрия (фото/видео) — см. Биометрические ПДн;
• данные детей — повышенные требования, см. Дети и несовершеннолетние ПДн.

Практический совет: для «заявки с формы сайта 152‑ФЗ» придерживайтесь принципа минимизации — запрашивайте только то, что реально нужно для обработки обращения.

Правовая база: согласие и иные основания

Основные варианты легитимной обработки заявок:

• Согласие субъекта (ст. 6, 9). Это самый частый путь для форм обратной связи и маркетинга.
• Договор/инициирование договора: если форма непосредственно связана с оказанием услуги по запросу пользователя — см. Обработка без согласия.
• Распространение по отдельному согласию (ст. 10.1) — если планируется публикация отзыва/фото на сайте.

В любом случае нужны: цель, правовое основание, сроки и прозрачность. Типовые тексты — в нашем разделе Согласие на обработку ПДн и удобный Генератор политики и согласий.

Настройка Яндекс.Форм под 152‑ФЗ: пошагово

1. Определите цель и состав данных

• Зачем вам заявка? Какой минимальный набор полей нужен? Не собирайте лишнего.

1. Выберите основание обработки

• Для маркетинговых обращений — согласие. Для заявки на расчёт/заказ — возможно договорное основание. Документируйте выбор.

1. Добавьте чекбокс «Согласие на обработку ПДн»

• Чекбокс должен быть неотмечен по умолчанию.
• Текст рядом с чекбоксом: краткая формулировка + ссылка на полную политику.
• Пример: «Соглашаюсь на обработку персональных данных по условиям Политики» со ссылкой на страницу Политика обработки ПДн и/или Документы для сайта.

1. Дайте информацию субъекту до отправки

• Кто оператор, цель и способы, кому передаете, срок хранения, порядок отзыва — можно в описании формы или в всплывающей подсказке. Правила информирования — ст. 18.1, Обязанности оператора.

1. Технические меры на сайте

• Встраиваете форму в сайт — обеспечьте HTTPS, см. SSL/HTTPS.
• Сообщите о cookie и трекерах, если есть встраиваемые виджеты/метрики — см. Cookie и баннеры и Яндекс.Метрика и 152‑ФЗ.

1. Интеграции

• Если отправляете ответы в почту/CRM/таблицы — проверьте договоры и доступы. Для подрядчиков используйте поручение, см. Поручение обработки ПДн.

1. Документы

• Политика, согласия, реестр ИСПДн, модель угроз и меры защиты — смотрите Пакет документов, Меры безопасности, ИС ПДн: определение и требования.

Полезные кейс‑страницы: Tilda и 152‑ФЗ, WordPress и 152‑ФЗ, Битрикс и 152‑ФЗ.

Краткая памятка по настройке согласия

• Чекбокс «согласен» — отдельно от других согласий (например, от рассылок).
• Формулировка указывает цель и содержит ссылку на Политику.
• Фиксируйте факт согласия (см. раздел «Журнал согласий 152‑ФЗ» ниже).

Журнал согласий: как доказать законность сбора

«Журнал согласий 152‑ФЗ» — это набор записей, которыми оператор подтверждает, что пользователь дал согласие осознанно и в конкретной редакции. Для заявок с Яндекс.Форм полезно сохранять:

• дата и точное время отправки (timestamp),
• идентификатор формы/версии формы,
• значение чекбокса согласия (true/false),
• ФИО/контакт (если собирается),
• IP‑адрес и user‑agent (при наличии),
• ссылка на версию Политики/согласия, которая действовала в момент отправки,
• источник/реферер, UTM‑метки (по возможности).

Реализация на практике:

• Экспорт ответов формы в таблицу — храните файл как часть журнала согласий.
• Подключите уведомления на почту/в CRM и настройте их архивирование.
• Используйте скрытые поля для referrer/UTM и версии политики.
• Периодически делайте бэкап.

Сроки: храните доказательства до окончания целей обработки + период исковой давности. Подробнее см. Сроки хранения ПДн, а также порядок Уничтожения и блокировки ПДн.

Таблица: требования 152‑ФЗ и что сделать в Яндекс.Формах

Требование	Что настроить	Чем подтвердить
Законная цель и минимизация	Оставьте только необходимые поля	Скриншот/версия формы, регламент обработки
Согласие субъекта	Чекбокс «согласен», ссылка на Политику	Экспорт ответов, логи, ID формы, timestamp
Информирование	Блок «Оператор, цель, срок, получение прав»	Текст формы/ссылки, копия Политики
Безопасность	HTTPS, доступы по ролям	Отчет ИБ, сертификаты, скриншоты настроек
Передача третьим лицам	Договор поручения с подрядчиками	Договор/оферта, реестр подрядчиков
Учёт согласий	Журнал согласий 152‑ФЗ	Таблица с полями: дата, IP, версия политики
Трансграничная передача	Проверка юрисдикций	Запись в реестре, оценка стран, политика

Хранение, передача, подрядчики

Сбор через Яндекс.Формы обычно включает подрядчиков (провайдер сервиса, хостинг, почтовые/CRM‑сервисы). Это означает:

• Оформите поручение обработки с каждым контрагентом, который получает доступ к ПДн — см. Поручение обработки ПДн и ст. 6.
• Проверьте локацию серверов: если возможна трансграничная передача — соблюдайте ст. 12 и фиксируйте страны.
• Убедитесь, что ТЦОД/облако соответствуют требованиям — см. Серверы, хостинг, ЦОД и Облака: Yandex Cloud и 152‑ФЗ.
• Обновите реестр получателей и реестр ИСПДн, при необходимости уведомите Роскомнадзор — см. Уведомление Роскомнадзор и Реестр операторов ПДн.

Информационные обязанности на сайте

Покажите пользователям, что и как вы делаете с их данными:

• Разместите Политику обработки ПДн в публичном доступе — шаблон и примеры: Политика обработки ПДн, Политика конфиденциальности — шаблон, Примеры документов.
• Опишите назначение формы, сроки ответа, порядок отзыва согласия и обращения субъекта — см. Права субъектов ПДн и Заявления и отзыв согласия.
• Если сайт использует иные формы/виджеты — проверьте раздел Формы на сайте и согласие и общий чек‑лист Требования к сайту.

Безопасность ИСПДн при приёме заявок

Даже «просто заявки» — это ИСПДн. Минимум, который ждут аудиторы:

• Шифрование трафика (HTTPS/TLS) и почты по возможности — см. Криптография и шифрование.
• Разграничение прав доступа к ящикам, таблицам, CRM. Логи входа, 2FA.
• Классификация ИСПДн и выбор уровня защищенности — см. Уровни защищенности ИСПДн и Модель угроз ИСПДн.
• Внутренние регламенты, обучение сотрудников — см. Внутренний контроль и обучение.
• Готовность к инцидентам: порядок фиксации, уведомления — см. Инциденты и утечки ПДн.

Частые ошибки и как их избежать

• Предустановленный чекбокс согласия. Нельзя: согласие должно быть явно выражено.
• Нет ссылки на Политику. Добавьте ссылку рядом с чекбоксом и в подвале сайта.
• Собирают «про запас»: дата рождения, паспорт, фото — без необходимости и правового основания.
• Нет «журнала согласий 152‑ФЗ». Экспортируйте и архивируйте ответы, сохраняйте версию формы.
• Передают ответы в зарубежные сервисы без оценки стран и оснований — см. Трансграничная передача ПДн.
• Игнорируют запросы субъектов на доступ/удаление — чревато штрафами, см. Ответственность и штрафы и КоАП 13.11.
• Нулевой контроль доступов: общий пароль к почте с заявками, нет 2FA.
• Сайт без HTTPS и баннера cookie при использовании аналитики — см. SSL/HTTPS и Cookie и баннеры.

Краткий чек‑лист

• Определена цель и состав ПДн, исключены лишние поля.
• Выбрано правовое основание (согласие/договор), тексты согласий подготовлены.
• Чекбокс согласия добавлен и не отмечен по умолчанию; есть ссылка на Политику.
• Включены логи/экспорт, ведется журнал согласий 152‑ФЗ.
• Оформлены поручения с подрядчиками, проверена трансграничная передача.
• Сайт соответствует: HTTPS, баннер cookie (при необходимости), понятные уведомления.
• Определены сроки хранения, действует процедура удаления.
• Обучены сотрудники, настроены роли и 2FA.

Дополнительно: пройдите Онлайн‑проверку сайта и используйте Чек‑лист 152‑ФЗ. Для сложных случаев — Аудит сайта.

Вывод и что делать дальше

Сделать «яндекс формы 152 фз» совместимыми — реально: определите основание, добавьте корректное согласие, ведите журнал согласий, настройте безопасность и документы. Так вы законно и прозрачно будете принимать заявки с форм сайта по 152‑ФЗ, снизите риски проверок и сохраните доверие клиентов.

Нужна помощь «под ключ»? Закажите консалтинг и документы или воспользуйтесь нашим генератором согласий и политики. Есть задачи в Москве и области — смотрите Услуги в Москве.

Материал информационный; для корректной настройки сверяйтесь с структурой и статьями 152‑ФЗ и последними изменениями 2025.