ФЗ-152 и РКН: что должно быть на сайте с формами

Если на сайте есть форма заявки, поле email, телефон, чат, регистрация или подписка, вы уже работаете с персональными данными. Неважно, большая компания это или маленький стартап: пользователь оставляет данные, а сайт должен объяснить, кто их получает и зачем.

Минимальный набор: политика обработки персональных данных, понятное согласие рядом с формой и контакт для запросов. Политику нельзя прятать только в футере мелким серым текстом. Ссылка должна быть рядом с местом, где человек отправляет данные.

В политике должны быть оператор, цели обработки, состав данных, сроки хранения, права пользователя, порядок отзыва согласия и контакт для обращений. Если в документе есть только общие фразы «мы заботимся о безопасности», это слабая политика.

Для небольшого цифрового сервиса не нужно изображать крупную корпорацию. Достаточно честно написать, какие данные собираются: email для связи, логин для кабинета, технические cookies для работы сервиса, платежные данные через ЮKassa без хранения карты на вашей стороне.

Чекбокс согласия должен быть рядом с формой и не должен быть заранее отмечен. Текст должен быть понятным: «Согласен с политикой обработки персональных данных». Рядом нужна ссылка на саму политику.

Если форма одна, исправление занимает минуты. Если форм много, проверьте каждую: заявка, подписка, обратная связь, регистрация, комментарии. Одна забытая форма может испортить весь юридический контур сайта.

Cookie-баннер нужен, если сайт использует аналитические, рекламные или маркетинговые cookies. Хороший вариант: короткий текст, кнопка принять, кнопка отклонить или настройки, ссылка на политику cookies. Одинокая кнопка «ОК» без выбора выглядит слабее.

В политике стоит перечислить типы cookies: технические для работы сайта, аналитические для статистики, маркетинговые для рекламы. Не нужно писать длинный юридический трактат, но пользователь должен понимать, что происходит.

Для российских пользователей важна локализация первичного хранения персональных данных. Если сервис использует внешние инструменты, CRM, рассылки или зарубежную аналитику, это нужно отдельно оценивать и описывать в документах.

Автоматический аудит не может юридически подтвердить место хранения серверов, но может найти признаки: есть ли раздел про хранение, трансграничную передачу, контакты и права пользователя. Если этих признаков нет, это риск, который лучше закрыть до жалобы.

Откройте главную страницу, форму заявки и страницу регистрации. Проверьте: есть ли ссылка на политику, есть ли чекбокс, не отмечен ли он заранее, есть ли контакт для запросов. Затем запустите аудит сайта и посмотрите блок «Закон и РКН».

Если отчет показывает отсутствие политики, cookies или согласия, эти правки лучше делать первыми. Они обычно дешевле редизайна и быстрее, чем полноценная юридическая ревизия после жалобы.