Форма заявки кажется простой: имя, телефон, комментарий и кнопка «Отправить». Но именно такие формы чаще всего создают проблемы по 152-ФЗ. Через них компания получает персональные данные, а иногда и чувствительные сведения. Если под формой нет корректного согласия, политика не открывается, чекбокс проставлен заранее или данные сразу уходят в CRM и мессенджеры без описания в документах, у бизнеса возникает юридический риск.
Важно оценивать не только внешний вид формы, но и весь путь заявки: где она хранится, кто получает уведомление, какие сервисы участвуют, сколько времени данные сохраняются, можно ли удалить заявку по требованию пользователя и есть ли доказательство согласия.
Собирать нужно только то, что необходимо для цели формы. Если цель — перезвонить по заявке, обычно достаточно имени, телефона и краткого комментария. Паспорт, дата рождения, адрес, документы, сведения о здоровье или семейной ситуации для первичной формы чаще всего избыточны. Чем больше данных собирает форма, тем выше требования к правовому основанию, защите и документам.
Для юридических, медицинских, образовательных и финансовых сайтов стоит прямо ограничить форму: «не направляйте через форму документы и сведения, содержащие специальные категории персональных данных, до согласования способа передачи». Это снижает риск случайного получения данных, к обработке которых компания документально не готова.
Фраза «нажимая кнопку, вы соглашаетесь с политикой» не заменяет полноценное согласие. Политика — это информационный документ, а согласие — подтверждение воли пользователя. После изменений 2025 года согласие должно быть самостоятельным и не смешиваться с другими подтверждениями.
На многих сайтах форма отправляет данные не только на почту. Заявка может попадать в Tilda CRM, amoCRM, Bitrix24, Telegram-бот, WhatsApp-уведомление, Google-таблицу, email-рассыльщик, call-tracking, сквозную аналитику или рекламный кабинет. Каждый такой сервис нужно оценить: является ли он подрядчиком, где находятся серверы, нужно ли поручение обработки, есть ли трансграничная передача, как удалить данные и кто имеет доступ.
Если политика утверждает, что данные никуда не передаются, а фактически они уходят в несколько внешних систем, это противоречие. Оно опаснее, чем отсутствие красивой формулировки, потому что показывает несоответствие документов реальности.
Нельзя считать, что человек, оставивший телефон для обратного звонка, автоматически согласился получать рекламу. Для рекламных сообщений, рассылок и акций лучше использовать отдельный чекбокс. Он должен быть добровольным и не должен быть условием обычного ответа на заявку, если реклама не нужна для исполнения запроса.
Хорошая форма должна позволять восстановить факт получения согласия: дата и время, IP-адрес или технический идентификатор, версия текста согласия, страница, с которой отправлена форма. Если спор возникнет через несколько месяцев, важно доказать, с каким именно текстом согласился пользователь. Иначе компания может иметь документ на сайте, но не иметь доказательства, что конкретный человек дал согласие.
Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.
"