Какие документы по 152-ФЗ должны быть на сайте компании

Если сайт собирает имя, телефон, e-mail, сообщение в форме обратной связи, заявку на консультацию, данные для записи, резюме, заказ или подписку, он уже обрабатывает персональные данные. Поэтому вопрос «какие документы по 152-ФЗ должны быть на сайте» нельзя решать одной скачанной политикой. Нужно смотреть, какие формы есть на сайте, какие цели обработки заявлены, куда уходят данные и какие согласия получает компания.

Минимальный набор документов зависит от функционала сайта. Для простого сайта-визитки с формой заявки обычно нужны политика обработки персональных данных, согласие на обработку персональных данных, корректный текст чекбокса под формой, уведомление о cookie и, при необходимости, согласие на рекламную рассылку. Если сайт принимает оплату, ведет личный кабинет, собирает медицинские сведения, работает с несовершеннолетними или передает данные подрядчикам, набор документов расширяется.

Политика — это основной публичный документ оператора. Она должна быть доступна на сайте, особенно на тех страницах, где происходит сбор данных. В политике описывают оператора, цели обработки, категории субъектов, категории данных, правовые основания, способы обработки, сроки хранения, порядок передачи третьим лицам, права субъектов, порядок отзыва согласия и сведения о мерах защиты.

Распространенная ошибка — размещать политику, которая вообще не описывает фактический сайт. Например, в документе указана только обработка клиентов, но на сайте есть форма для кандидатов; написано, что данные не передаются третьим лицам, хотя используется CRM; заявлено хранение только на собственном сервере, хотя заявки идут в облачный сервис. Такой документ формально есть, но он не защищает бизнес.

Согласие нужно, когда обработка строится именно на воле пользователя. На сайте это чаще всего формы заявки, обратной связи, записи, подписки, консультации или регистрации. После изменений 2025 года согласие должно быть оформлено отдельно от иных документов и информации, которые пользователь подтверждает. Поэтому формулировка «нажимая кнопку, соглашаюсь с политикой и пользовательским соглашением» больше не выглядит безопасной.

• согласие должно быть отдельным документом или отдельным действием;
• чекбокс не должен быть заранее отмечен;
• ссылка должна вести именно на текст согласия, а не только на политику;
• в тексте согласия должны быть цели, данные, действия, срок и порядок отзыва;
• для рекламы и рассылки лучше использовать отдельное согласие.

Многие сайты собирают не только телефон и e-mail. Аналитика, пиксели, онлайн-чаты, виджеты, сквозная аналитика и рекламные кабинеты могут обрабатывать IP-адрес, идентификаторы устройства, сведения о браузере и поведении пользователя. Поэтому cookie-баннер и политика должны соответствовать тому, что фактически установлено на сайте.

Безопаснее разделить необходимые cookie и аналитические/маркетинговые инструменты. Если сайт использует внешние сервисы, важно проверить, куда передаются данные, есть ли трансграничная передача и выполняются ли требования локализации при сборе данных граждан РФ.

Самая частая точка претензий — форма заявки. Под формой должен быть понятный текст: пользователь дает согласие на обработку персональных данных для связи по обращению и подтверждает ознакомление с политикой. Лучше не смешивать в одном чекбоксе обработку данных, рекламную рассылку, пользовательское соглашение, оферту и согласие на передачу данных всем партнерам.

Если сайт собирает сведения о здоровье, семейной ситуации, финансовом положении, документах или детях, нужно отдельно ограничить состав передаваемой через форму информации. Хорошая практика — указать, что чувствительные документы направляются только после согласования безопасного канала связи.

Документы на сайте не заменяют уведомление Роскомнадзора. Если компания является оператором и обрабатывает персональные данные, нужно отдельно проверить, обязана ли она подать уведомление о начале обработки. Для большинства коммерческих сайтов с формами, CRM и клиентскими базами этот вопрос нужно рассматривать как обязательный элемент аудита.

• есть ли политика и открывается ли она со всех страниц сбора данных;
• есть ли отдельное согласие на обработку персональных данных;
• не объединено ли согласие с офертой и пользовательским соглашением;
• соответствуют ли цели обработки реальным формам сайта;
• описаны ли CRM, хостинг, рассылки, чаты и подрядчики;
• проверены ли cookie, аналитика и возможная трансграничная передача;
• подано ли уведомление в Роскомнадзор или есть обоснование исключения.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.