152-ФЗ для лендингов: что нужно знать про формы, квизы и сбор заявок
У многих владельцев лендингов есть заблуждение: «У меня же не интернет-магазин, а просто одностраничник. Какой ещё 152-ФЗ?» На практике всё наоборот. Лендинг - это часто первая точка контакта с клиентом, и именно здесь начинается сбор персональных данных. А значит, начинаются и обязанности по закону.
Если на вашей странице есть хотя бы одна форма с полем «Имя» и «Телефон» - вы уже оператор персональных данных. Без вариантов.
Почему лендинги под прицелом
Роскомнадзор не делит сайты на «серьёзные» и «несерьёзные». Для проверяющих важен сам факт сбора данных. Есть форма - есть обязательства. Нет разницы, собираете вы данные через многостраничный корпоративный портал или через одностраничник на Tilda.
Более того, лендинги часто собирают данные агрессивнее обычных сайтов. Поп-апы с предложением «Оставьте номер, перезвоним за 30 секунд», квизы из серии «Ответьте на 5 вопросов и получите скидку», формы заявок с полями имя-телефон-email. Каждая такая точка сбора - это обработка персональных данных.
Штрафы за нарушения 152-ФЗ в 2026 году выросли существенно. За отсутствие политики конфиденциальности юрлицо может получить штраф до 100 000 рублей. За сбор данных без согласия - ещё больше.
Какие данные собирает типичный лендинг
Пройдёмся по стандартному набору. Форма обратной связи - имя и телефон, иногда email. Форма заявки - то же самое, плюс иногда адрес или название компании. Квиз - имя, контактные данные, плюс ответы на вопросы (которые тоже могут содержать персональные данные). Callback-виджет - номер телефона. Чат на сайте - если человек представился и оставил контакт, это тоже ПД.
Отдельная история с квизами. Многие думают, что ответы на вопросы типа «Какой у вас бюджет?» или «Сколько комнат в квартире?» - это не персональные данные. Сами по себе - нет. Но в связке с именем и телефоном они становятся частью набора персональных данных конкретного человека.
Ещё один момент, о котором забывают. Если вы используете Яндекс.Метрику, Google Analytics или пиксели соцсетей - они тоже собирают данные посетителей. Cookie-файлы, IP-адреса, поведение на сайте. Про cookie-баннеры мы писали отдельно.
Что нужно разместить на лендинге
Вот минимальный набор для любого лендинга, который собирает данные.
Политика конфиденциальности. Это основной документ, который описывает, какие данные вы собираете, зачем, как храните и кому можете передавать. Ссылка на политику должна быть доступна с любой страницы сайта. Обычно её размещают в подвале. Подробнее о составлении этого документа - в нашей статье про политику конфиденциальности.
Согласие на обработку персональных данных. Под каждой формой сбора данных должен быть чекбокс или текст со ссылкой на политику. Что-то вроде: «Нажимая кнопку, вы соглашаетесь на обработку персональных данных в соответствии с Политикой конфиденциальности». Про правильное оформление согласия у нас тоже есть материал.
Пользовательское соглашение. Не строго обязательно для простого лендинга, но если у вас есть личный кабинет или какой-то сервис - лучше добавить. Образец пользовательского соглашения можно посмотреть в нашем блоге.
Формы обратной связи: как оформить правильно
Самая частая ошибка - форма без какого-либо упоминания обработки данных. Просто поля и кнопка «Отправить». Это прямое нарушение.
Правильный вариант выглядит так. Под формой размещается текст: «Нажимая на кнопку, вы даёте согласие на обработку своих персональных данных и соглашаетесь с Политикой конфиденциальности». Слова «Политикой конфиденциальности» - это активная ссылка на документ.
Ещё лучше - добавить чекбокс, который пользователь отмечает сам. Без галочки кнопка отправки неактивна. Это более надёжный способ подтверждения согласия, хотя закон не требует именно чекбокс.
Важный нюанс: согласие должно быть конкретным и информированным. Нельзя в одной галочке смешивать согласие на обработку ПД, подписку на рассылку и согласие с офертой. Для рассылки нужно отдельное согласие.
Если у вас несколько форм на одном лендинге (а так обычно и бывает - сверху, в середине, внизу), текст согласия нужен под каждой. Не под одной из них, а под каждой.
Квизы: отдельная головная боль
Квизы стали очень популярным инструментом лидогенерации. «Пройдите тест и узнайте стоимость», «Ответьте на вопросы и получите подборку». Работают отлично, собирают данные - тоже отлично. И вот тут начинаются проблемы.
Большинство квиз-сервисов (Marquiz, Enquiz и подобные) собирают данные на своей стороне. Получается, вы не просто оператор - вы ещё и передаёте данные третьему лицу. А это уже требует либо согласия пользователя на передачу, либо договора поручения обработки с квиз-сервисом.
Что делать на практике. В политике конфиденциальности укажите, что данные могут обрабатываться с помощью сторонних сервисов. Перечислите эти сервисы. Перед отправкой данных в квизе должна быть та же плашка с согласием, что и в обычных формах.
Если квиз встроен через iframe - это не снимает с вас ответственности. Пользователь находится на вашем сайте и доверяет свои данные вам, а не неизвестному сервису.
А что с поп-апами и виджетами?
Поп-ап с формой «Оставьте телефон - перезвоним» подчиняется тем же правилам. Согласие на обработку, ссылка на политику. Даже если места мало, ссылку нужно разместить.
Виджеты обратного звонка (Callibri, CoMagic, Envybox и другие) - ситуация аналогичная. Причём здесь двойная ответственность: вы собираете данные, и сервис виджета тоже их обрабатывает. В политике это нужно отразить.
Онлайн-чаты - если там можно оставить контактные данные, то да, это тоже сбор ПД. Не каждый чат требует имя и email, но многие просят представиться перед началом разговора.
Уведомление в Роскомнадзор
Если вы собираете персональные данные - по закону вы обязаны подать уведомление в Роскомнадзор о том, что являетесь оператором ПД. Это касается и владельцев лендингов. Мы подробно описали процесс подачи уведомления в отдельной статье.
Многие пропускают этот шаг, потому что не знают о нём. Между тем, за неподачу уведомления тоже предусмотрена ответственность.
Частые ошибки на лендингах
Собрал список того, что вижу постоянно при аудитах.
Нет политики конфиденциальности вообще. Это самое распространённое нарушение. Про штрафы за её отсутствие мы писали - суммы внушительные.
Политика есть, но скопирована с другого сайта. С чужим названием компании, неправильными реквизитами, не теми видами обработки. Такая политика хуже, чем её отсутствие, потому что создаёт иллюзию соответствия.
Согласие есть только под одной формой. На лендинге пять форм, а текст согласия - только под первой. Остальные четыре - нарушение.
Чекбокс согласия отмечен по умолчанию. Согласие должно быть активным действием пользователя. Предзаполненная галочка - это не согласие.
Нет упоминания сторонних сервисов в политике. Используете CRM, квизы, аналитику, рекламные пиксели? Всё это нужно отразить в документе.
Что делать, если лендинг на конструкторе
Многие лендинги делают на Tilda, Wix, Taplink и подобных платформах. Принципиально это ничего не меняет - требования те же. Про 152-ФЗ для сайтов на Tilda у нас есть отдельный гайд.
Конструкторы обычно позволяют добавить текст согласия под формой и ссылку на политику в подвал. Технически это реализуемо. Вопрос только в том, чтобы сами документы были правильно составлены.
Чек-лист для владельца лендинга
Быстрая проверка. Политика конфиденциальности - составлена под ваш сайт, а не скопирована. Ссылка на неё - в подвале сайта. Под каждой формой - текст согласия со ссылкой на политику. Квизы и виджеты - упомянуты в политике как инструменты сбора данных. Уведомление в Роскомнадзор - подано. Cookie-баннер - установлен, если используете аналитику.
Полный список требований можно найти в нашем чек-листе по 152-ФЗ.
Как быстро привести лендинг в порядок
Всё это звучит сложно, но на практике занимает не так много времени. Главная задача - подготовить правильные документы. Политику конфиденциальности, текст согласия, при необходимости - пользовательское соглашение и оферту.
Сервис ПоряДок позволяет сгенерировать все нужные документы за несколько минут. Вы отвечаете на вопросы о вашем сайте - какие данные собираете, какие сервисы используете, как обрабатываете информацию. На выходе получаете готовые документы, адаптированные именно под ваш лендинг. Не шаблон с чужого сайта, а документ с учётом вашей специфики.
После генерации останется разместить документы на сайте, добавить ссылки под формы - и основные требования закона будут выполнены. Это не заменяет полноценный юридический аудит, но закрывает 90% типовых нарушений, которые находит Роскомнадзор при проверках.
Не откладывайте - проверки проводятся в том числе дистанционно, без предупреждения. Проверяющему достаточно зайти на ваш лендинг и увидеть форму без согласия, чтобы возбудить дело.