Форма обратной связи на сайте: нужно ли уведомлять Роскомнадзор?

Разбираем требования 152-ФЗ в 2025–2026 годах: кто обязан подать уведомление, что грозит за молчание и что ещё нужно сделать владельцу сайта

Почему этот вопрос важен именно сейчас

Тысячи российских сайтов — от корпоративных визиток до интернет-магазинов — содержат форму обратной связи. Поле «Имя», поле «Телефон» или «Email», кнопка «Отправить». Владельцы таких сайтов нередко считают, что это «мелочь», к которой регулятор не присмотрится. Это опасное заблуждение.

С 30 мая 2025 года в России вступили в силу поправки к Кодексу об административных правонарушениях [1], которые в несколько раз повысили штрафы за нарушение законодательства о персональных данных. Параллельно изменился сам закон 152-ФЗ [2]: с 1 сентября 2022 года был сужен перечень случаев, когда уведомление Роскомнадзора не требуется, а в 2025 году добавились новые обязанности по хранению данных и реагированию на инциденты.

Материал будет полезен владельцам сайтов, маркетологам, юристам компаний, ИП и всем, кто задаётся вопросом: «Одна форма с именем и телефоном — это уже повод идти в РКН?» Спойлер: да, повод. И ниже объясняем почему.

Что такое персональные данные применительно к форме обратной связи

Персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (ст. 3 152-ФЗ) [2]. Формулировка намеренно широкая.

Применительно к веб-форме это означает следующее. Если человек вводит имя и email — это персональные данные, потому что по такому сочетанию можно установить личность. Если вводит только email — тоже персональные данные, поскольку email-адрес является уникальным идентификатором. Номер телефона, ФИО, адрес, IP-адрес в сочетании с другими данными, сообщения в чатах — всё это в той или иной мере является персональными данными [3].

Ключевой вывод: нет такой «безобидной» формы обратной связи, которая не собирала бы персональные данные. Даже поле «Как вас зовут?» уже создаёт обязанности у оператора.

Кто такой оператор персональных данных и почему вы им являетесь

Оператор — это государственный орган, юридическое или физическое лицо, которые организуют и осуществляют обработку персональных данных, а также определяют её цели и содержание [2]. Ключевое слово — «определяют цели». Если вы решили, что форма нужна для получения заявок, — вы сами установили цель, а значит, вы оператор.

Важно: оператором является не только крупная компания, но и ИП, самозанятый, некоммерческая организация и даже физическое лицо, если оно ведёт предпринимательскую деятельность и собирает данные клиентов [4]. Репетитор, берущий у ученика телефон для связи, — оператор. Фрилансер, хранящий контакты заказчиков в таблице, — оператор. Владелец сайта с формой обратной связи — оператор.

Статья 22 152-ФЗ: обязанность уведомить и что от неё осталось

Ст. 22 Федерального закона № 152-ФЗ обязывает оператора до начала обработки персональных данных уведомить Роскомнадзор о своём намерении осуществлять такую обработку [2]. Это правило действует с 2006 года, но долгое время существовали широкие исключения — перечень ситуаций, при которых уведомление не требовалось.

С 1 сентября 2022 года Федеральный закон № 266-ФЗ упразднил большинство этих исключений [5]. Пункты 1–6 части 2 статьи 22 утратили силу. Остались только три случая, при которых уведомление не требуется:

1. Данные включены в государственные информационные системы, созданные для защиты безопасности государства и общественного порядка.
2. Оператор осуществляет обработку исключительно без использования средств автоматизации (то есть только на бумаге, вручную).
3. Обработка предусмотрена законодательством о транспортной безопасности [5].

Форма обратной связи на сайте не подпадает ни под одно из этих исключений. Данные вводятся пользователем через браузер, сохраняются в базе данных или CRM — это автоматизированная обработка. Сайт не является государственной системой безопасности. К транспорту сайт корпорации или ИП отношения не имеет.

Вывод однозначный: если на сайте есть форма обратной связи — уведомление в Роскомнадзор подать необходимо [6].

Практика: что именно считается «только формой обратной связи»

Некоторые владельцы сайтов рассуждают так: «У меня нет интернет-магазина, нет регистрации, нет базы клиентов — просто форма, через которую мне пишут». Рассмотрим этот сценарий детально.

Типичная форма обратной связи собирает имя, телефон или email и текст сообщения. После отправки эти данные попадают либо на почту владельца сайта, либо в CRM, либо в базу данных на хостинге. Это означает следующие операции с персональными данными: сбор, запись, систематизацию, накопление, хранение, использование (для ответа). Всё перечисленное является обработкой персональных данных по определению ст. 3 152-ФЗ [2].

Роскомнадзор неоднократно разъяснял этот вопрос. В письме от 26.01.2018 № 08-53-202 ведомство прямо указало: если пользователь вводит контактные данные в форму на сайте, оператор обрабатывает персональные данные и обязан соблюдать требования 152-ФЗ [7]. Аналогичная позиция отражена на специализированных семинарах РКН для операторов персональных данных.

Сайт журнала «Главбух» [8] и сервис Контур [9] прямо указывают: форма обратной связи — это инструмент сбора персональных данных, при наличии которого уведомление в РКН обязательно.

Когда подавать уведомление: до или после запуска формы

Закон требует уведомить РКН до начала обработки персональных данных [2]. Это означает: сначала подаётся уведомление, потом запускается форма. Не наоборот.

На практике многие компании сначала делают сайт, потом узнают о требованиях. В этом случае уведомление нужно подать как можно скорее — промедление увеличивает риск штрафа. При этом первое нарушение может повлечь предупреждение, если не причинён вред правам субъектов данных [10].

Уведомление подаётся один раз. Если впоследствии цели или состав обрабатываемых данных меняются — нужно подать уведомление об изменении сведений не позднее 15-го числа следующего месяца [2].

Как подать уведомление: три способа

Уведомление подаётся по форме, утверждённой Приказом Роскомнадзора от 28.10.2022 № 180 [11].

Первый способ — через портал Роскомнадзора (pd.rkn.gov.ru) с использованием усиленной квалифицированной электронной подписи.

Второй способ — через Госуслуги (происходит переадресация на тот же портал РКН).

Третий способ — на бумаге. Уведомление распечатывается и отправляется по почте в территориальный орган Роскомнадзора по месту регистрации компании [6].

В уведомлении нужно указать: наименование и адрес оператора, цели обработки персональных данных (например, «обработка обращений через форму обратной связи на сайте»), категории данных (имя, телефон, email), категории субъектов (пользователи сайта), правовое основание обработки, описание мер защиты, местонахождение базы данных, дату начала обработки и срок её прекращения [4].

После получения уведомления РКН в течение 30 дней вносит сведения об операторе в реестр [2].

Что ещё нужно сделать помимо уведомления

Уведомление — лишь один из элементов комплаенса. Форма обратной связи влечёт и другие обязательства.

Первое. Политика конфиденциальности (политика обработки персональных данных). Документ должен быть в открытом доступе. Роскомнадзор рекомендует размещать ссылку в подвале (футере) сайта, чтобы она была видна на всех страницах. В политике указываются: какие данные собираются, с какой целью, на каком основании, кому передаются, как и когда уничтожаются [7].

Второе. Согласие пользователя на обработку данных. Рядом с формой обратной связи должен находиться чекбокс с текстом согласия. Согласие должно быть конкретным, информированным и сознательным (ст. 9 152-ФЗ) [2]. Не подходит формулировка «нажимая кнопку, вы соглашаетесь со всем»: нужно явно указать оператора, цель обработки и дать ссылку на политику конфиденциальности. Галочка должна быть не проставлена по умолчанию [12].

Третье. Локализация данных. С 1 июля 2025 года вступила в силу уточнённая редакция ч. 5 ст. 18 152-ФЗ: первичное размещение персональных данных граждан РФ должно осуществляться на территории Российской Федерации [7]. Если сайт работает на зарубежном хостинге — это нарушение.

Четвёртое. Внутренние документы. Организация обязана разработать ряд локальных нормативных актов: положение об обработке персональных данных, инструкции для сотрудников, приказ о назначении ответственного лица и другие. Объём документации зависит от масштаба обработки [13].

Штрафы 2025–2026: сколько стоит бездействие

С 30 мая 2025 года Федеральный закон № 420-ФЗ от 30.11.2024 ввёл в действие новую редакцию ст. 13.11 КоАП РФ [1]. Штрафы выросли многократно.

За неуведомление или несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных (ч. 10 ст. 13.11 КоАП РФ): для физических лиц — от 5 000 до 10 000 рублей; для должностных лиц — от 30 000 до 50 000 рублей; для организаций — от 100 000 до 300 000 рублей [1].

За отсутствие политики конфиденциальности в открытом доступе (ч. 3 ст. 13.11 КоАП РФ): для организаций — от 30 000 до 60 000 рублей; для ИП — от 10 000 до 20 000 рублей [1].

За обработку персональных данных без согласия субъекта (ч. 1 ст. 13.11 КоАП РФ): для организаций — от 150 000 до 300 000 рублей [1].

За нарушение обязанности уведомить РКН об утечке в течение 24 часов (ч. 11 ст. 13.11 КоАП РФ): для организаций — от 1 до 3 миллионов рублей [14].

За саму утечку данных (от 1 000 до 10 000 субъектов): для организаций — от 3 до 5 миллионов рублей [14]. При повторных утечках применяются оборотные штрафы: от 1 до 3% годовой выручки, но не менее 20–25 миллионов рублей [14].

Отдельно подчеркнём: с 30 мая 2025 года ИП несут ответственность наравне с юридическими лицами по большинству составов [15]. Прежнего разрыва между штрафами для организаций и предпринимателей больше нет.

Типичные ошибки и как их избежать

Ошибка первая: «Я не знал, что нужно уведомлять». Незнание не освобождает от штрафа. Обязанность уведомить возникает автоматически при начале обработки данных, вне зависимости от осведомлённости оператора.

Ошибка вторая: «Я уже уведомлял несколько лет назад». Если уведомление подавалось до 26 декабря 2022 года, оно скорее всего составлено по старой форме. В реестре РКН такое уведомление содержит раздел «Список информационных систем» — признак устаревшей формы. Актуальная форма содержит раздел «Цели обработки персональных данных». В первом случае нужно подать корректирующее уведомление [11].

Ошибка третья: «Форма не хранит данные — она только отправляет письмо на email». Данные хранятся на почтовом сервере — а значит, обработка всё равно происходит. Почтовый провайдер в этом случае является обработчиком по поручению, с которым нужно оформить соответствующий договор.

Ошибка четвёртая: «Галочка согласия предзаполнена». Согласие должно быть активным действием пользователя. Предзаполненный чекбокс недействителен с точки зрения закона.

Ошибка пятая: «Политика конфиденциальности есть, но ссылка на неё спрятана в недрах сайта». Политика должна быть доступна с любой страницы, где собираются данные — в идеале, в футере и рядом с каждой формой [7].

Алгоритм приведения сайта в соответствие с 152-ФЗ

1. Проверьте, есть ли ваша организация в реестре операторов персональных данных на сайте pd.rkn.gov.ru. Если нет — переходите к следующему шагу.
2. Проверьте актуальность уведомления, если оно уже есть: раздел «Цели обработки» в реестре — признак актуальной формы; раздел «Список ИС» — признак устаревшей.
3. Составьте перечень всех мест сбора данных на сайте: формы обратной связи, формы заказа, подписки, чат-боты, cookies.
4. Подготовьте политику конфиденциальности: укажите все цели обработки, категории данных, правовые основания, сроки хранения, порядок уничтожения.
5. Разместите чекбоксы согласия рядом с каждой формой. Текст должен содержать имя оператора, цель и ссылку на политику.
6. Убедитесь, что данные хранятся на серверах в России.
7. Подайте уведомление в РКН — через сайт pd.rkn.gov.ru, Госуслуги или почтой.
8. Назначьте ответственного за организацию обработки персональных данных (обязательно для юридических лиц — ст. 22.1 152-ФЗ).
9. Разработайте внутренние документы и инструкции для сотрудников.
10. Настройте процедуру реагирования на утечки: в течение 24 часов — уведомление РКН, в течение 72 часов — результаты внутреннего расследования [7].

Будущее регулирования: чего ожидать

В ближайшей перспективе ужесточение продолжится. На уровне обсуждений находится введение уголовной ответственности за грубую халатность, повлёкшую массовые утечки персональных данных [15]. РКН активизировал проверочную деятельность: по данным ряда экспертов, волна проверок нарастает именно в 2026 году.

Параллельно набирает силу тренд на минимизацию согласий: там, где возможно, операторам рекомендуется опираться на иные правовые основания — исполнение договора (п. 5 ч. 1 ст. 6 152-ФЗ) или законный интерес оператора [16]. Это снижает юридические риски, связанные с корректностью согласия.

Требование о локализации данных становится предметом внимания при проверках иностранных сервисов, аналитических систем и CDN, используемых российскими сайтами. Если форма обратной связи отправляет данные через зарубежный email-сервис — это потенциальное нарушение требований о первичном хранении.

Заключение: что делать прямо сейчас

Если на вашем сайте есть форма обратной связи, алгоритм простой:

Первый шаг — зайдите на pd.rkn.gov.ru и проверьте, есть ли ваша организация в реестре операторов. Это занимает две минуты.

Второй шаг — если вас нет в реестре или уведомление подавалось по старой форме, подготовьте и подайте актуальное уведомление. Сделать это нужно до начала обработки данных, но если обработка уже ведётся — как можно скорее.

Третий шаг — проверьте наличие политики конфиденциальности, чекбоксов согласия и убедитесь, что данные хранятся в России.

Четвёртый шаг — разработайте процедуру реагирования на инциденты: штраф за несвоевременное уведомление об утечке кратно превышает штраф за само нарушение.

Цена бездействия — от 100 000 до 300 000 рублей за неуведомление, и от 1 до 3 миллионов за сокрытие утечки. Стоимость приведения небольшого сайта в соответствие с законом несравнимо меньше.

Как «Пятый фактор» помогает операторам персональных данных

Уведомить РКН — это первый шаг. Но настоящая проблема возникает позже: данные накапливаются, появляются новые поля в базах, меняются интеграции и подрядчики, а компания постепенно теряет понимание того, где именно хранятся персональные данные и кто имеет к ним доступ.

Именно здесь помогает Пятый фактор — on-prem платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, хранилищах, почте, CRM, 1С, API.

Ключевое отличие: «Пятый фактор» работает с метаданными, структурой и агрегатами — без передачи и хранения «сырых» персональных данных. Это значит, что платформа сама по себе не становится источником дополнительного риска.

В результате компания получает живую «карту ПДн»: где и какие данные есть, кто их владелец, что изменилось за последнее время. Новые поля в базах данных, новые интеграции, новые подрядчики — платформа замечает их раньше, чем они превращаются в инцидент. Вместо разрозненных ручных проверок раз в год — непрерывный контроль с понятными нарушениями, владельцами и статусами согласования.

Для компаний, которым предстоит проверка Роскомнадзора или аудит в сфере информационной безопасности, это означает сокращение времени подготовки с недель до дней.

Источники

[1] consultant.ru — Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в КоАП РФ» — https://www.consultant.ru/legalnews/28492/

[2] consultant.ru — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 24.06.2025) — https://www.consultant.ru/document/cons_doc_LAW_61801/

[3] utlab.ru — 152-ФЗ о персональных данных: требования 2025 года, штрафы и что делать владельцам сайтов — https://www.utlab.ru/blog/152-fz-chto-dolzhen-znat-vladelets-lyubogo-sayta/

[4] b-152.ru — Как правильно подать уведомление в Роскомнадзор — https://b-152.ru/kak-pravilno-podat-uvedomlenie-v-roskomnadzor

[5] securitm.ru — 152-ФЗ О персональных данных. Ст. 22 п. 2 — исключения из обязанности уведомить — https://service.securitm.ru/docs/152-fz/statia-22-punkt-2

[6] astral.ru — Обработка персональных данных с 30 мая 2025 года: как подать уведомление — https://astral.ru/products/152doc/uvedomlenie-ob-obrabotke-personalnykh-dannykh/

[7] utlab.ru — 152-ФЗ: требования 2025 года для владельцев сайтов — https://www.utlab.ru/blog/152-fz-chto-dolzhen-znat-vladelets-lyubogo-sayta/

[8] buhsoft.ru — Уведомление в Роскомнадзор об обработке персональных данных работников — https://www.buhsoft.ru/article/4248-uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnyh-dannyh

[9] kontur-extern.ru — Как уведомить Роскомнадзор об обработке персональных данных: ответ эксперта — https://www.kontur-extern.ru/info/25487-kto_i_kogda_dolzhen_uvedomit_roskomnadzor_ob_obrabotke_personalnyx_dannyx

[10] rtmtech.ru — Изменения в законе о персональных данных с 2025 года: новые штрафы за утечки — https://rtmtech.ru/articles/novye-shtrafy-za-utechki-pdn/

[11] v8.1c.ru — До 30 мая 2025 подайте уведомление в Роскомнадзор об обработке персональных данных — https://v8.1c.ru/news/do-30-maya-2025-podayte-uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnykh-dannykh.htm

[12] gendalf.ru — Согласие на обработку персональных данных на сайте — требования — https://gendalf.ru/news/marketing/kak-zaprashivat-personalnye-dannye-na-sa/

[13] capyba.ru — ФЗ-152 «О персональных данных» — что важно знать — https://capyba.ru/blog/fz-152-o-personalnykh-dannykh-chto-vazhno-znat/

[14] it-pnk.ru — Новые штрафы за нарушение законодательства о персональных данных с 30 мая 2025 года — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/

[15] kontur.ru — Ответственность за обработку персональных данных: изменения 2025 года — https://kontur.ru/articles/55870-otvetstvennost_za_obrabotku_pers_dannyh

[16] b-152.ru — Закон о персональных данных: что изменилось в 2025–2026 годах — https://b-152.ru/zakon-o-personalnyh-dannyh-2025