Кто является оператором персональных данных в VK лид-формах?

Рекламодатель является оператором, а VK — обработчиком.

Как оформить согласие на обработку персональных данных?

Необходимо указать данные рекламодателя и цели обработки.

Что делать, если VK допустит утечку данных?

Рекламодатель несет ответственность за утечку данных.

Каковы требования к тексту согласия на обработку данных?

Согласие должно содержать конкретные цели и перечень действий.

Можно ли использовать шаблонное согласие от VK?

Шаблонное согласие часто не соответствует всем требованиям закона.

Материал

VK лид-формы и персональные данные: кто оператор и как оформить передачу

Опубликовано: 18.04.2026 · Обновлено: 18.04.2026 · Время чтения: 13 мин

Кто реально несёт ответственность — ВКонтакте или рекламодатель?

Чем опасна «удобная» форма без разбора

Лид-форма во ВКонтакте — один из самых популярных рекламных инструментов в России. За 2023 год бизнес увеличил бюджеты на кампании с лид-формами в VK Рекламе на 90% [1]. Инструмент понятен: пользователь видит объявление в ленте, жмёт кнопку, вводит имя и телефон — данные уходят рекламодателю без перехода на сайт. Конверсия выше, стоимость лида ниже.

Но за удобством скрывается юридическая ловушка. Большинство рекламодателей — от малого бизнеса до крупных брендов — нажимают «Создать лид-форму» и считают, что VK сам позаботится о соответствии закону. Это не так.

Если разобраться, кто именно является оператором персональных данных в этой схеме, какие обязательства это несёт и как правильно оформить передачу данных — выясняется, что большинство кампаний работает с нарушениями. А с мая 2025 года цена этих нарушений выросла в разы.

Что такое лид-форма VK: техническая и правовая архитектура

Лид-форма в VK Рекламе — это инструмент сбора контактных данных потенциальных клиентов прямо в интерфейсе социальной сети. Пользователь не покидает ВКонтакте: форма открывается поверх ленты, поля частично заполняются автоматически из профиля [2].

Рекламодатель в рекламном кабинете VK Рекламы:

создаёт лид-форму (задаёт состав полей, тексты, дизайн);
указывает юридические реквизиты компании — они автоматически подставляются в шаблон согласия на обработку персональных данных;
запускает рекламную кампанию;
получает заявки в кабинете VK Рекламы, на email или через мессенджер, либо выгружает их таблицей.

Технически данные собираются на серверах VK, временно хранятся там и передаются рекламодателю. Этот факт — ключевой для определения правового статуса каждого участника цепочки.

Кто является оператором персональных данных: VK, рекламодатель или оба?

Что говорит закон

По ст. 3 Федерального закона № 152-ФЗ «О персональных данных», оператор — это «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными» [3].

Ключевые критерии — определение целей обработки и состава данных.

Кто в схеме VK-лид-форм определяет цели и состав?

Именно рекламодатель:

решает, для чего собираются данные (звонки, продажи, запись на услугу, подписка);
сам выбирает поля формы — имя, телефон, email, город, дата рождения и другие;
определяет, что делать с данными после выгрузки (отправить в CRM, обзвонить, включить в рассылку).

VK при этом:

предоставляет техническую платформу;
временно хранит данные на своих серверах до момента передачи рекламодателю;
не использует собранные через лид-форму контакты для своих целей в интересах рекламодателя.

Вывод: рекламодатель — самостоятельный оператор персональных данных. VK в рамках лид-формы фактически выполняет функции лица, осуществляющего обработку по поручению оператора (обработчика или «процессора» в терминологии GDPR, хотя российский закон такого термина не использует).

Что это означает практически

Рекламодатель несёт полную ответственность перед субъектом персональных данных (пользователем, заполнившим форму). Это прямо закреплено в ч. 5 ст. 6 152-ФЗ: «В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несёт оператор» [4].

Иными словами, если VK допустит утечку данных со своих серверов до передачи рекламодателю — отвечать будет рекламодатель как оператор.

Что VK делает самостоятельно: встроенное согласие и его пределы

При настройке лид-формы VK Реклама автоматически формирует текст согласия на обработку персональных данных на основании юридических реквизитов рекламодателя [5]. Это удобно, но порождает иллюзию правовой защиты.

Что содержит шаблон VK

Платформа генерирует согласие, в которое подставляет:

наименование и адрес рекламодателя;
стандартный перечень полей формы;
цели обработки в общем виде.

Чего не хватает в шаблонном согласии

Требования к содержанию согласия изложены в ч. 4 ст. 9 152-ФЗ. Там указаны обязательные элементы [6]:

фамилия, имя, отчество, адрес субъекта, реквизиты документа, удостоверяющего личность (или аналог);
наименование и адрес оператора;
конкретная цель обработки — не «для связи», а развёрнутое описание;
перечень персональных данных — с конкретизацией каждого вида;
список всех действий — сбор, хранение, использование, передача и т.д.;
способы обработки — автоматизированная, неавтоматизированная;
срок действия согласия или условие прекращения;
наименование лица, которому поручена обработка, если такое поручение есть (то есть VK должно быть упомянуто);
способ отзыва согласия.

Шаблонное согласие VK, как правило, не покрывает все эти требования в полной мере. Особенно часто отсутствует конкретизация целей, подробный перечень действий и упоминание VK как обработчика.

Согласно ст. 9 152-ФЗ в редакции 2022 года, согласие должно быть оформлено отдельно от иных документов [7]. Практика встраивания галочки в форму заявки сама по себе не запрещена для лид-форм, но текст согласия должен быть достаточно полным.

Как оформить передачу данных от VK рекламодателю: три модели

Модель 1: Рекламодатель — единственный оператор, VK — обработчик по поручению

Это наиболее логичная и распространённая конструкция. Рекламодатель выступает оператором, VK осуществляет технический сбор и временное хранение по его поручению.

Что нужно оформить:

Согласие пользователя с указанием, что данные будут обрабатываться рекламодателем (наименование, адрес, ИНН), а техническую обработку осуществляет VK как лицо, действующее по поручению;
Политику конфиденциальности рекламодателя с описанием этой схемы и ссылкой на неё в лид-форме (поле для ссылки есть в конструкторе VK);
Фактически — договорное поручение обработки с VK, закреплённое в пользовательском соглашении VK Рекламы (рекламодатель акцептует его при регистрации в кабинете).

Важно: ч. 3 ст. 6 152-ФЗ устанавливает, что поручение обработки допускается на основании договора, в котором должны быть определены перечень данных, перечень операций, цели, обязанность обеспечить конфиденциальность и безопасность данных [4].

Пользовательское соглашение и оферта VK Рекламы технически являются таким договором, однако их соответствие всем требованиям ч. 3 ст. 6 — вопрос для юридической экспертизы применительно к конкретной редакции документа.

Модель 2: Совместная обработка

Статья 3 152-ФЗ допускает ситуацию, когда несколько лиц «совместно» определяют цели и состав обработки. В теории VK тоже может считаться совместным оператором — поскольку самостоятельно определяет техническую архитектуру хранения, сроки хранения в кабинете и ряд других параметров обработки.

На практике VK позиционирует себя как платформу (инструмент), а не совместного оператора, что снимает с него часть ответственности. Тем не менее при конфликтной ситуации суд или Роскомнадзор могут занять иную позицию.

Модель 3: Сбор данных только через ссылку на собственный сайт рекламодателя

Если рекламодатель принципиально не хочет, чтобы данные проходили через серверы VK, он может использовать формат рекламы с переходом на внешний лендинг. В этом случае весь цикл сбора происходит на его собственной платформе. Лид-формы VK в этой схеме не используются.

Чек-лист обязательных действий для рекламодателя

Перед запуском лид-формы в VK Рекламе рекламодатель должен выполнить следующее.

Регистрационные действия:

Подать уведомление в Роскомнадзор о начале обработки персональных данных (если ещё не сделано) — через портал РКН или личный кабинет. С 30 мая 2025 года за неуведомление для организаций штраф составляет 100 000–300 000 рублей [8].
Проверить, что в реестре операторов данные актуальны: цели, состав, категории субъектов, способы обработки и меры защиты.

Документация:

Разработать или актуализировать политику конфиденциальности, описывающую сбор данных через рекламные платформы, в том числе VK. Разместить её на сайте или в сообществе ВКонтакте, указать ссылку в лид-форме.
Разработать согласие на обработку персональных данных с учётом требований ч. 4 ст. 9 152-ФЗ — с конкретными целями, перечнем данных, списком операций, сроком и упоминанием VK как обработчика.
При сборе данных для маркетинговых рассылок — предусмотреть отдельное согласие на маркетинговую коммуникацию по ст. 15 152-ФЗ (обработка для прямых контактов в целях продвижения допускается только при предварительном согласии субъекта) [9].

Технические и организационные меры:

Определить срок хранения данных в кабинете VK Рекламы и собственных системах. По истечении срока данные должны быть удалены или обезличены.
Установить порядок выгрузки и удаления данных из кабинета VK после передачи в CRM или иную систему.
Обеспечить ограничение доступа к выгруженным данным для сотрудников, не нуждающихся в них.
Подготовить процедуру обработки запросов субъектов персональных данных на доступ, исправление и удаление своих данных.

После запуска:

При интеграции с CRM (через Albato, Calltouch или иные сервисы) — проверить, что эти обработчики также соответствуют 152-ФЗ и при необходимости оформить с ними поручение обработки.

Типичные ошибки и как их избежать

Ошибка 1: «VK сам оформил согласие — я в порядке»

Автоматически сгенерированный текст согласия в VK не покрывает всех требований 152-ФЗ. Рекламодатель остаётся оператором и несёт полную ответственность. Решение: разработать полноценное согласие, ссылку на политику конфиденциальности указать в форме.

Ошибка 2: Данные хранятся в кабинете VK бессрочно

После выгрузки данных они нередко остаются в кабинете VK Рекламы. Это потенциальная точка утечки. Кроме того, хранение данных сверх необходимого срока — нарушение принципа минимизации по ст. 5 152-ФЗ. Решение: установить регламент очистки кабинета.

Ошибка 3: Передача данных в CRM без поручения обработки

Многие компании интегрируют лид-формы VK напрямую с CRM-системами. Если CRM — внешний облачный сервис, передача данных туда без оформления договора-поручения с провайдером CRM является нарушением. Решение: проверить договор с провайдером CRM, убедиться, что в нём закреплены обязательства по конфиденциальности и безопасности данных.

Ошибка 4: Сбор данных, не нужных для цели

Принцип минимизации данных (ст. 5 152-ФЗ) требует, чтобы собирались только те данные, которые необходимы для заявленной цели. Запрашивать дату рождения для записи на консультацию по общему вопросу — избыточно. Решение: анализировать состав запрашиваемых полей применительно к конкретной цели.

Ошибка 5: Одно согласие «на всё»

Согласие на обработку для ответа на заявку и согласие на рекламную рассылку — разные документы с разными целями. Их нельзя объединять в один чекбокс. Решение: разделить согласия, предусмотреть отдельные чекбоксы.

Штрафы 2025–2026: почему тема стала острой

С 30 мая 2025 года в России вступили в силу поправки в КоАП (Федеральный закон № 420-ФЗ от 30 ноября 2024 года), кратно увеличившие штрафы за нарушения в сфере персональных данных [10].

Ключевые санкции для организаций:

Неуведомление Роскомнадзора о начале обработки персональных данных — 100 000–300 000 рублей [8].
Неуведомление об утечке — 1–3 млн рублей.
Утечка данных 1 000–10 000 человек — 3–5 млн рублей.
Утечка данных 10 000–100 000 человек — 5–10 млн рублей.
Утечка данных свыше 100 000 человек — санкции в диапазоне 10–15 млн рублей.
Повторная утечка — оборотный штраф: 1–3% от годовой выручки (в пределах от 20 млн рублей) [11].

Для контекста: средняя лид-кампания крупного бизнеса собирает тысячи контактов. Одна утечка из кабинета VK Рекламы или CRM может вывести рекламодателя в диапазон штрафов от 3 до 10+ млн рублей. Кроме того, обсуждается введение уголовной ответственности за грубую халатность, повлёкшую массовые утечки [12].

Что нужно знать агентствам

Отдельный вопрос возникает, когда лид-форму настраивает рекламное агентство в интересах клиента-рекламодателя.

В этом случае агентство фактически осуществляет обработку персональных данных по поручению рекламодателя — собирает данные пользователей VK и передаёт их клиенту. Это требует:

чёткого закрепления в договоре с клиентом, что обработка данных ведётся от имени и в интересах клиента как оператора;
оформления агентством внутренних мер безопасности применительно к данным, к которым у него есть технический доступ (рекламный кабинет, выгрузки);
проверки, что клиент-рекламодатель зарегистрирован в реестре операторов.

Если агентство самостоятельно хранит выгруженные лиды — например, в общем кабинете или локальной таблице — оно само становится обработчиком, а при определённых обстоятельствах и совместным оператором.

Тренды и перспективы

Регуляторное давление в сфере персональных данных в России нарастает. Можно выделить несколько тенденций, которые напрямую затрагивают работу с VK лид-формами.

Первое — рост числа проверок Роскомнадзора. После введения оборотных штрафов регулятор активизировал плановые и внеплановые проверки операторов. Акцент делается на сфере онлайн-маркетинга как зоне высокого риска [12].

Второе — развитие практики применения 152-ФЗ к рекламным экосистемам. Роскомнадзор пока не выпускал специальных разъяснений по лид-формам социальных сетей, но международный опыт (практика GDPR в отношении Facebook Lead Ads) показывает: регуляторы склонны признавать совместную ответственность платформы и рекламодателя. Это означает, что рассчитывать на «прикрытие» VK не следует.

Третье — обязательная маркировка рекламы. С 1 сентября 2022 года интернет-реклама в России подлежит учёту через операторов рекламных данных (ОРД). VK самостоятельно взаимодействует с ОРД как рекламораспространитель, однако рекламодателю важно убедиться, что маркировка корректно проставляется на всех форматах, включая лид-формы [13].

Что делать уже сейчас

Если вы запускаете или планируете запустить лид-форму в VK Рекламе, план действий выглядит следующим образом.

Первый шаг — юридическая проверка: убедитесь, что ваша компания зарегистрирована в реестре операторов РКН и данные в уведомлении актуальны.

Второй — документальный: разработайте или обновите политику конфиденциальности и шаблон согласия с учётом требований ст. 9 152-ФЗ, укажите ссылку на политику в настройках лид-формы.

Третий — процессный: установите порядок работы с полученными данными — сроки хранения, ограничение доступа, процедуру удаления по требованию субъекта.

Четвёртый — технический: если интегрируете лид-форму с CRM, проверьте договор с провайдером CRM на наличие обязательств по безопасности данных.

Пятый — мониторинговый: настройте процессы уведомления РКН при обнаружении инцидента — у вас есть только 24 часа с момента обнаружения утечки для первичного уведомления.

Большинство нарушений в этой сфере — не злой умысел, а незнание. Но «незнание оператора не освобождает от ответственности» [14] — и с 2025 года это знание обходится значительно дороже.

Как «Пятый фактор» помогает рекламодателям с VK лид-формами

Один из незаметных, но серьёзных рисков при работе с лид-формами VK — неконтролируемое распространение персональных данных внутри организации. Полученные лиды нередко оседают в CRM, в таблицах на общих дисках, в почте менеджеров, в чатах — и компания теряет понимание, где именно хранятся персональные данные и кто имеет к ним доступ.

Именно эту проблему решает on-prem платформа Пятый фактор. Она автоматически обнаруживает и инвентаризирует персональные данные в корпоративных системах: базах данных, хранилищах, CRM, 1С, почте — без передачи и хранения самих данных. Принцип privacy-by-design: платформа работает с метаданными, профилями и агрегатами, а не с «сырыми» ПДн.

В контексте VK лид-форм это означает практическую пользу: вы видите, куда реально попали собранные контакты, где они хранятся дольше установленного срока, у кого есть несанкционированный доступ. Именно это нужно для соответствия 152-ФЗ и готовности к проверке Роскомнадзора — до того, как инцидент уже произошёл.

Источники

[1] vc.ru — Как настраивать кампании с лид-формами: пошаговый гайд для бизнеса — https://vc.ru/marketing/1054636-kak-nastraivat-kampanii-s-lid-formami-poshagovyi-gaid-dlya-biznesa

[2] blog.promopult.ru — Лид-формы в VK Рекламе: что это за инструмент и как его настроить — https://blog.promopult.ru/smm/lid-formy-v-vk-reklame.html

[3] 72.rkn.gov.ru — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 3 — https://72.rkn.gov.ru/p21978/p25026/p25030/

[4] consultant.ru — 152-ФЗ, ст. 6 «Условия обработки персональных данных» — https://www.consultant.ru/document/cons_doc_LAW_61801/315f051396c88f1e4f827ba3f2ae313d999a1873/

[5] elama.ru — Настройка лид-формы в VK Рекламе — https://elama.ru/blog/zapuskaem-kampaniyu-s-lid-formoy-vo-vkontakte-poshagovoe-rukovodstvo/

[6] legalacts.ru — 152-ФЗ, ст. 9 «Согласие субъекта персональных данных на обработку его персональных данных» — https://legalacts.ru/doc/152_FZ-o-personalnyh-dannyh/glava-2/statja-6/

[7] buhsoft.ru — Согласие на обработку, передачу, распространение персональных данных — https://www.buhsoft.ru/article/4565-soglasie-na-obrabotku-peredachu-rasprostranenie-personalnyh-dannyh-obraztsy

[8] it-pnk.ru — Увеличение штрафов за нарушение законодательства о персональных данных с 30 мая 2025 года — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/

[9] consultant.ru — 152-ФЗ, ст. 15 «Права субъектов персональных данных при обработке в целях продвижения товаров, работ, услуг на рынке» — https://www.consultant.ru/document/cons_doc_LAW_61801/5656527e0713bf229a6932ac7084dec50d0ebe1f/

[10] pravovest-audit.ru — Изменения в обработке персональных данных с 30 мая 2025 года — https://pravovest-audit.ru/nashi-statii-nalogi-i-buhuchet/izmeneniya-v-obrabotke-personalnyh-dannykh-s-30-maya-2025-goda/

[11] data-sec.ru — Штрафы за персональные данные в 2026 году — https://data-sec.ru/personal-data/fines/

[12] kontur.ru — Ответственность за обработку персональных данных: изменения 2025 года — https://kontur.ru/articles/55870-otvetstvennost_za_obrabotku_pers_dannyh

[13] rkn.gov.ru — Учёт интернет-рекламы. Часто задаваемые вопросы — https://rkn.gov.ru/treatments/chasto-zadavaemye-voprosy/p1575/

[14] b-152.ru — Кто обязан соблюдать 152-ФЗ: подробное руководство для бизнеса, юристов и ИТ-специалистов — https://b-152.ru/kto-obyazan-soblyudat-152-fz