Алексей Ветров
Эксперт по защите данных IC-TECH
Даже если организация собирает минимальный набор персональных данных только через форму обратной связи на сайте (например, имя, телефон или e-mail), это считается обработкой персональных данных. В большинстве случаев требуется подача уведомления в Роскомнадзор и наличие пакета документов по защите ПДн. Исключение возможно лишь тогда, когда данные используются исключительно для ответа пользователю и не передаются третьим лицам, при этом организация не ведёт других видов обработки.
Обоснование по законодательству
- Ст. 3 Федерального закона № 152-ФЗ: персональные данные — любая информация, относящаяся к прямо или косвенно определённому лицу (ФИО, телефон, e-mail и др.).
- Ст. 22 152-ФЗ: до начала обработки оператор обязан направить уведомление в Роскомнадзор.
- Исключения указаны в ч. 2 ст. 22 152-ФЗ. Уведомление можно не подавать, если данные обрабатываются только для исполнения договора, для трудовых отношений с сотрудниками или если они обезличены. Простая форма обратной связи под исключения обычно не подпадает.
- Ст. 13.11 КоАП РФ: за отсутствие уведомления и документов возможны штрафы до 150 000 рублей для юридических лиц.
Почему форма обратной связи = обработка ПДн
- Пользователь указывает e-mail или телефон → организация получает, хранит и использует эти сведения.
- Данные могут сохраняться в базе сайта, передаваться на почту или в CRM → это считается обработкой.
- Даже если данные используются только для обратного звонка, это всё равно подпадает под действие 152-ФЗ.
Когда регистрация может не потребоваться
Редкий случай — если организация обрабатывает данные строго в рамках исключений:
- например, сайт без CRM, форма не сохраняет данные, а сообщение отправляется напрямую на e-mail, который используется только для разового ответа пользователю;
- при этом организация не ведёт других видов обработки (нет сотрудников, клиентов, подрядчиков).
На практике такие условия встречаются крайне редко, и в большинстве случаев регистрация и документы необходимы.
Рекомендации и выводы
Если на сайте есть форма обратной связи, лучше заранее зарегистрироваться как оператор ПДн и оформить пакет документов. Это позволит легализовать обработку данных, избежать штрафов и проблем при проверках, а также продемонстрировать клиентам ответственное отношение к их информации. Кроме того, важно разместить на сайте политику в отношении обработки персональных данных и согласие на их обработку.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
