Законно ли собирать данные через формы обратной связи?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Роскомнадзор при проверках исходит из того, что сбор персональных данных через формы обратной связи сам по себе является законным, но только при условии соблюдения требований законодательства о персональных данных. Форма обратной связи рассматривается как полноценный инструмент сбора персональных данных, а её использование автоматически возлагает на владельца сайта обязанности оператора ПДн.

Нарушением является не сам факт наличия формы, а отсутствие правового основания, избыточный сбор данных или некорректное оформление формы. При проверках Роскомнадзор оценивает форму обратной связи в комплексе с политикой ПДн, уведомлением оператора и фактической обработкой данных.

Является ли форма обратной связи обработкой персональных данных

Форма обратной связи однозначно признаётся обработкой персональных данных, поскольку через неё осуществляется сбор, хранение и дальнейшее использование информации о пользователях.

При этом обработка почти всегда носит автоматизированный характер, так как данные передаются через сайт и обрабатываются с применением информационных систем.

Через форму обратной связи обрабатываются:

сведения, позволяющие идентифицировать пользователя (имя, e-mail, телефон);
содержание обращения, если оно содержит персональные данные;
технические данные, связанные с отправкой формы.

Владелец сайта, определяющий цели и способы такой обработки, признаётся оператором персональных данных со всеми вытекающими обязанностями: наличием правового основания, уведомлением Роскомнадзора и оформлением документов по ПДн.

Какие персональные данные допустимо собирать через формы

Через формы обратной связи допускается сбор только тех персональных данных, которые объективно необходимы для рассмотрения обращения пользователя. Это следует из принципа минимизации, закреплённого в 152-ФЗ.

Как правило, допустимо собирать:

имя или иное обращение к пользователю;
адрес электронной почты или номер телефона для ответа;
текст обращения, если он относится к предмету запроса.

Недопустимо:

запрашивать избыточные сведения «на всякий случай»;
включать поля, не связанные с целью обращения;
собирать паспортные данные, адрес проживания, дату рождения и иные чувствительные сведения без законных оснований.

При проверках Роскомнадзор сопоставляет состав полей формы и заявленную цель обработки.

Избыточный сбор персональных данных квалифицируется как самостоятельное нарушение требований законодательства.

На каком основании законен сбор данных через формы

Сбор персональных данных через формы обратной связи законен только при наличии правового основания, предусмотренного 152-ФЗ. На практике для форм обратной связи применяются ограниченные и чётко определённые основания.

Наиболее распространённые правовые основания:

Согласие субъекта персональных данных
Используется, если обращение не связано с исполнением договора или обязательств оператора. Согласие должно быть добровольным, конкретным и осознанным.
Обработка по запросу субъекта
Допустима, когда пользователь сам инициирует обращение (например, запрос информации, консультация, предварительный расчёт услуги). В этом случае обработка допускается в объёме, необходимом для ответа на запрос.

Важно учитывать:

правовое основание должно быть заранее определено и зафиксировано в документах;
недопустимо ссылаться на несколько оснований «на всякий случай»;
выбранное основание должно соответствовать фактической цели формы.

При проверках Роскомнадзор оценивает, какое именно основание применено и обосновано ли оно, а не просто наличие формального чекбокса или ссылки на политику ПДн.

Ваши формы обратной связи готовы к проверке РКН?

Аудит и приведение форм в соответствие с законом

Проверим, обоснованно ли вы собираете данные через формы, и подготовим документы, которые подтвердят правомерность обработки при любой проверке.

Требуется ли отдельное согласие при форме обратной связи

Отдельное согласие требуется не всегда, но в ряде случаев оно является обязательным. Ошибка многих владельцев сайтов — либо собирать данные без согласия, либо, наоборот, использовать формальные согласия без правового смысла.

Согласие обязательно, если:

цель обращения не связана напрямую с исполнением договора или запроса субъекта;
данные планируется использовать для маркетинга, рассылок, повторных контактов;
данные передаются третьим лицам вне исполнения запроса;
обрабатываются дополнительные или расширенные категории данных.

Согласие может не требоваться, если:

пользователь сам инициирует обращение;
данные используются строго для ответа на запрос;
объём данных минимален и соответствует цели обращения.

Важно, чтобы:

согласие не было «скрытым» или включённым по умолчанию;
пользователь явно подтверждал согласие (чекбокс, отдельное действие);
текст согласия соответствовал фактической обработке данных.

Формальные или универсальные согласия («на всё») при проверках Роскомнадзором признаются недействительными.

Как должна быть оформлена форма обратной связи

Форма обратной связи должна быть оформлена так, чтобы пользователь понимал, какие данные он передаёт и для чего они будут использоваться. Это является обязательным требованием законодательства.

Корректно оформленная форма включает:

только необходимые поля;
указание цели сбора данных;
ссылку на политику ПДн;
чекбокс согласия — при необходимости;
отсутствие предварительно отмеченных галочек.

Роскомнадзор оценивает форму не изолированно, а в связке с политикой ПДн, уведомлением оператора и фактической обработкой данных. Несоответствие формы документам почти всегда фиксируется как нарушение.

Как Роскомнадзор проверяет формы обратной связи

При проверках Роскомнадзор анализирует:

внешний вид формы и состав полей;
техническую реализацию (код, скрипты, обработку данных);
соответствие формы заявленным целям;
наличие и корректность согласий;
согласованность формы с политикой ПДн и уведомлением.

Проверка может проводиться как визуально, так и с использованием технических средств.

Часто выявляется сбор данных, который не отражён в документах или не имеет правового основания.

Типичные нарушения при использовании форм

На практике чаще всего выявляются:

отсутствие правового основания для сбора данных;
избыточные поля в форме;
формальные или недействительные согласия;
отсутствие информирования пользователя;
расхождение между формой и политикой ПДн;
сбор данных через форму без подачи уведомления в Роскомнадзор.

Даже одна некорректно оформленная форма может стать основанием для предписания.

Хотите защитить организацию от штрафов?

Подготовим документы по персональным данным

Разработаем и внедрим пакет документов, приведём сайт и процессы в соответствие требованиям законодательства РФ

Ответственность за нарушения при сборе данных

Нарушения при использовании форм обратной связи квалифицируются как нарушения законодательства о персональных данных и могут повлечь:

выдачу предписаний об устранении нарушений;
установление коротких сроков на исправление формы;
повторные проверки;
административную ответственность.

При этом устранение формы после начала проверки не исключает фиксацию нарушения.

Как привести формы в соответствие с законом

Для приведения форм обратной связи в соответствие требованиям 152-ФЗ необходимо:

провести аудит всех форм на сайте;
определить цели и правовые основания обработки;
сократить состав собираемых данных до необходимого минимума;
корректно оформить согласия (при необходимости);
согласовать формы с политикой ПДн и уведомлением оператора.

Эффективное решение — разработка и интеграция юридически корректных документов для сайта, которые полностью отражают фактическую логику работы ваших форм и исключают риски при проверке их правовых оснований.

На практике

На практике Роскомнадзор не запрещает формы обратной связи, но жёстко реагирует на их формальное или некорректное использование. Большинство нарушений связано не с техническими ошибками, а с отсутствием правового основания и избыточным сбором данных.

Вывод простой: формы обратной связи законны, если они собирают только необходимые данные, имеют правовое основание и корректно оформлены в системе документов оператора.

Не хотите рисковать штрафами?

Доверьте защиту персональных данных профессионалам

Создадим индивидуальный пакет документов и выстроим систему защиты данных под ваш бизнес под ключ.

Последние статьи

26 февраля, 2026

Нужны ли отдельные документы для разных целей обработки?

Нужна подробная консультация?

Оформите заявку, мы свяжемся с вами в ближайшее время и ответим на все интересующие вас вопросы.

Я ознакомлен(а) с политикой и даю согласие на обработку персональных данных

Заявка успешно отправлена

Произошла ошибка