Юридическая сторона сайта: 152-ФЗ, оферта, cookie без воды

«А нам не штраф ли прилетит за этот сайт?» — частая тревога владельца. Юридическая сторона действительно есть, но её часто демонизируют. Для большинства бизнесов набор требований конечный, выполнимый и не очень дорогой. Ниже — без формулы «проконсультируйтесь со специалистом».

Что сайт собирает и почему это важно

Любая форма с именем, телефоном, email — это сбор персональных данных. Их обработка регулируется 152-ФЗ. Закон требует две главные вещи:

• Уведомить пользователя о том, что и зачем вы собираете, и получить согласие.
• Хранить данные на территории России на серверах, принадлежащих российским юрлицам.

Если у вас на сайте просто «обратная связь» с именем и телефоном — заморачиваться нужно не сильно. Если работаете с медициной, финансами, биометрией или несовершеннолетними — требования жёстче.

Согласие на обработку данных

Главный артефакт — это согласие, которое пользователь подтверждает при отправке формы. Минимум:

1. Кто оператор (название компании или ФИО ИП, ОГРН/ИНН, адрес).
2. Какие данные собираете (ФИО, телефон, email, история заказов).
3. Зачем (приём заявок, доставка, маркетинг — если есть).
4. Кому передаются (если передаются).
5. Срок хранения и порядок отзыва согласия.

Технически на сайте это выглядит как чекбокс или подпись под кнопкой:

«Нажимая «Отправить», вы соглашаетесь с обработкой персональных данных и принимаете условия Политики конфиденциальности».

В чувствительных случаях (медицина, финансы) — отдельный чекбокс с явной галочкой.

Политика конфиденциальности и оферта

Два документа, которые должны быть доступны с сайта:

• Политика конфиденциальности. Описывает обработку персональных данных. Ссылается на 152-ФЗ.
• Оферта. Описывает условия услуги: что вы продаёте, как возвращать деньги, как разрешать споры.

Эти документы пишет юрист или адаптирует под ваш бизнес типовой шаблон. Бесплатные шаблоны в интернете — стартовая точка. Стоимость нормальной адаптации — 15–40 тыс. рублей разово.

Не пытайтесь обойтись «согласием в форме» без политики конфиденциальности. РКН периодически проводит проверки, и отсутствие политики — типовое нарушение со штрафом 30–60 тыс. рублей для юрлица.

Уведомление в РКН

С 2025 года в России действует обязательное уведомление РКН об обработке персональных данных для всех операторов (включая ИП). Уведомление подаётся через Госуслуги, бесплатно, за 10 минут. Срок обработки — обычно 30 дней.

Если у вашего бизнеса есть сайт, и на нём собирается хоть одна форма с персональными данными — уведомление вы должны были подать.

Cookie-баннер

С 2024 года на сайтах должен быть баннер о cookies с возможностью отказаться. Минимум:

• появляется при первом визите;
• даёт выбор: «Принять все», «Только необходимые», «Настроить»;
• до согласия не запускаются аналитические cookies (Метрика, GA);
• настройки можно изменить позже;
• информация о том, какие cookies используются и зачем.

Технически большинство фреймворков и CMS поддерживают это «из коробки» через готовые плагины. Стоимость подключения — от 0 (готовый плагин) до 30 тыс. рублей (кастомное решение).

Игнорировать cookie-баннер — плохая идея: РКН и пользователи всё чаще обращают на это внимание.

Маркировка интернет-рекламы

С 2022–2023 годов в России действует закон о маркировке интернет-рекламы. Что попадает под него:

• баннеры на сайте;
• реклама в соцсетях, посеялках, контекстной рекламе;
• партнёрский контент в блогах, у блогеров;
• email-рассылки рекламного характера.

Что НЕ попадает:

• сервисные сообщения (статус заказа, подтверждение);
• собственная информация о компании на собственном сайте;
• ответы на конкретные вопросы клиента;
• полезный контент в блоге без призыва купить.

Если вы запускаете рекламу в Яндекс.Директе или ВК — рекламная система сама делает маркировку. Если работаете через блогеров или партнёрки — нужен договор с ОРД (оператором рекламных данных) и токен в каждом креативе.

Эквайринг и платежи

Если на сайте есть оплата:

• Договор с эквайером (банк). Обычная процедура, 2–4 недели.
• Чеки. По 54-ФЗ при онлайн-оплате надо выдавать кассовые чеки.
• Возвраты. В оферте — прозрачный порядок возврата.
• Защита данных карты. Никогда не храните карты у себя; принимайте через PCI-DSS совместимые шлюзы.

Это стандартная практика любого интернет-магазина.

Особые отрасли — особые требования

Несколько ниш, в которых сайт юридически сложнее:

• Медицина. Помимо 152-ФЗ — медицинская тайна, лицензия. Нельзя онлайн-консультации без лицензии на телемедицину.
• Финансы и микрофинансы. Лицензия ЦБ, требования к маркировке предложений.
• Алкоголь и табак. Реклама запрещена, прямая продажа онлайн ограничена.
• БАДы и косметика. Требования к описаниям, запрет «лечебных» формулировок.
• Несовершеннолетние. Сбор данных только с согласия родителей.
• Информационные услуги (курсы). Обязательная регистрация программ обучения, лицензия (для образовательных).

Если ваш бизнес попадает в эти категории — закладывайте +20–40% к юридическому бюджету и выбирайте подрядчика с опытом.

Возрастные ограничения

Если на сайте есть контент 18+:

• сайт должен иметь возрастную маркировку («18+»);
• модальное окно подтверждения возраста при первом визите;
• все рекламные креативы — с указанием возраста.

Игнорирование возрастной маркировки — штрафы и блокировки. Не недооценивайте.

Ответственность за сайт

Ключевое: ответственность перед законом — на операторе данных, то есть на вашей компании. Подрядчик — исполнитель, он несёт ответственность только перед вами по договору.

Защита от риска — через договор с подрядчиком: пункт об ответственности за нарушение требований 152-ФЗ, обязанность по обеспечению ИБ, штрафы за инциденты.

Минимальный план юридической готовности

Что должно быть до публичного запуска сайта:

1. Уведомление в РКН подано.
2. Политика конфиденциальности написана юристом и опубликована.
3. Оферта (для платных услуг) — то же самое.
4. На каждой форме — согласие на обработку данных.
5. Cookie-баннер с настройками.
6. Если есть платежи — договор с эквайером, интеграция чеков.
7. Если запускаете рекламу — план маркировки.
8. Договор с подрядчиком включает пункты об ответственности за 152-ФЗ.

Это занимает 2–4 недели подготовки и 30–80 тыс. рублей юридического бюджета. Без этого сайт лучше не запускать публично — вы либо нарвётесь на штрафы, либо не сможете защититься от первой жалобы.

Регулярная гигиена

После запуска юридическая работа не заканчивается:

• раз в год — обновление политики конфиденциальности и оферты;
• при изменении функционала сайта — пересмотр документов;
• при добавлении новых интеграций — пересмотр трансграничной передачи;
• сохранение всех согласий пользователей с датами;
• работа с запросами на удаление данных (пользователь имеет право).

Это работа на 4–8 часов в год, дешёвая, но обязательная.

Юридическая сторона сайта — не «бюрократия ради бюрократии». Это базовая защита бизнеса от штрафов и судебных исков. Делайте один раз нормально, и забудете на годы.