Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: апрель 2026 года. Нормативная база: 152-ФЗ, КоАП ст. 13.11 в редакции ФЗ № 420-ФЗ от 30.11.2024.
Платформа — не оправдание
Платформа — это обработчик по вашему поручению. Ответственность перед регулятором лежит исключительно на операторе, то есть на вас. За отсутствие политики — до 100 000 ₽, за обработку без согласия — до 300 000 ₽, за повторное нарушение при утечке — до 500 млн ₽ оборотного штрафа.
По данным исследований, более 70% российских сайтов в той или иной степени не соответствуют требованиям 152-ФЗ. Среди сайтов на конструкторах эта цифра ещё выше.
Что нужно любому сайту: базовая карта
| Требование | Нормативная основа |
|---|---|
| Политика конфиденциальности (ссылка в подвале) | ст. 18.1 152-ФЗ |
| Чекбокс согласия (не предустановленный) на каждой форме | ст. 9 152-ФЗ |
| Cookie-баннер с кнопками «Принять» и «Отклонить» | ст. 6 152-ФЗ |
| Cookie-политика с перечнем всех cookie | ст. 18.1 152-ФЗ |
| Уведомление в РКН | ст. 22 152-ФЗ |
| Договор поручения с каждым подрядчиком | ст. 6 ч. 3 152-ФЗ |
Tilda: встроенные формы и шаблонная политика
Красный флаг: шаблонная тильдовская политика
Tilda предлагает шаблон политики конфиденциальности, который владельцы сайтов копируют без изменений. Это нарушение. Вот почему:
- Шаблон не называет реального оператора (ваши реквизиты, ИНН, адрес)
- Шаблон не отражает конкретные сервисы, установленные на вашем сайте
- В шаблоне нет обязательного раздела об инцидентах (24 ч + 72 ч уведомление РКН)
- Сроки ответа субъектам указаны неверно (ст. 20 — 30 дней, ст. 21 — 7 рабочих дней)
Автоматические системы РКН научились распознавать типовой тильдовский шаблон. В ПараДоке такая политика получает оценку «качество политики: generic» — красный флаг.
Встроенные формы Tilda: что исправить
Тильдовские формы (блоки TF) по умолчанию не содержат чекбокса согласия — это прямое нарушение ст. 9 152-ФЗ.
Как добавить чекбокс согласия на форму Tilda:
- Откройте редактор формы → «Поля»
- Добавьте поле типа «Чекбокс»
- Текст: «Согласен с обработкой персональных данных в соответствии с Политикой конфиденциальности»
- Поставьте флаг «Обязательное поле»
- Убедитесь, что чекбокс не предустановлен
Cookie-баннер в Tilda
Встроенный блок BS16 показывает только кнопку «Принять». По требованиям 152-ФЗ обязательна кнопка «Отклонить». Используйте сторонний cookie-баннер через блок T123 (HTML-код): CookieYes или Cookiebot.
До получения согласия аналитические скрипты (Яндекс.Метрика, Google Analytics) не должны загружаться.
Tilda и интеграции с CRM
Если данные из форм уходят в amoCRM, Битрикс24 или другую CRM — это передача данных третьему лицу. Требуется заключить договор поручения на обработку ПДн с каждым сервисом.
WordPress: плагины, WooCommerce и ложное чувство безопасности
Cookie-плагины для WordPress
| Плагин | Бесплатно | Кнопка «Отклонить» | Автосканирование cookie |
|---|---|---|---|
| CookieYes | Да (до 100 страниц) | Да | Да |
| Complianz | Частично | Да | Да |
| GDPR Cookie Consent (WebToffee) | Да | Да | Нет |
| Real Cookie Banner | Нет (от €39) | Да | Да |
Рекомендация: CookieYes или Complianz. Оба поддерживают русский язык и блокировку скриптов до получения согласия.
WooCommerce: специфические требования
- Чекбокс согласия на странице оформления заказа — добавить через хук
woocommerce_review_order_before_submitили плагин - Сроки хранения данных заказов — в политике: данные заказов — 5 лет, незавершённых заказов — 6 месяцев
- Уведомления об инцидентах — если утекла база WooCommerce: 24 ч уведомление РКН, 72 ч — отчёт
WordPress и сторонние сервисы
Типичный WordPress-сайт передаёт данные в десятки сторонних сервисов. Для каждого зарубежного получателя (JetPack, Akismet, Google reCAPTCHA) в политике нужен раздел о трансграничной передаче (ст. 12 152-ФЗ).
Bitrix24: CRM + сайт = двойной уровень рисков
Почему Bitrix сложнее других
Bitrix24 — это одновременно CRM-система, конструктор сайтов и корпоративный портал. Персональные данные клиентов и сотрудников хранятся в одной системе.
Ключевые требования для Bitrix24
- Облачная версия: выбирайте дата-центр в России. Подпишите DPA с Bitrix24 через личный кабинет
- Коробочная версия: вопрос локализации решён автоматически (данные у вас)
- Открытые линии и мессенджеры: Telegram/WhatsApp = незащищённый канал. Обязателен регламент в политике
- Корпоративный портал: данные о здоровье, командировках, семейном положении — специальные категории ПДн
- Интеграции (1С, Яндекс.Телефония, рассылки, СДЭК) — каждая требует договора поручения
Сравнительная таблица платформ
| Критерий | Tilda | WordPress | Bitrix24 |
|---|---|---|---|
| Шаблон политики | Есть, но generic | Встроен генератор | Есть шаблон |
| Чекбокс согласия | Нужно добавить вручную | Нужен плагин или код | Настраивается в CRM-форме |
| Cookie-баннер с «Отклонить» | Только сторонний | Только плагин | Только сторонний |
| Локализация данных (РФ) | Зависит от тарифа | Зависит от хостинга | Облако РФ или коробка |
| Сложность приведения в порядок | Низкая | Средняя | Высокая |
| Типичный риск | Шаблонная политика | Много неучтённых плагинов | CRM-данные без договора поручения |
Итоговый чеклист по платформам
Для всех платформ:
- [ ] Политика конфиденциальности опубликована, ссылка в подвале каждой страницы
- [ ] В политике указаны реквизиты оператора (название, ИНН, адрес)
- [ ] В политике перечислены все сторонние сервисы (CRM, аналитика, рассылки)
- [ ] В политике есть раздел про инциденты: 24 ч первичное уведомление + 72 ч отчёт
- [ ] Чекбоксы согласия стоят на всех формах (не предустановлены)
- [ ] Cookie-баннер с кнопками «Принять» и «Отклонить» установлен
- [ ] Аналитические скрипты не загружаются до получения согласия
- [ ] Уведомление в РКН подано, номер сохранён
- [ ] С каждым подрядчиком, получающим данные, подписан договор поручения
Дополнительно для Tilda: заменить шаблонную политику на персонализированную; заменить BS16 на полноценный баннер с кнопкой «Отклонить».
Дополнительно для WordPress: провести ревизию всех активных плагинов; для WooCommerce — чекбокс согласия на странице оформления заказа.
Дополнительно для Bitrix24: выбрать облачный ЦОД в России; активировать DPA в личном кабинете; если есть корпоративный портал — подготовить пакет документов для сотрудников.
Готовы привести свой сайт в соответствие с 152-ФЗ за 1 час? Запустите бесплатный аудит вашего сайта →
Статья актуальна на апрель 2026 года. Нормативные акты: 152-ФЗ «О персональных данных», КоАП ст. 13.11 в редакции ФЗ № 420-ФЗ от 30.11.2024, ФЗ № 266-ФЗ от 14.07.2022. Правоприменительная практика РКН в 2025–2026 годах.