🎯 О чём этот конспект: Полный разбор юридических требований к сайтам и веб-сервисам в РФ. В видео детально анализируются правила сбора персональных данных (ПД), необходимый пакет документов, правила локализации данных на серверах и процедура регистрации в Роскомнадзоре.

👤 Кому будет полезно: Вайбкодерам, разработчикам на No-code/Low-code (Bubble, FlutterFlow), владельцам SaaS-сервисов и малого бизнеса, использующим формы сбора данных.

✨ Что получите: Пошаговый чек-лист по легализации сайта, готовые структуры документов и понимание того, как настроить стек технологий (включая Supabase и аналитику), чтобы не попасть под санкции 152-ФЗ.

1. Определение статуса оператора персональных данных

Контекст: Многие разработчики ошибочно полагают, что если они не собирают паспортные данные, то закон их не касается. На самом деле, персональными данными (ПД) считается любая информация, позволяющая прямо или косвенно идентифицировать человека. Если на вашем сайте есть хотя бы форма «Имя + Телефон», вы автоматически становитесь оператором персональных данных. Это накладывает на вас обязательства по защите, хранению и отчетности перед государством.

Выгода: Исключение риска внезапных проверок и штрафов на ранних этапах запуска проекта.

Что относится к ПД:

• ФИО, номер телефона, Email.
• IP-адрес, Cookies, история действий на сайте (куда кликал, что смотрел).
• Геолокация, фото и видео пользователя.

Результат: Четкое понимание, что ваш проект подпадает под действие закона 152-ФЗ.

2. Обязательный пакет документов для футера сайта

Контекст: Для соблюдения закона на сайте должны быть размещены три отдельных юридических документа. Просто скопировать чужой текст недостаточно — документы должны содержать ваши реальные реквизиты (ИНН, ОГРН) и четкие цели сбора данных. Важно: Политика и Согласие — это разные сущности, они не должны быть слиты в один текст.

Выгода: Экономия от 10 000 до 60 000 руб. (штраф за отсутствие политики).

Как применить:

• Шаг 1: Создать «Политику конфиденциальности» — Опишите в ней: кто вы (реквизиты), какие данные собираете, зачем, как защищаете и как пользователь может их удалить. Разместите ссылку в футере.
• Шаг 2: Создать «Согласие на обработку ПД» — Короткий документ, где пользователь подтверждает: «Я разрешаю компании [Название] обрабатывать мои данные для [Цель]».
• Шаг 3: Подготовить «Соглашение об использовании Cookie» — Объясните, что вы используете метрики (Яндекс, пиксели) для анализа поведения.

Результат: Юридический фундамент сайта, соответствующий требованиям РКН.

3. Правильная настройка форм и чекбоксов

Контекст: Простого наличия документов в футере недостаточно. Пользователь должен совершить осознанное действие (акцепт) перед отправкой данных. Главная ошибка вайбкодеров — проставленные «галочки» по умолчанию или их отсутствие в формах регистрации и подписки.

Выгода: Защита от штрафов в размере от 300 000 до 700 000 руб. за некорректно оформленное согласие.

Как настроить форму:

• Правило 1: Чекбоксы не должны быть предзаполнены (галочка пустая).
• Правило 2: Кнопка «Отправить» заблокирована, пока не проставлены галочки.
• Правило 3: Текст у чекбокса должен содержать активные ссылки на документы.

Пример текста для чекбокса:

[ ] Я даю согласие на обработку моих персональных данных (ссылка). 
С политикой обработки персональных данных ознакомлен здесь (ссылка).
 
[ ] Я согласен на получение рекламных и информационных рассылок.

Результат: Технически грамотная форма, которая фиксирует юридический факт согласия пользователя.

4. Локализация данных и импортозамещение стека

Контекст: Согласно 152-ФЗ, первичный сбор данных граждан РФ должен происходить на серверах, физически расположенных в России. Использование зарубежных облаков (Firebase, оригинальный Supabase, AWS) для хранения ПД граждан РФ запрещено. Также под запретом западные системы авторизации и аналитики.

Выгода: Избежание критических штрафов от 1,5 млн до 18 млн руб. и блокировки ресурса.

Как применить:

• Шаг 1: Перенос БД — Используйте российские инстансы (например, Supabase на серверах в РФ через Docker или отечественных провайдеров).
• Шаг 2: Замена аналитики — Удалите Google Analytics и Google Forms. Установите Яндекс.Метрику.
• Шаг 3: Замена защиты — Вместо Google reCAPTCHA используйте альтернативы или отечественные решения.
• Шаг 4: Авторизация — Если есть регистрация, замените вход через Google/Apple на вход по номеру телефона (РФ), через VK ID или Госуслуги.

Результат: Полная техническая независимость от зарубежных санкционных рисков и соблюдение закона о локализации.

5. Регистрация в реестре Роскомнадзора

Контекст: Если вы обрабатываете данные, вы обязаны уведомить об этом Роскомнадзор, подав заявление на включение в реестр операторов. Это финальный и обязательный шаг легализации.

Выгода: Легальный статус оператора и отсутствие штрафа до 300 000 руб. за «подпольную» обработку данных.

Как применить:

• Шаг 1: Подготовка данных — Соберите ИНН, ОГРН, адреса серверов (провайдера хостинга) и список из ~30 целей обработки.
• Шаг 2: Подача заявки — Перейдите на официальный портал РКН и заполните форму.
• Шаг 3: Синхронизация — Убедитесь, что цели в заявке РКН ДОСЛОВНО совпадают с целями в вашей Политике конфиденциальности на сайте.

Ссылка для подачи: Портал персональных данных РКН

Результат: Официальное включение вашей компании/ИП в реестр операторов ПД.

FAQ

В: Можно ли использовать Supabase Cloud для проекта в РФ?

О: Напрямую — нет. Данные будут улетать на зарубежные сервера, что карается штрафом от 1,5 млн руб. Необходимо разворачивать Supabase самостоятельно (Self-hosted) на российском хостинге (например, Beget, Timeweb, Yandex Cloud).

В: Нужно ли вешать баннер про Cookie, если у меня только Яндекс.Метрика?

О: Да, обязательно. Метрика собирает IP и куки, что является персональными данными. Без баннера штраф может составить до 300 000 руб.

В: Что делать, если пользователь требует удалить его данные?

О: У вас есть 10 рабочих дней, чтобы удалить информацию из всех баз данных, CRM и сервисов рассылок, а затем отправить пользователю подтверждение на Email.

В: Можно ли оставить вход через Google, если проект ориентирован на РФ?

О: Нет, закон требует использовать российские системы авторизации (VK, Mail.ru, телефонные номера РФ) для сервисов, работающих в России. Штраф за Google/Apple ID — до 700 000 руб.

В: Нужно ли регистрироваться в РКН, если я просто физлицо?

О: Закон о персональных данных распространяется на всех операторов. Если вы ведете деятельность и собираете данные для коммерческих целей (даже как самозанятый), регистрация необходима.

Конспект создан на основе видео «Без этого вас оштрафуют на миллионы рублей» канала «VibeCoder». Все права на оригинальный материал принадлежат авторам. Источник: https://www.youtube.com/watch?v=c9rBxIKFiow