152-ФЗ для сайта: чек-лист соответствия

152-ФЗ для сайта: чек-лист соответствия

Каждый сайт, который собирает хотя бы email посетителя, попадает под действие Федерального закона №152-ФЗ «О персональных данных». Это не абстрактная угроза: в 2025 году Роскомнадзор провёл более 4 700 проверок, а суммарные штрафы превысили 2,1 млрд рублей. С ноября 2025 года штрафы за повторные нарушения выросли до 500 000 рублей для юридических лиц.

Проблема в том, что большинство предпринимателей воспринимают 152-ФЗ как «что-то про политику конфиденциальности». На деле закон регулирует весь жизненный цикл персональных данных — от момента сбора до уничтожения. И если ваш сайт не соответствует требованиям, вы рискуете не только штрафами, но и блокировкой ресурса.

В этой статье — полный чек-лист соответствия, который мы используем при создании сайтов для наших клиентов. Каждый пункт проверен на практике и подкреплён ссылками на конкретные статьи закона.

Что считается персональными данными на сайте

Персональные данные — это любая информация, относящаяся к определённому или определяемому физическому лицу (ст. 3 152-ФЗ). На практике это означает:

• Очевидные данные: ФИО, телефон, email, адрес, паспортные данные
• Менее очевидные: IP-адрес, cookie-файлы, данные геолокации, идентификаторы устройства
• Комбинированные: даже по отдельности «Иван» и «Москва» — не персональные данные. Но «Иван, Москва, ул. Ленина 15, +7 999 123-45-67» — однозначно да
• Файлы: фотографии пользователей, загруженные документы, сканы паспортов

Важный нюанс: cookie-файлы стали персональными данными после разъяснений Роскомнадзора 2023 года. Это значит, что баннер согласия на cookies — не просто тренд, а юридическое требование.

Кто является оператором персональных данных

Если у вашего сайта есть форма обратной связи, личный кабинет, подписка на рассылку или даже просто Яндекс.Метрика — вы оператор персональных данных. Точка.

Оператором признаётся юридическое или физическое лицо, которое:

• Определяет цели обработки персональных данных
• Определяет состав данных, подлежащих обработке
• Определяет действия, совершаемые с данными

На практике это каждый владелец сайта с любой формой сбора информации. ИП, ООО, физлица — все подпадают под закон.

Уведомление Роскомнадзора: обязательный первый шаг

До начала обработки персональных данных оператор обязан уведомить Роскомнадзор (ст. 22 152-ФЗ). Исключения существуют, но на практике большинство сайтов под них не попадают.

Как подать уведомление:

1. Перейдите на портал pd.rkn.gov.ru
2. Заполните форму уведомления (около 20 полей)
3. Укажите цели обработки, категории данных, меры защиты
4. Отправьте в электронном виде и продублируйте бумажным письмом
5. Дождитесь включения в реестр операторов (обычно 10–15 рабочих дней)

Частая ошибка: компании подают уведомление после запуска сайта. По закону это нужно сделать до начала обработки. Штраф за отсутствие уведомления — до 5 000 рублей для ИП и до 30 000 рублей для юрлиц. Сумма небольшая, но факт нарушения привлекает внимание к другим аспектам обработки данных.

Политика конфиденциальности: что должна содержать

Политика конфиденциальности (или политика обработки персональных данных) — это публичный документ, описывающий, как вы работаете с данными пользователей. Ст. 18.1 152-ФЗ требует её размещения на сайте с неограниченным доступом.

Обязательные разделы:

• Сведения об операторе (наименование, адрес, контакты)
• Цели обработки персональных данных
• Перечень обрабатываемых данных по каждой цели
• Правовые основания обработки
• Сроки обработки и хранения
• Порядок уничтожения данных
• Описание мер защиты
• Порядок реализации прав субъекта (запрос, удаление, изменение)
• Сведения о трансграничной передаче (если есть)
• Контакты ответственного за обработку

Типичные ошибки в политике конфиденциальности:

• Скопированный шаблон без адаптации к реальным процессам компании
• Отсутствие конкретных сроков хранения данных (нельзя писать «бессрочно»)
• Не указаны все цели — например, забыли про аналитику или рекламные пиксели
• Нет описания порядка отзыва согласия
• Устаревшие реквизиты компании

При аудите сайта мы часто находим, что политика конфиденциальности — просто формальность, скопированная с другого ресурса. Это прямой путь к штрафу.

Формы согласия: как правильно оформить

Каждая форма на сайте, собирающая персональные данные, должна содержать механизм получения согласия. Согласие должно быть:

• Конкретным — на каждую цель обработки отдельно
• Информированным — пользователь должен понимать, на что соглашается
• Сознательным — галочка не должна стоять по умолчанию
• Однозначным — активное действие пользователя (клик, галочка)

Правильная реализация:

• Чекбокс «Согласен на обработку персональных данных» — не отмечен по умолчанию
• Ссылка на полный текст политики конфиденциальности — кликабельная
• Кнопка отправки формы неактивна до установки галочки
• Текст согласия содержит наименование оператора и цель обработки

Неправильная реализация:

• Мелкий текст «Нажимая кнопку, вы соглашаетесь...» без чекбокса
• Галочка установлена по умолчанию
• Ссылка ведёт на несуществующую страницу или на общий раздел «Документы»
• Одно согласие на всё: и обработку, и рассылку, и передачу третьим лицам

Отдельное согласие на рекламные рассылки — обязательное требование закона «О рекламе» (ФЗ-38). Нельзя включать согласие на рассылку в общее согласие на обработку данных.

Cookie-файлы: новые требования

С 2023 года Роскомнадзор однозначно трактует cookie-файлы как персональные данные (если они позволяют идентифицировать пользователя). На практике это означает:

Что нужно сделать:

• Разместить баннер согласия на использование cookie при первом визите
• Дать пользователю возможность отклонить необязательные cookies
• Разделить cookies на категории: необходимые, аналитические, маркетинговые
• Не загружать аналитические и маркетинговые скрипты до получения согласия
• Хранить логи согласий

Категории cookies:

• Необходимые — для работы сайта (авторизация, корзина). Согласие не требуется
• Аналитические — Яндекс.Метрика, Google Analytics. Требуется согласие
• Маркетинговые — пиксели рекламных систем, ретаргетинг. Требуется согласие

На практике большинство российских сайтов до сих пор загружают все скрипты без согласия. Это нарушение, которое пока редко штрафуют — но тенденция к ужесточению очевидна.

Хранение и защита персональных данных

152-ФЗ требует, чтобы персональные данные граждан РФ хранились на серверах, расположенных на территории России (ст. 18 ч. 5). Это критически важно при выборе хостинга.

Требования к хранению:

• Серверы — на территории РФ
• Доступ к данным — только авторизованным сотрудникам
• Логирование всех действий с данными
• Шифрование при передаче (SSL/TLS обязателен)
• Резервное копирование с защитой копий
• Установленные сроки хранения для каждой категории данных
• Процедура уничтожения данных по истечении срока

Требования к защите (приказ ФСТЭК №21):

• Антивирусная защита серверов
• Межсетевое экранирование
• Обнаружение вторжений
• Контроль целостности
• Ограничение программной среды

Для большинства сайтов достаточно 4-го уровня защищённости (УЗ-4), который предъявляет минимальные требования. Но если вы обрабатываете специальные категории данных (медицинские, биометрические), требования серьёзно ужесточаются.

Передача данных третьим лицам

Если вы используете CRM-систему, сервисы email-рассылок, аналитику, платёжные шлюзы — вы передаёте данные третьим лицам. Это законно, но требует:

• Указания всех получателей данных в политике конфиденциальности
• Заключения поручений на обработку данных с каждым контрагентом (ст. 6 ч. 3)
• Согласия пользователя на передачу (в рамках общего согласия на обработку)

Кому чаще всего передают данные:

• Хостинг-провайдер
• CRM-система (amoCRM, Bitrix24)
• Сервисы рассылок (Unisender, SendPulse)
• Платёжные системы (ЮKassa, CloudPayments)
• Аналитические сервисы (Яндекс.Метрика)
• Коллтрекинг (Calltouch, Callibri)

Каждый из этих сервисов должен быть упомянут в политике конфиденциальности, а с каждым оператором должно быть заключено поручение на обработку.

Права пользователей: что обязаны обеспечить

Субъект персональных данных (ваш пользователь) имеет право:

• Знать, какие данные о нём обрабатываются (запрос в свободной форме)
• Требовать исправления неточных данных
• Отозвать согласие на обработку в любой момент
• Требовать удаления данных
• Требовать блокировки обработки

Вы обязаны ответить на запрос субъекта в течение 10 рабочих дней (с ноября 2025 — в течение 5 рабочих дней). При отзыве согласия — прекратить обработку и уничтожить данные в течение 30 дней.

На практике это означает:

• На сайте должен быть способ связи для таких запросов (email или форма)
• Внутри компании — регламент обработки запросов
• Техническая возможность найти и удалить все данные конкретного пользователя из всех систем

Штрафы и ответственность в 2026 году

Штрафные санкции существенно выросли с принятием поправок в конце 2025 года:

Административная ответственность (КоАП, ст. 13.11):

• Обработка без согласия — до 150 000 ₽ (повторно — до 500 000 ₽)
• Обработка несовместимая с целями сбора — до 100 000 ₽
• Не опубликована политика конфиденциальности — до 60 000 ₽
• Невыполнение требования субъекта об удалении — до 90 000 ₽
• Хранение данных за пределами РФ — до 6 000 000 ₽ (повторно — до 18 000 000 ₽)
• Утечка персональных данных — оборотные штрафы до 3% годовой выручки

Уголовная ответственность (ст. 137 УК РФ):

• За незаконный сбор и распространение сведений о частной жизни — до 2 лет лишения свободы

Типичные нарушения, которые мы находим при аудите

При проведении аудита сайта мы регулярно фиксируем одни и те же нарушения. Вот топ-10:

1. Нет политики конфиденциальности или она скопирована и не соответствует реальным процессам
2. Формы без чекбокса согласия — просто кнопка «Отправить»
3. Галочка установлена по умолчанию — противоречит требованию сознательности
4. Нет cookie-баннера — при использовании Метрики, пикселей, ретаргетинга
5. Хостинг за пределами РФ — особенно при использовании зарубежных конструкторов
6. Нет уведомления Роскомнадзора — забыли подать или не знали о требовании
7. Один чекбокс на всё — обработка, рассылка и передача третьим лицам
8. Нет процедуры удаления данных — технически невозможно удалить данные пользователя
9. Устаревшие данные оператора — сменился юрадрес, название, руководитель
10. Аналитика загружается до согласия — скрипты в head без учёта cookie-согласия

Чек-лист соответствия 152-ФЗ: 27 пунктов

Документация

1. Подано уведомление оператора в Роскомнадзор
2. Назначен ответственный за обработку персональных данных
3. Утверждена политика обработки персональных данных (внутренняя)
4. Опубликована политика конфиденциальности на сайте
5. Разработано положение о защите персональных данных
6. Составлен перечень обрабатываемых данных с указанием целей и сроков
7. Заключены поручения на обработку со всеми контрагентами

Формы и согласия

1. Все формы содержат чекбокс согласия (не отмечен по умолчанию)
2. Текст согласия содержит наименование оператора и цель обработки
3. Ссылка на политику конфиденциальности — кликабельная и рабочая
4. Отдельное согласие на рекламные рассылки
5. Кнопка отправки неактивна без согласия
6. Реализован cookie-баннер с выбором категорий

Технические меры

1. SSL-сертификат установлен и актуален
2. Серверы расположены на территории РФ
3. Скрипты аналитики загружаются после согласия на cookies
4. Реализована возможность удаления данных пользователя
5. Настроено логирование доступа к персональным данным
6. Данные в формах передаются по HTTPS
7. Резервные копии зашифрованы

Организационные меры

1. Регламент обработки запросов субъектов (ответ в 5 рабочих дней)
2. Процедура уничтожения данных по истечении срока
3. Обучение сотрудников, имеющих доступ к данным
4. Журнал учёта обращений субъектов
5. План реагирования на инциденты (утечки)
6. Процедура уведомления Роскомнадзора об утечке (72 часа)
7. Ежегодный внутренний аудит соответствия

Пошаговый план внедрения

Этап 1: Аудит (1–2 недели)

Проведите полную инвентаризацию: какие данные собираете, где храните, кому передаёте. Составьте карту потоков данных. Для корпоративного сайта это обычно 5–8 точек сбора данных.

Этап 2: Документация (1–2 недели)

Подготовьте все необходимые документы: политику, согласия, поручения. Не используйте шаблоны без адаптации — каждый документ должен отражать ваши реальные процессы.

Этап 3: Техническая реализация (2–4 недели)

Внедрите cookie-баннер, доработайте формы, настройте условную загрузку скриптов, проверьте хостинг. Если сайт на конструкторе — убедитесь, что данные хранятся в РФ.

Этап 4: Организационные меры (1 неделя)

Назначьте ответственного, обучите сотрудников, внедрите регламенты обработки запросов.

Этап 5: Подача уведомления (1 день)

Зарегистрируйтесь как оператор на портале Роскомнадзора.

Этап 6: Поддержка и мониторинг (постоянно)

Регулярно обновляйте политику, проводите внутренний аудит, следите за изменениями законодательства.

Сколько стоит привести сайт в соответствие

Стоимость зависит от масштаба проекта:

• Простой сайт-визитка (1–2 формы): 20 000–50 000 ₽ за полный пакет документов и техническую доработку
• Корпоративный сайт (5–10 форм, личный кабинет): 50 000–150 000 ₽
• Интернет-магазин (оплата, регистрация, ЛК): 100 000–300 000 ₽
• Портал с обработкой специальных категорий данных: от 300 000 ₽

Это в разы дешевле, чем штрафы за нарушения. Один штраф за хранение данных за пределами РФ — до 6 миллионов рублей.

Особенности для интернет-магазинов

Интернет-магазины обрабатывают значительно больше персональных данных, чем обычные сайты. Помимо стандартных форм, здесь есть регистрация, история заказов, платёжные данные, адреса доставки. Это создаёт дополнительные обязательства.

Регистрация и личный кабинет. При регистрации пользователь передаёт расширенный набор данных: ФИО, email, телефон, адрес доставки, иногда — дату рождения для программы лояльности. Для каждой категории данных должна быть указана отдельная цель обработки. Например, адрес доставки — для исполнения заказа, дата рождения — для маркетинговых рассылок (отдельное согласие).

Платёжные данные. Если вы принимаете оплату через платёжный шлюз (ЮKassa, CloudPayments, Тинькофф), данные карт обрабатываются на стороне платёжной системы. Вы не храните номера карт у себя — это зона ответственности PCI DSS. Но факт передачи данных платёжному провайдеру должен быть указан в политике конфиденциальности и в поручении на обработку.

История заказов. Многие магазины хранят историю заказов бессрочно. Это нарушение: данные должны храниться ровно столько, сколько необходимо для достижения цели обработки. Для бухгалтерских целей — 5 лет. Для маркетинговых — пока есть согласие пользователя. После этого данные должны быть обезличены или уничтожены.

Программы лояльности. Если вы ведёте программу лояльности с накопительными баллами, это отдельная цель обработки и отдельное согласие. Пользователь может участвовать в программе, но отказаться от рекламных рассылок — и вы обязаны это обеспечить.

Отзывы на товары. Публикация имени пользователя рядом с отзывом — обработка персональных данных с целью распространения. Требуется явное согласие. Лучшая практика — предупреждение при публикации: «Ваше имя и отзыв будут видны другим пользователям».

Особенности для сайтов услуг

Сайты услуг (юридические компании, медицинские клиники, ремонтные организации) имеют свою специфику.

Формы обратного звонка и чат-виджеты. Каждый чат-виджет (JivoSite, Carrot Quest, Chatra) собирает персональные данные: имя, контакт, историю переписки, иногда — IP и геолокацию. Все эти сервисы должны быть указаны как обработчики в политике конфиденциальности. С каждым должно быть заключено поручение на обработку.

Квизы и калькуляторы. Интерактивные формы (Marquiz, Enquiz) собирают ответы пользователей и контактные данные. Перед отправкой результатов — обязательный чекбокс согласия. Данные хранятся на серверах сервиса — убедитесь, что это территория РФ.

Коллтрекинг. Системы подмены номеров (Calltouch, Callibri, CoMagic) записывают звонки и хранят номера телефонов. Запись звонка — обработка персональных данных. При записи разговора вы обязаны предупреждать об этом (автоматическое голосовое уведомление в начале звонка).

CRM-интеграции. Данные из форм автоматически попадают в CRM (amoCRM, Bitrix24). Это передача данных третьему лицу. amoCRM хранит данные на серверах в России — это плюс. Но вы должны указать CRM-систему в перечне обработчиков.

Что делать при утечке данных

С 2025 года оператор обязан уведомить Роскомнадзор об инциденте безопасности в течение 72 часов (ч. 3.1 ст. 21 152-ФЗ). Алгоритм действий:

1. Зафиксировать инцидент — время обнаружения, объём скомпрометированных данных, тип данных
2. Остановить утечку — закрыть уязвимость, сменить пароли, заблокировать доступ
3. Уведомить Роскомнадзор — через портал pd.rkn.gov.ru в течение 72 часов
4. Уведомить пострадавших — рекомендуется, хотя закон пока не требует обязательного уведомления субъектов
5. Провести расследование — определить причину, масштаб, виновных
6. Принять меры — устранить уязвимость, усилить защиту, обновить регламенты
7. Задокументировать — отчёт об инциденте для внутреннего архива и возможных проверок

Штрафы за утечки с 2026 года — оборотные: до 3% годовой выручки компании. Для компании с выручкой 100 млн ₽/год штраф может составить до 3 млн ₽. Это серьёзная мотивация для инвестиций в безопасность.

Распространённые заблуждения

«У нас маленький сайт, нас не проверят». Роскомнадзор проводит как плановые, так и внеплановые проверки. Внеплановые часто инициируются жалобами пользователей. Один недовольный клиент может написать жалобу — и к вам придут.

«Мы используем конструктор сайтов — за данные отвечает платформа». Нет. Вы — оператор, потому что вы определяете цели обработки. Tilda, Wix, Shopify — обработчики, действующие по вашему поручению. Ответственность — на вас.

«Достаточно скопировать политику конфиденциальности с другого сайта». Скопированная политика не описывает ваши реальные процессы. При проверке Роскомнадзор сравнивает текст политики с фактическими действиями. Расхождение — нарушение.

«152-ФЗ касается только российских компаний». Закон распространяется на обработку данных российских граждан, независимо от юрисдикции оператора. Если иностранная компания собирает данные россиян через сайт — она подпадает под 152-ФЗ.

«Согласие можно получить через оферту при регистрации». Согласие на обработку персональных данных и согласие на условия оферты — юридически разные вещи. Их нельзя объединять в одном чекбоксе. Нужны отдельные галочки.

Заключение

152-ФЗ — это не бюрократическая формальность, а реальная защита и ваших пользователей, и вашего бизнеса. Утечка данных клиентов разрушает репутацию быстрее любого кризиса. А штрафы 2026 года — уже вполне ощутимая сумма даже для среднего бизнеса.

Начните с чек-листа из этой статьи. Пройдите его пункт за пунктом. Если обнаружите пробелы — не паникуйте, а планомерно закрывайте. Большинство нарушений устраняются за 4–6 недель.

Если вам нужна помощь с аудитом и приведением сайта в соответствие — оставьте заявку. Мы проверим ваш ресурс по всем 27 пунктам и подготовим дорожную карту исправлений.