Защита персональных данных по 152-ФЗ: инструкция для сайта 2026

Что такое 152-ФЗ и кого он касается

Федеральный закон №152-ФЗ «О персональных данных» — главный документ, который регулирует, как бизнес собирает, хранит и использует данные людей. Действует с 2006 года, но за последние годы его несколько раз ужесточали, и с 2025 года требования стали жёстче, а штрафы — заметно больше. Если на вашем сайте есть хоть одна форма, где посетитель оставляет имя, телефон или почту, закон касается вас напрямую.

Заблуждение, которое стоит дорого: «152-ФЗ — это про банки и операторов связи, а у меня маленький магазин». Закон не делает скидок на размер. Под него попадают лендинги с одной формой заявки, интернет-магазины, корпоративные сайты, сервисы записи, блоги с подпиской. Любой, кто получает данные физлиц через сайт, по закону становится оператором персональных данных со всеми вытекающими обязанностями. Хорошая новость: привести сайт в соответствие 152-ФЗ — задача понятная и решаемая, и большую часть шагов реально пройти за несколько дней.

Разберём предметно и без юридического тумана: что считается персональными данными, какие штрафы введены в 2025–2026 годах, нужно ли подавать уведомление в Роскомнадзор, какие документы обязаны быть на сайте, как сделать cookie-баннер и согласия в формах, где должны лежать базы данных и как самому провести аудит на соответствие. В конце — чек-лист и ответы на частые вопросы.

Что считается персональными данными

Персональные данные (ПДн) — любая информация, прямо или косвенно относящаяся к конкретному человеку. Формулировка в законе намеренно широкая: это не только паспорт и адрес, но и то, что сайт собирает почти незаметно.

Какие данные собирает сайт

На типичном коммерческом сайте к персональным данным относятся: имя и фамилия в форме заявки, телефон, адрес почты, адрес доставки, данные из личного кабинета. Сюда же — cookie и идентификаторы устройства, IP в связке с другими данными, история заказов, записи звонков из колл-трекинга. Даже если человек не назвал имя, но оставил телефон, это уже персональные данные: по нему его можно идентифицировать.

Категории персональных данных

Закон делит ПДн на категории, и от категории зависит, насколько строгие требования к их защите:

• Общие. Имя, телефон, почта, адрес — то, что собирает большинство сайтов. Базовый уровень требований.
• Специальные. Данные о здоровье, расовой и национальной принадлежности, политических взглядах, религии, интимной жизни. Их обработка по умолчанию запрещена и допускается только в узких случаях с отдельным согласием. Сюда попадают, например, медицинские центры и клиники.
• Биометрические. Данные, устанавливающие личность по физиологии: фото лица для распознавания, отпечатки, голос. Требуют отдельного письменного согласия и особого режима хранения.
• Обезличенные. Данные, по которым уже нельзя определить человека. Требования к ним мягче, но обезличивание должно быть выполнено корректно.

Большинство сайтов работают с общими ПДн, и этого достаточно, чтобы стать оператором и нести ответственность. Если же вы клиника, салон с медицинскими процедурами или сервис с фотоверификацией — у вас специальные или биометрические данные, и требования выше.

Штрафы за нарушение 152-ФЗ в 2025–2026 годах

Главная причина, по которой про 152-ФЗ заговорили все: в 2025 году штрафы выросли кратно, а за утечки данных ввели оборотные штрафы — процент от выручки, а не фиксированную сумму. Раньше нарушение стоило бизнесу несколько тысяч рублей. Теперь суммы исчисляются сотнями тысяч и миллионами, а за утечки — десятками и сотнями миллионов.

Оборотные штрафы за утечки

Ключевое изменение: за первую утечку для юрлица штраф измеряется миллионами рублей, а при повторной вводится оборотный штраф — процент от годовой выручки. Для крупного бизнеса это уже не «расходы на штраф», а сумма, способная серьёзно ударить по финансам. Логика проста: данные утекают регулярно, и единственный способ заставить бизнес вкладываться в защиту — сделать утечку дороже самой защиты.

Штрафы за процедурные нарушения

Помимо утечек штрафуют за формальные нарушения, которые проверяет Роскомнадзор: отсутствие политики, работу без согласия, неподачу уведомления оператора, отказ выполнять требования надзорного органа. Эти нарушения видны при простой проверке сайта и не требуют никакой утечки.

Цифры ориентировочные: диапазоны зависят от состава нарушения, категории данных, числа пострадавших и того, юрлицо это, ИП или должностное лицо. Точные суммы по актуальной редакции КоАП лучше сверять с юристом, но порядок понятен: процедурные нарушения теперь стоят сотни тысяч, утечки — миллионы и проценты от оборота. Штрафы суммируются: за один сайт можно получить санкции и за отсутствие политики, и за работу без согласия, и за неподачу уведомления одновременно.

Оператор персональных данных и уведомление Роскомнадзора

Как только вы начинаете собирать данные людей через сайт, вы становитесь оператором ПДн. Это не статус, который надо «получить», — он возникает автоматически по факту обработки данных. А вот обязанности оператора нужно выполнить осознанно.

Кто такой оператор ПДн

Оператор — организация или ИП, которые определяют цели и способы обработки данных. Если вы решаете, зачем собираете телефоны (перезвонить по заявке) и что с ними делаете (передаёте в CRM, звоните), — вы оператор. Большинство владельцев коммерческих сайтов являются операторами, даже не подозревая об этом.

Уведомление в Роскомнадзор: нужно ли подавать

До 2025 года для многих действовали исключения, позволявшие не подавать уведомление оператора. С 1 сентября 2025 года перечень исключений резко сузили: теперь уведомление в Роскомнадзор обязаны подавать практически все операторы, которые обрабатывают данные через сайт. Если коротко: собираете заявки с телефонами и почтой — почти наверняка обязаны уведомить.

Уведомление подаётся через сайт Роскомнадзора (есть электронная форма и портал Госуслуг). В нём описывают: цели обработки, категории данных и субъектов, перечень действий, где хранятся базы, какие меры защиты приняты. Подача бесплатна, но требует аккуратности — в уведомлении вы декларируете, как всё устроено, и по этим же пунктам вас могут проверить.

Что делать после подачи уведомления

После того как уведомление принято, оператор попадает в публичный реестр Роскомнадзора. Меняется что-то — новые цели, новые виды данных, смена места хранения базы — подаёте уточняющее уведомление. Прекращаете обработку — тоже уведомляете. Реестр публичный: проверить, подавали вы уведомление или нет, можно за минуту по ИНН.

Обязательные документы на сайте

Документы — первое, что проверяет Роскомнадзор, и первое, на чём «горят» сайты. Их два: Политика обработки персональных данных и Согласие на обработку. Без них сайт нарушает закон по умолчанию, ещё до любых разговоров про защиту и шифрование.

Политика обработки персональных данных

Политика обработки персональных данных — главный публичный документ оператора. Закон требует, чтобы она была опубликована и доступна любому посетителю в свободном доступе — обычно это отдельная страница со ссылкой в подвале сайта. Что должно быть внутри политики:

• Кто оператор. Полное наименование, ИНН, адрес, контакты — чтобы человек понимал, кто именно обрабатывает его данные.
• Какие данные собираются. Перечень категорий: имя, телефон, почта, cookie и так далее.
• Цели обработки. Зачем собираете — обработка заявок, отправка рассылки, доставка заказа, аналитика.
• Правовые основания. На основании чего обрабатываете — согласие субъекта, исполнение договора, требование закона.
• Кому передаются данные. Подрядчики, сервисы рассылок, CRM, службы доставки, аналитика.
• Сроки хранения. Как долго храните данные и когда удаляете.
• Права субъекта. Как человек может запросить, изменить или удалить свои данные, отозвать согласие.
• Меры защиты. Какие технические и организационные меры приняты для безопасности данных.

Скачать первый попавшийся шаблон и поменять название — плохая идея: политика должна описывать именно ваши реальные процессы. Если в документе написано, что данные не передаются третьим лицам, а вы шлёте их в стороннюю CRM и сервис рассылок — это несоответствие, которое всплывёт при проверке.

Согласие на обработку персональных данных

Согласие на обработку персональных данных — то, что человек даёт, оставляя данные в форме. По закону обработка без согласия незаконна (за редкими исключениями вроде исполнения договора). На сайте оно оформляется через явное действие пользователя — отметку в чекбоксе рядом с кнопкой отправки. Ключевые требования:

• Информированность. Рядом с галочкой — ссылка на политику и на текст согласия, чтобы человек понимал, на что соглашается.
• Добровольность. Согласие даётся свободно, а не навязывается. Заранее проставленная галочка — нарушение: пользователь должен поставить её сам.
• Конкретность. Понятно, кто оператор, какие данные и с какой целью обрабатываются.
• Возможность отзыва. Человек должен иметь возможность отозвать согласие — это описывается в политике.

Отдельное письменное согласие (с расширенными реквизитами) требуется в особых случаях: для специальных и биометрических данных, для передачи данных за рубеж, для рекламной рассылки. Для обычной формы заявки достаточно чекбокса со ссылкой на документы — но он должен быть, и галочка не должна стоять заранее.

Cookie-баннер: требования и как сделать правильно

Почти все сайты используют cookie — хотя бы для аналитики через Яндекс.Метрику. Cookie в связке с другими данными считаются персональными, поэтому об их использовании посетителя нужно информировать. Отсюда выросла практика cookie-баннеров — тех самых плашек «мы используем файлы cookie», которые вы видите на каждом втором сайте.

Зачем нужен cookie-баннер

Баннер решает две задачи: информирует посетителя, что сайт собирает данные через cookie, и фиксирует факт информирования. По российской практике баннер с уведомлением и ссылкой на политику — необходимый минимум. Жёсткого требования собирать активное согласие на каждый тип cookie, как в европейском GDPR, в РФ пока нет, но информировать пользователя нужно, и баннер — самый понятный способ это сделать.

Как сделать cookie-баннер правильно

Рабочий cookie-баннер устроен так:

• Появляется при первом заходе. Показывается сразу, до того как пользователь начал активно пользоваться сайтом.
• Содержит понятный текст. Коротко сообщает, что сайт использует cookie, и зачем — аналитика, удобство, реклама.
• Ссылается на политику. В тексте баннера есть ссылка на политику обработки данных или отдельный документ про cookie.
• Имеет кнопку подтверждения. Кнопка «Принять» или «Хорошо», по нажатию которой выбор пользователя сохраняется.
• Запоминает выбор. После согласия баннер не показывается снова — обычно факт согласия пишется в localStorage или cookie, чтобы не мозолить глаза при каждом визите.

Технически это небольшой блок, который добавляется один раз на весь сайт. Ошибки простые, но частые: баннер отсутствует, ссылка на политику битая, баннер всплывает на каждой странице заново, кнопка не сохраняет выбор. Если на сайте стоит счётчик аналитики, а cookie-баннера нет — это видимое невооружённым глазом нарушение.

Согласия в формах: заявки, подписка, обратный звонок

Самое распространённое нарушение на коммерческих сайтах — формы без согласия. Человек оставляет телефон, нажимает «отправить» — и никакого чекбокса, никакой ссылки на политику. Это прямая работа с персональными данными без согласия, то есть нарушение со штрафом.

В каких формах нужно согласие

Согласие требуется в любой форме, через которую сайт получает данные физлица. На практике это:

• Форма заявки и заказа. Имя, телефон, почта, адрес доставки — классический набор ПДн.
• Подписка на рассылку. Почта или телефон. Здесь, помимо согласия на обработку, нужно согласие на получение рекламы.
• Обратный звонок. Только телефон — но телефон уже идентифицирует человека, так что согласие обязательно.
• Форма в личном кабинете и при регистрации. Любые данные, которые вводит пользователь.
• Чат и онлайн-консультант. Если в чате просят оставить контакт — это тоже сбор ПДн.

Как оформить согласие в форме

Правильная форма с согласием выглядит так: рядом с кнопкой отправки стоит чекбокс с текстом вроде «Я согласен на обработку персональных данных» и активной ссылкой на политику. Галочка не проставлена заранее — пользователь ставит её сам. Пока галочка не стоит, кнопка отправки неактивна или форма не отправляется. Факт согласия желательно фиксировать на стороне сервера: дата, время, текст согласия, которое видел пользователь, — чтобы при споре можно было доказать, что человек соглашался.

Доработка форм — техническая задача: добавить чекбоксы, привязать к ним отправку, проставить ссылки на документы, настроить фиксацию согласия. Если форм на сайте много и они сделаны по-разному, это аккуратная, но не быстрая работа — её удобно отдать на доработку сайта, чтобы все формы привести к единому корректному виду за один заход.

Локализация баз персональных данных в РФ

Требование, про которое забывают, потому что оно не видно на самом сайте: персональные данные граждан РФ должны храниться на серверах, физически находящихся в России. Это называется локализацией. Сбор, запись, систематизация и хранение данных россиян должны идти через базы, расположенные на территории РФ.

Что это значит на практике

Если ваш сайт собирает заявки, а база данных и сама CRM работают на зарубежном сервере или в иностранном облаке — это нарушение требования о локализации. Данные граждан РФ первично должны попадать в базу на российском сервере. Трансграничная передача (за рубеж) возможна, но только при соблюдении дополнительных условий и с отдельным согласием.

Где должен быть хостинг и базы

Из требования локализации следует простое правило: хостинг сайта и серверы баз данных должны быть в России. Большинство российских провайдеров и облаков работают на серверах в РФ, так что для типичного сайта вопрос решается выбором отечественного хостинга. Проблема возникает у тех, кто держит сайт на зарубежном хостинге или хранит клиентскую базу в иностранных сервисах. Сюда же относятся формы, CRM, рассылки и чаты: если они хранят данные ваших клиентов за рубежом — это зона риска, и перед подключением любого внешнего сервиса стоит проверять, где он хранит данные.

SSL и техническая защита данных

Закон требует не только правильных бумаг, но и реальных мер защиты данных от утечек и неправомерного доступа. Технические меры — то, что отличает сайт, который «оформил документы для галочки», от сайта, который действительно бережёт данные клиентов. И именно технические дыры приводят к утечкам, за которые теперь грозят оборотные штрафы.

SSL-сертификат и HTTPS

SSL-сертификат и работа сайта по HTTPS — базовая обязательная мера. Когда посетитель отправляет форму с именем и телефоном по обычному HTTP, данные идут открытым текстом и их может перехватить кто угодно на пути. HTTPS шифрует канал. Без него передача ПДн через формы небезопасна, а браузеры помечают сайт как ненадёжный, что бьёт по доверию и конверсии. SSL-сертификат можно получить бесплатно с автопродлением, так что отсутствие HTTPS на сайте с формами — не экономия, а грубая ошибка.

Другие технические меры

Помимо SSL к разумным мерам относятся: разграничение доступа к базе (только тем, кому он нужен по работе), хранение паролей в зашифрованном виде, регулярные обновления CMS и плагинов (устаревшие версии — главная дыра для взлома), резервное копирование, защита админки от перебора паролей, надёжный хостинг с защитой от атак. Каждый сторонний скрипт и сервис, видящий данные пользователей, расширяет поверхность для утечки.

Что грозит при утечке

Если данные клиентов утекут из-за слабой защиты, последствий два. Первое — штраф: за утечку теперь миллионы рублей, за повторную — процент от оборота. Второе, часто болезненнее, — репутация: новость об утечке подрывает доверие надолго, а вернуть его дороже любого штрафа. Техническая защита — не формальность ради проверки, а страховка от обоих сценариев.

Пошаговый аудит сайта на соответствие 152-ФЗ

Чтобы понять, в каком вы состоянии, не нужен юрист с первого шага — базовую проверку сайта на соответствие 152-ФЗ можно провести самостоятельно. Пройдитесь по шагам и честно отметьте, что есть, а чего нет.

Шаг 1. Проверьте документы

Откройте сайт глазами постороннего. Есть ли в подвале ссылка на политику обработки персональных данных? Открывается ли она? Описывает ли реальные процессы, а не абстрактный шаблон? Указан ли в ней оператор с реквизитами? Если политики нет или она недоступна — это первое нарушение, которое исправляют немедленно.

Шаг 2. Проверьте все формы

Найдите на сайте все формы, где собираются данные: заявки, заказы, подписка, обратный звонок, регистрация, чат. У каждой проверьте: есть ли чекбокс согласия, есть ли рядом ссылка на политику, не проставлена ли галочка заранее, работает ли отправка только после согласия. Форма без согласия — нарушение, и таких на сайте обычно находится не одна.

Шаг 3. Проверьте cookie-баннер

Зайдите на сайт в режиме инкогнито. Появляется ли cookie-баннер? Есть ли в нём ссылка на политику? Сохраняется ли выбор после нажатия кнопки? Если стоит аналитика, а баннера нет — добавляют баннер.

Шаг 4. Проверьте HTTPS

Откройте сайт и посмотрите на адресную строку. Адрес начинается с https, есть значок защищённого соединения? Попробуйте открыть страницу с формой — браузер не ругается на небезопасность? Если сайт работает по http — это исправляют установкой SSL.

Шаг 5. Проверьте, где хранятся данные

Уточните у разработчика или хостера: на каких серверах работает сайт и где физически хранятся базы данных и клиентская информация. В России? Где хранят данные сторонние сервисы — формы, CRM, рассылки? Если что-то за рубежом — это вопрос к локализации.

Шаг 6. Проверьте уведомление Роскомнадзора

Проверьте по реестру Роскомнадзора, подавали ли вы уведомление оператора. С учётом ужесточения 2025 года большинству сайтов уведомление подавать нужно. Нет в реестре — это отдельное нарушение со своим штрафом.

Чек-лист соответствия 152-ФЗ

Сведём аудит в чек-лист. По нему удобно сверяться — каждый невыполненный пункт это потенциальный штраф.

• Политика обработки ПДн опубликована и доступна по ссылке из подвала на всех страницах.
• Политика описывает реальные процессы — оператора, данные, цели, передачу третьим лицам, сроки, права субъекта.
• У каждой формы есть чекбокс согласия со ссылкой на политику.
• Галочка согласия не проставлена заранее — пользователь ставит её сам.
• Отправка формы работает только после согласия.
• Факт согласия фиксируется на стороне сервера (дата, текст согласия).
• Cookie-баннер появляется при первом визите и ссылается на политику.
• Cookie-баннер запоминает выбор и не показывается повторно.
• Сайт работает по HTTPS с действующим SSL-сертификатом.
• Базы данных и хостинг расположены в РФ (локализация соблюдена).
• Сторонние сервисы проверены на то, где они хранят данные клиентов.
• Уведомление оператора подано в Роскомнадзор, оператор есть в реестре.
• Доступ к клиентской базе разграничен — только у тех, кому нужен.
• CMS и плагины обновляются, делается резервное копирование.

Все пункты закрыты — сайт в хорошем состоянии по 152-ФЗ. Чаще всего спотыкаются на формах без согласия, отсутствии cookie-баннера и неподанном уведомлении.

Частые нарушения 152-ФЗ на сайтах

За практикой проверок вырисовывается типовой набор грабель, которые повторяются от сайта к сайту:

• Нет политики обработки данных или ссылка на неё битая. Самое заметное нарушение, проверяется в один клик из подвала.
• Формы без согласия. Заявки и обратные звонки собирают телефоны без чекбокса и ссылки на политику — прямая обработка ПДн без согласия.
• Заранее проставленная галочка согласия. Формально согласие есть, но оно не добровольное — это нарушение.
• Нет cookie-баннера при работающей аналитике. Сайт собирает данные через cookie, не информируя посетителя.
• Сайт на http без SSL. Данные форм идут открытым текстом, браузер помечает сайт небезопасным.
• Базы за рубежом. Сайт, CRM или сервис форм хранят данные россиян на иностранных серверах — нарушение локализации.
• Не подано уведомление оператора. После ужесточения 2025 года это касается большинства, а штраф отдельный.
• Шаблонная политика не по реальным процессам. Скачанный документ, который противоречит тому, как на самом деле обрабатываются данные.

Особенность 152-ФЗ в том, что почти все эти нарушения видны при поверхностной проверке сайта — не нужно ждать утечки, чтобы получить претензию. И штрафы суммируются.

Когда нужен подрядчик

Часть работы реально сделать самому: написать политику по шаблону под свои процессы, добавить ссылку в подвал, подать уведомление в Роскомнадзор. Но есть зона, где нужны разработчик и понимание закона одновременно.

Доработка форм и cookie-баннера

Привести в порядок все формы (чекбоксы, ссылки, фиксация согласия), добавить корректный cookie-баннер с сохранением выбора — это техническая работа по коду сайта. Если форм много и они разные, сделать это аккуратно и единообразно своими силами сложно. Такую доработку логично отдать тем, кто занимается разработкой и доработкой сайтов: формы приводятся к единому виду, баннер ставится один раз на весь сайт, согласия начинают фиксироваться.

Локализация, SSL и техническая защита

Перенос баз и сайта на российский хостинг, установка SSL, разграничение доступа, обновление CMS, резервное копирование — это инфраструктура. Ошибиться тут можно дорого: перенос с потерей данных, кривой сертификат, незакрытая админка. Эти задачи безопаснее доверить специалистам.

Постоянное сопровождение

152-ФЗ — не разовая задача «настроил и забыл». Меняются процессы (новые формы, новые сервисы, новые цели сбора) — нужно обновлять политику и уведомление. Появляются обновления CMS — их нужно ставить, чтобы не открыть дыру. За соответствием удобно следить в рамках поддержки сайта: документы поддерживаются в актуальном состоянии, технические меры не устаревают, новые формы сразу делаются с согласием. Стоимость работ по приведению сайта в соответствие — на странице цен.

Не уверены, в каком состоянии ваш сайт по 152-ФЗ, — начните с бесплатного аудита сайта: мы проверим документы, формы, cookie-баннер, HTTPS, локализацию баз и наличие уведомления, и дадим конкретный список того, что нужно исправить, чтобы избежать штрафов. Так вы увидите реальную картину до того, как её увидит Роскомнадзор.

Частые вопросы