152-ФЗ
152-ФЗ — Федеральный закон «О персональных данных» от 27 июля 2006 года. Обязывает операторов получать согласие, публиковать политику и хранить данные россиян в РФ. С 30 мая 2025 года за утечку введён оборотный штраф до 3% выручки.
Определение 152-ФЗ
152-ФЗ — это Федеральный закон «О персональных данных» от 27 июля 2006 года, который регулирует сбор, хранение и обработку любой информации о людях в России. Под персональными данными закон понимает любые сведения, относящиеся к определённому или определяемому человеку: ФИО, телефон, e-mail, адрес, а также cookie и IP, если они позволяют идентифицировать личность. Любая компания или ИП, которые собирают такие данные хотя бы через одну форму, становятся оператором. Ключевые обязанности: получить согласие, опубликовать политику, хранить первичные данные россиян на серверах в РФ и обеспечить их безопасность.
С 30 мая 2025 года ответственность за нарушения резко выросла: за утечку данных введены оборотные штрафы до 3% выручки, а максимальные санкции для юрлиц достигают десятков миллионов рублей. Это сделало соответствие закону вопросом прямого финансового риска, а не формальности.
Как работает и применение
Закон выстраивает цепочку: основание обработки, цель, согласие субъекта, безопасное хранение и право на удаление. Обрабатывать данные можно только при наличии законного основания — чаще всего это согласие пользователя или исполнение договора. Согласие фиксируется чекбоксом со ссылкой на политику обработки персональных данных, а сами данные должны храниться на территории России. Привести сайт в соответствие со всеми требованиями помогаем в рамках услуги приведение сайта к 152-ФЗ в BigPanda — от аудита форм до подачи уведомления в Роскомнадзор. Контроль за исполнением закона ведёт Роскомнадзор, который и находит нарушения при проверках.
| Требование закона | Что нужно сделать |
|---|---|
| Согласие на обработку | Чекбокс без предзаполнения, ссылка на политику |
| Политика обработки | Опубликовать и обеспечить свободный доступ |
| Локализация данных | Первичная база россиян — на серверах в РФ |
| Уведомление РКН | Подать до начала обработки данных |
| Безопасность | Шифрование, https, защита от утечек |
Требования к оператору
Оператор обязан публиковать политику, получать согласие до начала обработки и обрабатывать данные только в заявленных целях. Требование локализации, действующее с 1 сентября 2015 года, обязывает хранить первичную базу данных граждан России на серверах внутри страны — это влияет на выбор хостинга и облачных сервисов. С 2025 года почти все операторы должны подать в Роскомнадзор уведомление о намерении обрабатывать данные. Отдельно закон требует обеспечить безопасность: шифрование, разграничение доступа, защиту от утечек. При утечке оператор обязан уведомить Роскомнадзор в течение 24 часов.
Инструменты и пример
Соответствие проверяют пошагово: есть ли политика и ссылка на неё у форм, корректно ли оформлено согласие, где хранятся данные, подано ли уведомление в Роскомнадзор, защищён ли сайт SSL-сертификатом. Пример: студия на зарубежном хостинге собирала заявки без чекбокса согласия и без политики. При проверке это сразу несколько нарушений: отсутствие политики, некорректное согласие и нарушение локализации. После аудита данные перенесли на российский хостинг, добавили политику и согласие, подали уведомление — риск штрафа сняли.
Связанные концепции
- Политика обработки персональных данных — документ, обязательность которого устанавливает именно 152-ФЗ. Он раскрывает оператора, цели и состав данных.
- Cookie-баннер — инструмент информирования и сбора согласия на cookie. Поскольку cookie могут идентифицировать человека, их обработка подпадает под действие закона.
- Хостинг — площадка хранения данных. Требование локализации напрямую влияет на выбор: первичная база граждан России должна храниться на серверах внутри страны.
- SSL-сертификат — обеспечивает шифрование при передаче данных и помогает выполнить требование закона о безопасности. Без https сбор данных формально небезопасен.
- Роскомнадзор — орган, который ведёт реестр операторов, принимает уведомления и проводит проверки, привлекает нарушителей к ответственности и накладывает штрафы.
- Оборотный штраф — введён в 2025 году за утечки данных. Считается как процент от годовой выручки, что делает санкции особенно чувствительными для крупного бизнеса.
Частые ошибки
- Собирают заявки без чекбокса согласия и без опубликованной политики.
- Данные россиян хранят на зарубежном хостинге, нарушая требование локализации.
- Не подали уведомление в Роскомнадзор, считая бизнес слишком маленьким.
- Обрабатывают данные шире заявленных целей — рассылают рекламу без отдельного согласия.
- Не уведомили Роскомнадзор об утечке в установленный срок.
Частые вопросы
Кого касается 152-ФЗ?
Любую организацию, ИП или физлицо, которые собирают данные людей: ФИО, телефон, e-mail, адрес. Достаточно одной формы обратной связи на сайте, чтобы стать оператором персональных данных. Размер бизнеса и форма собственности значения не имеют — закон распространяется и на крупный магазин, и на лендинг фрилансера.
Какие штрафы по 152-ФЗ в 2025 году?
С 30 мая 2025 года санкции выросли в разы. За отсутствие политики юрлицо платит от 30 000 до 60 000 рублей, за обработку без согласия — значительно больше, а за утечку введён оборотный штраф до 3% выручки с максимумом в десятки миллионов рублей. Это сделало соответствие закону прямым финансовым риском.
Что такое требование локализации данных?
Это обязанность хранить первичную базу персональных данных граждан России на серверах внутри страны. Правило действует с 1 сентября 2015 года и влияет на выбор хостинга: зарубежные аналитические и CRM-системы можно использовать только как вторичные. Перенести данные на российский хостинг помогаем в рамках услуги приведения сайта к 152-ФЗ в BigPanda.
Нужно ли подавать уведомление в Роскомнадзор?
Да. С 2025 года почти все операторы обязаны подать уведомление о намерении обрабатывать персональные данные, даже если раньше попадали под исключения. Уведомление подаётся через портал Роскомнадзора до начала обработки. Это отдельная обязанность, которая не заменяется наличием политики на сайте.
Можно ли использовать зарубежные сервисы аналитики?
Использовать можно, но первичная база данных россиян должна храниться в России, а зарубежный сервис выступает вторичным хранилищем. Трансграничную передачу нужно описать в политике и обеспечить законное основание. На практике переходят на российские аналоги, чтобы упростить соответствие закону.
С чего начать приведение сайта к закону?
С аудита: какие данные собираются, где хранятся, как оформлено согласие, есть ли политика и уведомление. По его итогам составляют план: добавить документы, перенести данные на российский хостинг, настроить согласие. Довести сайт до соответствия помогаем при сопровождении сайта в BigPanda.