Полный комплекс работ для защиты персональных данных пользователей: аудит сайта на соответствие закону, технические правки (SSL, формы, шифрование), логика согласий и Cookie-баннер, политика обработки ПДн и юридические тексты, уведомление в Роскомнадзор. Закрываем оператора ПДн под ключ за 1-2 недели, страхуем от штрафов до 6 млн ₽.
За 2018-2026 годы привели в соответствие с законом интернет-магазины, лендинги, корпоративные сайты, B2B-порталы, SaaS
Клиентов избежали штрафов
0%
Ни один наш клиент не получил штраф от Роскомнадзора по итогам проверки — берём ответственность в договоре
Аудит сайта на 152-ФЗ
Бесплатно
Полная проверка сайта на 200+ пунктов соответствия закону с отчётом и планом исправления нарушений — 3-5 рабочих дней, без обязательств
Средний срок внедрения
0-14 дней
От подписания договора до сдачи готового пакета: Cookie-баннер, политика, согласия, уведомление в Роскомнадзор
Любая
CMS
Работаем с любым стеком: 1С-Битрикс, WordPress, Strapi, Next.js, Laravel, самописные системы — без переезда
Написание юридических документов
Документы
Политика обработки ПДн, согласие пользователя, уведомление в Роскомнадзор, пользовательское соглашение, оферта — экспертиза юриста с практикой по 152-ФЗ
Полный чек-лист требований
32+ требований 152-ФЗ — в одной таблице
Что должно быть на сайте, на сервере и в документах компании, чтобы пройти проверку Роскомнадзора и не получить штраф. Все пункты закрываем под ключ: пишем юридические тексты, реализуем технически, оформляем процессы, подаём документы в Роскомнадзор.
Юр. текст13
Техника17
Процесс10
Роскомнадзор5
Юридические тексты на сайте
Документы, которые публикуются на отдельных страницах и/или встраиваются в формы. Все тексты согласуем с юристом — без шаблонов из интернета.
6 пунктов
Политика обработки персональных данных
Отдельная страница /privacy с описанием: какие ПДн собираем, цели обработки, основания, сроки хранения, права субъекта ПДн, контакты оператора.
Юр. текст
Согласие на обработку ПДн в формах
Текст согласия с галочкой на каждой форме сбора (заявка, регистрация, подписка, обратная связь). Раздельные согласия для маркетинга и обслуживания.
Юр. текстТехника
Согласие на использование Cookie
Баннер с категориями согласия (необходимые / аналитика / реклама), которое сохраняется на 12 месяцев и логируется в БД.
Юр. текстТехника
Пользовательское соглашение
Условия использования сайта (/terms). Описание правил, ответственности сторон, разрешение споров.
Юр. текст
Публичная оферта
Для интернет-магазинов и сайтов с приёмом платежей: условия покупки, цены, доставка, возврат — все в соответствии со ст. 437 ГК РФ.
Юр. текст
Согласие на маркетинговые рассылки
Отдельный чекбокс «Согласен получать рассылку» — раздельно от согласия на обработку ПДн (ФЗ-38 о рекламе).
Юр. текстТехника
Технические требования
Что должно быть реализовано на стороне сайта/CMS/сервера — независимо от вашей платформы (Битрикс, WordPress, Tilda, Strapi, самопис).
10 пунктов
HTTPS и SSL-сертификат
Принудительный редирект HTTP → HTTPS, TLS 1.2 или выше, HSTS-заголовок. Без HTTPS обработка ПДн — нарушение ст. 19 п. 6.
Техника
Хранение ПДн на территории РФ
База с ПДн физически в РФ (Selectel / Yandex Cloud / VK Cloud / Reg.ru). При зарубежном хостинге — миграция в РФ-ЦОД.
Техника
Cookie-баннер с категориями
Технически — баннер с 3 категориями согласия, сохранение выбора в localStorage и серверном логе, возможность отозвать.
Техника
Защищённое хранение паролей
bcrypt / argon2 хеши с salt, никакого plain-text. Минимальная длина 8, проверка на утечки (HaveIBeenPwned API).
Техника
Шифрование чувствительных полей
AES-256 для паспортных, платёжных и медицинских данных в БД. Ключи в отдельном vault, не в .env.
Техника
Audit log действий с ПДн
Append-only журнал: кто, когда, какие ПДн смотрел/менял/удалил. Хранение 3+ года, доступ только админу с 2FA.
Техника
Двухфакторная аутентификация в админке
TOTP (Google Authenticator) или SMS для всех админов и сотрудников с доступом к ПДн.
Техника
Защита от ботов и брутфорса
Rate-limit на формы, CAPTCHA (reCAPTCHA / SmartCaptcha от Я), блокировка после N неверных попыток, Cloudflare WAF.
Техника
Бэкапы с шифрованием
Ежедневные бэкапы БД и медиа, шифрование at-rest (AES-256), хранение 30+ дней в отдельной локации.
Техника
Удаление ПДн по запросу
Техническая возможность удалить все ПДн конкретного пользователя из БД, логов и бэкапов в течение 30 дней.
ТехникаПроцесс
Страницы и URL-структура сайта
Конкретные страницы и URL, которые должны существовать и быть доступны. Стандартные пути для удобства проверки Роскомнадзора.
5 пунктов
/privacy — Политика обработки ПДн
Отдельная страница с полным текстом политики. Ссылка в футере на каждой странице сайта, в формах, в Cookie-баннере.
Юр. текстТехника
/terms — Пользовательское соглашение
Отдельная страница, ссылка в футере и в формах регистрации.
Юр. текстТехника
/pdn или /personal-data — Согласие на обработку
Развёрнутый текст согласия (то, что пользователь принимает галочкой), к которому ведут все формы.
Юр. текстТехника
Ссылка на политику в футере
Видимая ссылка «Политика конфиденциальности» в подвале каждой страницы. Желательно — на отдельной строке, не петитом.
Техника
Контактная информация оператора
На сайте указаны полные реквизиты оператора ПДн: название, ИНН, адрес, email, телефон. Обычно — на /contacts и в политике.
Юр. текст
Документы в Роскомнадзоре
Обязательные действия с регулятором: уведомление, реестр, отчётность. Часть из них — разовая, часть — ежегодная.
5 пунктов
Уведомление об обработке ПДн
Форма «Уведомление об обработке (намерении осуществлять обработку) ПДн» на портале Роскомнадзора. Обязательно до начала обработки.
Роскомнадзор
Внесение в реестр операторов ПДн
После подачи уведомления — внесение в государственный реестр (pd.rkn.gov.ru). Получение регистрационного номера оператора.
Роскомнадзор
Уведомление об изменениях
При смене целей, состава ПДн, ответственного лица или адреса — отдельное уведомление в Роскомнадзор в течение 10 дней.
РоскомнадзорПроцесс
Уведомление об инцидентах
При утечке ПДн — уведомление Роскомнадзору в течение 24 часов (с 2022 года). Шаблоны и регламент готовим.
РоскомнадзорПроцесс
Сопровождение плановой проверки
При запросе Роскомнадзора — подготовка пакета документов: политика, договор с обработчиком, регламенты, журналы. Сопровождение проверки.
РоскомнадзорПроцесс
Внутренние документы и процессы
То, что должно быть оформлено на стороне оператора (вашей компании) — приказы, регламенты, договоры. Не публикуется на сайте.
6 пунктов
Приказ о назначении ответственного за ПДн
Внутренний приказ компании. Ответственный — обычно директор, юрист или DPO (Data Protection Officer).
Юр. текстПроцесс
Положение об обработке персональных данных
Внутренний документ оператора: цели, средства, права субъектов, меры защиты. Обязателен по ст. 18.1 152-ФЗ.
Юр. текстПроцесс
Регламент реагирования на инциденты
Что делает компания при утечке ПДн: внутренние процедуры, оповещение Роскомнадзора, информирование субъектов ПДн.
Процесс
Договоры с обработчиками
Если ПДн передаются третьим лицам (хостинг, email-сервис, CRM, AI) — договор-поручение обработки с DPA-пунктами.
Юр. текстПроцесс
Обучение сотрудников с доступом к ПДн
Документально оформленное ознакомление сотрудников с регламентами. Подпись в журнале или электронная подпись в LMS.
Процесс
Журнал учёта носителей ПДн
Для крупных операторов: учёт USB-носителей, флешек, внешних дисков на которых временно хранятся ПДн.
Процесс
Полный пакет требований — для оператора ПДн в РФ. Состав работ зависит от типа сайта, объёма ПДн и текущего состояния.
Что входит
Что входит в приведение сайта к 152-ФЗ
Девять направлений работ — от аудита до сопровождения проверок Роскомнадзора. Полный комплекс закрывает оператора ПДн под ключ: технически, юридически и процессно. Можно взять весь пакет или отдельные модули под состояние вашего сайта.
Аудит сайта на соответствие закону
Полная проверка сайта по чек-листу Роскомнадзора: какие персональные данные собираются, через какие формы, есть ли согласия, корректна ли политика, где хранятся данные, кому передаются. Отчёт с приоритетами и оценкой работ — за 3-5 дней.
Технические правки (SSL, HTTPS, формы)
Установка SSL-сертификата и принудительный редирект на HTTPS, защита всех форм от спама и CSRF, валидация ввода, шифрование чувствительных полей в БД, audit log операций с ПДн. Защищённая передача и хранение данных пользователей.
Логика согласий и валидация
Чекбокс согласия на обработку ПДн в каждой форме сайта (заявка, обратный звонок, подписка, регистрация), с явной отметкой пользователя и фиксацией факта согласия в БД. Запрет отправки формы без отмеченного согласия, ссылка на политику.
Юридические тексты (политика, оферта, согласие)
Политика обработки персональных данных, согласие на обработку ПДн, пользовательское соглашение, публичная оферта (для магазинов). Тексты адаптированы под специфику сайта, согласованы с юристом-практиком по 152-ФЗ.
Cookie-баннер с категориями
Баннер с галочками на категории cookie (необходимые, аналитика, маркетинг), сохранением согласия в localStorage, возможностью отзыва и пересмотра. Соответствует требованиям Роскомнадзора и сложившейся практике по cookies.
Уведомление в Роскомнадзор
Подача уведомления оператора ПДн через портал Роскомнадзора, заполнение всех 30+ полей о целях, категориях данных, сроках обработки и хранения. Сопровождение до внесения в реестр операторов и получения подтверждения.
Миграция на российский хостинг
Перенос сайта и БД с зарубежного хостинга на серверы в РФ (Selectel, Yandex Cloud, VK Cloud, Reg.ru, Timeweb) без потери данных и SEO. Локальное хранение ПДн в России — обязательное требование 152-ФЗ.
Обучение команды
Видео-инструкции и регламенты для сотрудников: как работать с персональными данными клиентов, что можно и нельзя делать с ПДн, как реагировать на запросы субъектов и Роскомнадзора. Обучение ответственного за обработку ПДн в компании.
Сопровождение проверок
Полное сопровождение плановых и внеплановых проверок Роскомнадзора: подготовка пакета документов, ответы на запросы регулятора, представление позиции оператора. Помогаем закрыть проверку без штрафа или с минимальным размером.
Процесс
Как мы закрываем сайт под закон
Пять шагов от заявки до сдачи под ключ — без сюрпризов и долгого онбординга. Принимаем сайт на любом стеке, в любом состоянии: от полностью «дикого» лендинга до устаревшей политики 2019 года.
01
Аудит сайта и оценка работ
3-5 дней
Бесплатный аудит за 3-5 рабочих дней: проходим по чек-листу Роскомнадзора, проверяем формы, согласия, политику, Cookie, хранение данных, передачу третьим лицам. Получаете отчёт с найденными нарушениями и оценкой работ по приоритетам.
02
План работ и подписание договора
1-2 дня
Согласуем перечень работ, сроки и стоимость. Фиксируем гарантию соответствия в договоре, страховку от штрафов и обязательства по бесплатным правкам в течение 6 месяцев. Получаем доступы к сайту, серверу, БД, аналитике.
03
Юридические тексты
3-5 дней
Юрист готовит политику обработки ПДн, пользовательское соглашение, согласия в формы под специфику сайта. Параллельно готовим уведомление в Роскомнадзор. Согласовываем тексты с заказчиком и финализируем формулировки.
04
Технические правки
3-7 дней
Разработчик внедряет Cookie-баннер, чекбоксы согласия в формы, валидацию, защищённое хранение и передачу данных. При необходимости — SSL, миграцию на РФ-хостинг, шифрование полей в БД, audit log операций с ПДн.
05
Сдача под ключ и Роскомнадзор
2-3 дня
Финальный прогон по чек-листу, проверка работы всех согласий и Cookie-баннера. Подаём уведомление в Роскомнадзор, сопровождаем до внесения в реестр операторов ПДн. Закрывающие документы и инструкции для команды.
Пакеты под 152-ФЗ
Три пакета приведения сайта к закону
От базового аудита и набора обязательных правок до Enterprise-комплекса с миграцией на РФ-хостинг, шифрованием БД и сопровождением проверок Роскомнадзора. Подходящий пакет зависит от объёма ПДн и текущего состояния сайта.
STARTER
Базовый пакет
Минимальный набор для лендинга или сайта-визитки с одной-двумя формами и небольшим объёмом ПДн. Закрывает оператора ПДн под ключ.
20 000 ₽
Аудит сайта на соответствие 152-ФЗ
Cookie-баннер с категориями согласия
Политика обработки персональных данных
Чекбокс согласия во всех формах
Шаблон ответа на запрос субъекта ПДн
Инструкция для администратора сайта
ХИТ
Стандарт
Оптимальный пакет для интернет-магазинов, B2B-порталов и корпоративных сайтов с регулярным сбором ПДн. Полное соответствие 152-ФЗ.
40 000 ₽
Всё из «Базового пакета»
Уведомление в Роскомнадзор под ключ
Внесение в реестр операторов ПДн
SSL-сертификат и редирект на HTTPS
Пользовательское соглашение и оферта
Audit log операций с ПДн
Журнал доступа администраторов
Обучение команды (видео + регламент)
Гарантия соответствия 6 месяцев
Страховка от штрафов Роскомнадзора
ENTERPRISE
Enterprise
Для крупных сайтов, маркетплейсов и SaaS с большой базой клиентов, хранением паспортных и платёжных данных, серьёзной нагрузкой.
от 80 000 ₽
Всё из «Стандарта»
Миграция сайта и БД на РФ-хостинг
Шифрование чувствительных полей в БД
Двухфакторная аутентификация в админке
Аудит безопасности (OWASP Top 10)
WAF на уровне Caddy/nginx
Сопровождение проверок Роскомнадзора 6 мес
Поддержка юриста по 152-ФЗ онлайн
Ежеквартальный реаудит сайта
Архитектурные сессии раз в квартал
Для крупных сайтов с десятками форм, мобильным приложением, API для партнёров — рассчитываем индивидуальную смету. Скидка 10-15% при заключении договора на годовое сопровождение оператора ПДн.
Цены на отдельные работы вне пакетов
Стоимость конкретных работ по 152-ФЗ
Если задача узкая (например, нужен только Cookie-баннер или политика ПДн) — берём её отдельным заказом по фиксированной смете. Для полного приведения сайта к закону выгоднее пакет — см. тарифы выше.
Аудит сайта на соответствие 152-ФЗ
Полная проверка по 200+ пунктам: формы, согласия, Cookie, политика, хранение, передача ПДн третьим лицам. Отчёт с приоритетами и сметой на исправления — без обязательств.
Бесплатно
Cookie-баннер с категориями согласия
Баннер с галочками на категории cookie (необходимые, аналитика, маркетинг), сохранением согласия, возможностью отзыва. Соответствует требованиям Роскомнадзора.
от 5 000 ₽
Политика обработки персональных данных
Юридический документ под ваш сайт: цели обработки, перечень собираемых ПДн, сроки хранения, передача третьим лицам, права субъектов. Согласован с юристом по 152-ФЗ.
от 6 000 ₽
Согласие на обработку ПДн в формах
Чекбокс согласия пользователя на обработку персональных данных при отправке любой формы (заявка, обратный звонок, подписка), с фиксацией факта согласия в БД.
от 3 000 ₽
Уведомление в Роскомнадзор
Подача уведомления оператора ПДн через портал Роскомнадзора, заполнение всех полей и категорий обрабатываемых данных, сопровождение до внесения в реестр.
от 5 000 ₽
Миграция данных и сайта на РФ-хостинг
Перенос сайта и БД на хостинг в России (Selectel, Yandex Cloud, VK Cloud, Reg.ru) без потери данных и SEO. Настройка DNS, SSL, бэкапов, миграция почты.
от 25 000 ₽
SSL/TLS и принудительный редирект на HTTPS
Установка сертификата Let's Encrypt или платного SSL, настройка автообновления, редирект всех HTTP на HTTPS, HSTS, проверка mixed content на всех страницах.
от 2 500 ₽
Шифрование чувствительных полей в БД
Шифрование персональных данных пользователей в БД (паспорта, телефоны, адреса) симметричными ключами AES-256, безопасное хранение ключей в KMS.
от 8 000 ₽
Audit log на основе append-only
Журнал всех операций с персональными данными (просмотр, изменение, передача, удаление) с подписями и метками времени. Хранение неизменяемых записей 5 лет.
от 12 000 ₽
Пользовательское соглашение и публичная оферта
Юридические документы под специфику сайта: условия пользования, оферта продажи (для магазинов), правила услуг. Соответствие 152-ФЗ, ГК РФ и закону о защите потребителей.
от 8 000 ₽
Аудит безопасности и защита от взлома
Тест на уязвимости (OWASP Top 10), сканирование зависимостей через Trivy, защита от SQL-инъекций, XSS, CSRF, настройка WAF на уровне Caddy/nginx.
от 18 000 ₽
Двухфакторная аутентификация в админке
Настройка 2FA через Google Authenticator или SMS для всех админ-аккаунтов сайта. Защита от компрометации пароля, обязательное требование по 152-ФЗ для операторов ПДн.
от 6 000 ₽
Журнал доступа администраторов
Логирование всех действий админов: вход, выход, изменения данных, доступ к ПДн пользователей. Хранение записей минимум 1 год, выгрузка отчётов в CSV/PDF.
от 4 000 ₽
Сопровождение проверок Роскомнадзора
Полное сопровождение плановой или внеплановой проверки: подготовка ответов на запросы, представление документов, защита позиции оператора ПДн. До закрытия проверки.
от 30 000 ₽
Если нужны несколько работ — выгоднее взять полный комплекс «Полный комплекс» (см. тарифы): фикс-цена, юр.экспертиза, гарантия соответствия и страховка от штрафов Роскомнадзора в договоре.
FAQ
Частые вопросы про 152-ФЗ и персональные данные
Десять вопросов, которые задают чаще всего перед приведением сайта к закону. Если нет вашего — напишите, ответим в течение рабочего дня. Сложные случаи берём на бесплатную консультацию.
Федеральный закон №152-ФЗ «О персональных данных» — основной закон в России о защите персональных данных физических лиц. Если ваш сайт собирает любые данные посетителей (имя, телефон, email, паспорт, адрес и т.д.) — вы автоматически становитесь оператором персональных данных и обязаны выполнять требования закона: иметь политику обработки ПДн, получать явное согласие от пользователей, защищать данные технически, хранить их на серверах в России, при необходимости — уведомлять Роскомнадзор.
С 2025 года штрафы по 152-ФЗ существенно ужесточены. Для юрлиц: за обработку ПДн без согласия — от 300 тыс до 700 тыс ₽, за утечку до 10 тыс субъектов — от 3 до 5 млн ₽, при крупной утечке — до 15 млн ₽. За повторное нарушение — оборотные штрафы 1-3% от выручки за год (но не более 500 млн ₽). За нарушение порядка хранения ПДн в РФ — от 1 до 6 млн ₽. Отдельные штрафы за неуведомление Роскомнадзора — до 500 тыс ₽. Поэтому даже для небольшой компании риски существенные.
Да, в подавляющем большинстве случаев. Если сайт обрабатывает ПДн для любых целей кроме внутреннего кадрового учёта — нужно подать уведомление оператора ПДн в Роскомнадзор и попасть в реестр операторов. Это касается всех сайтов с формами заявок, регистрацией, подпиской, оформлением заказов, аналитикой и т.д. Без уведомления вы работаете с ПДн нелегально, штраф — до 500 тыс ₽ только за этот пункт. Мы подаём уведомление в составе «Полного комплекса» под ключ.
По 152-ФЗ персональные данные граждан России должны храниться и обрабатываться на территории РФ. Если сайт на зарубежном хостинге (DigitalOcean, AWS, OVH, Hetzner и т.д.) и собирает ПДн россиян — это нарушение, штраф до 6 млн ₽. Решение — миграция на российский хостинг (Selectel, Yandex Cloud, VK Cloud, Reg.ru). Делаем перенос сайта и БД без потери данных и SEO за 3-7 дней. Альтернатива (менее надёжная) — хранить ПДн в РФ-инстансе БД с зеркалированием, а сам сайт держать за рубежом.
Яндекс.Метрика — да, без ограничений: серверы в России, входит в реестр российских сервисов, корректно работает с 152-ФЗ. Google Analytics — формально запрещён для сайтов российских компаний, поскольку данные передаются в США (Roskomnadzor выписывал штрафы в 2022-2024 годах). Также под вопросом Facebook Pixel, Hotjar, Microsoft Clarity. Безопасные альтернативы: Я.Метрика, OpenStat, российские сервисы аналитики. Если очень нужен GA — настраиваем proxy через сервер в РФ, который анонимизирует данные перед отправкой.
Чтобы официально стать оператором персональных данных, нужно: 1) Подать уведомление в Роскомнадзор и попасть в реестр операторов; 2) Опубликовать на сайте политику обработки ПДн; 3) Получать явные согласия от пользователей в каждой форме; 4) Хранить ПДн на серверах в РФ; 5) Назначить ответственного за обработку ПДн в компании (приказ + контактные данные на сайте); 6) Обучить сотрудников работе с ПДн; 7) Вести журнал учёта операций с ПДн. Всё это закрываем в составе пакета «Полный комплекс» за 7-14 дней.
Стандартный срок «под ключ» — 7-14 рабочих дней с момента подписания договора и передачи доступов. Базовый аудит и Cookie-баннер делаются за 3-5 дней, политика и согласия — ещё 2-3 дня, уведомление в Роскомнадзор — 1-2 дня (внесение в реестр — до 30 дней по регламенту регулятора, но это уже не зависит от нас). Если нужна миграция на РФ-хостинг или шифрование БД — добавляем 5-10 дней. Срочные проекты (срок 3-5 дней) делаем при доплате за приоритет.
Для всех сайтов, которые собирают любые персональные данные граждан России. Это: интернет-магазины (имя, телефон, адрес), лендинги с формами заявок, корпоративные сайты с формами контактов, блоги с подпиской на рассылку, SaaS-сервисы с регистрацией, маркетплейсы, B2B-порталы, сайты с личным кабинетом. Не требуется только для сайтов без любых форм обратной связи и аналитики — но это редкость, поскольку даже cookie-файлы Метрики уже считаются ПДн. Закон действует независимо от размера компании — от ИП до крупных корпораций.
Ответственность за нарушения 152-ФЗ несёт оператор персональных данных — то есть юрлицо или ИП, на которое зарегистрирован сайт. Штрафы выписываются на компанию (юрлицо или ИП), а не на разработчика или хостинг-провайдера. Внутри компании ответственным назначается специальный сотрудник (приказом руководителя) — обычно директор по безопасности, юрист или техдиректор. Если мы делаем приведение сайта к 152-ФЗ — берём в договоре частичную ответственность за корректность работ и страхуем вас от штрафов на сумму до согласованного лимита.
Закон 152-ФЗ постоянно обновляется: меняются формулировки уведомления в Роскомнадзор, размеры штрафов, требования к согласиям, появляются новые разъяснения. В 2024-2025 годах было сразу несколько крупных правок. На «Полном комплексе» и Enterprise мы в течение 6-12 месяцев бесплатно обновляем юридические тексты и техническую сторону под актуальные требования. Дальше — либо разовая правка по нашему прайсу, либо абонемент-сопровождение оператора ПДн (от 7 000 ₽/мес, включает мониторинг изменений в законе).
Отзывы
Письма благодарности
То что клиенты пишут о нас по итогам наших проектов
Готовы начать?
Готовы привести сайт к закону?
Расскажите про сайт — сделаем бесплатный аудит за 3-5 рабочих дней и пришлём план приведения к 152-ФЗ с оценкой работ и точным сроком. Без обязательств и долгих созвонов. Берём ответственность за результат в договоре.
Бесплатный бриф · ответ в течение 4 часов · NDA по запросу
