152-ФЗ простым языком: что нужно знать владельцу сайта

Обновлено: март 2026 · 12 мин чтения

Федеральный закон № 152-ФЗ «О персональных данных» — главный закон России, регулирующий сбор и обработку персональных данных. Если ваш сайт собирает хотя бы email или имя пользователя — закон касается вас. Разбираем, что конкретно нужно сделать, чтобы не получить штраф.

Содержание

  1. 1. Что такое персональные данные
  2. 2. Кого касается 152-ФЗ
  3. 3. 7 главных требований для сайта
  4. 4. Штрафы за нарушение (КоАП 13.11)
  5. 5. Изменения 2025–2026 года
  6. 6. Что проверяет Роскомнадзор
  7. 7. Как проверить свой сайт

1. Что такое персональные данные

Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку (субъекту ПД). По закону это не только паспортные данные, но и:

  • ФИО — имя, фамилия, отчество
  • Email — адрес электронной почты
  • Телефон — номер мобильного или стационарного
  • IP-адрес — да, Роскомнадзор считает его персональными данными
  • Cookie-файлы — если позволяют идентифицировать пользователя
  • Фотографии — изображение лица
  • Геолокация — данные о местоположении
Важно: Даже если вы собираете только email через форму подписки — вы уже оператор персональных данных по 152-ФЗ.

2. Кого касается 152-ФЗ

Закон касается любого, кто собирает и обрабатывает персональные данные граждан РФ:

  • Интернет-магазины (формы заказа, регистрация)
  • SaaS-сервисы (регистрация пользователей)
  • Корпоративные сайты (формы обратной связи, заявки)
  • Лендинги (формы захвата лидов)
  • Блоги с комментариями (если требуется email)
  • Мобильные приложения

Не имеет значения, где физически расположен сервер. Если вы обрабатываете данные граждан РФ — 152-ФЗ применяется. При этом данные граждан РФ должны храниться на территории России (ст. 18 ч.5 152-ФЗ).

3. 7 главных требований 152-ФЗ для сайта

1Политика конфиденциальности

Обязательный документ на сайте (ст. 18.1 152-ФЗ). Должен содержать: наименование оператора, цели обработки, перечень данных, сроки хранения, права субъекта, способы отзыва согласия. Ссылка на политику должна быть доступна с каждой страницы.

2Согласие на обработку ПД

Каждая форма, собирающая данные, должна содержать чекбокс согласия на обработку персональных данных. Чекбокс не должен быть предустановлен (отмечен по умолчанию). Рядом — ссылка на политику конфиденциальности.

3Cookie-баннер

Если сайт использует cookie-файлы (а используют почти все) — необходимо уведомить пользователя и получить согласие до начала сбора данных. Особенно если используются аналитические и рекламные cookie.

4SSL-сертификат (HTTPS)

Передача персональных данных по незашифрованному каналу (HTTP) нарушает требования к защите ПД. Сайт обязан использовать HTTPS с действующим SSL-сертификатом.

5Локализация данных

Персональные данные граждан РФ должны храниться на серверах, расположенных в России (ст. 18 ч.5). Использование зарубежных CDN и хостингов для хранения ПД может быть нарушением.

6Контроль сторонних трекеров

Google Analytics, Meta Pixel, и другие зарубежные скрипты собирают данные пользователей и передают на серверы за рубежом. Использование таких трекеров без явного согласия пользователя — нарушение.

7Уведомление Роскомнадзора

Оператор обязан подать уведомление в Роскомнадзор о начале обработки персональных данных (ст. 22 152-ФЗ). Это можно сделать через портал pd.rkn.gov.ru. Исключение — обработка данных только сотрудников.

Хотите узнать, соответствует ли ваш сайт 152-ФЗ?

Бесплатная автоматическая проверка за 60 секунд. Без регистрации.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

4. Штрафы за нарушение 152-ФЗ (КоАП 13.11)

Штрафы за нарушение закона о персональных данных регулируются статьёй 13.11 КоАП РФ. В 2025 году штрафы были существенно увеличены. Суммы для юридических лиц:

НарушениеСтатьяШтраф (юрлицо)
Обработка ПД без согласия субъекта13.11 ч.2150 000 – 500 000 ₽
Отсутствие политики конфиденциальности13.11 ч.360 000 – 100 000 ₽
Нарушение требований к защите ПД13.11 ч.580 000 – 200 000 ₽
Нарушение локализации данных13.11 ч.81 000 000 – 6 000 000 ₽
Утечка персональных данных13.11 ч.11-12до 15 000 000 ₽
Повторное нарушение13.11штраф x2 – x3
Внимание: С 2025 года за массовые утечки персональных данных введены оборотные штрафы — до 3% от годовой выручки компании. Также обсуждается введение уголовной ответственности за незаконную обработку ПД.

5. Изменения 2025–2026 года

Оборотные штрафы за утечки — до 3% годовой выручки компании за массовую утечку данных. Минимальный штраф для юрлиц — 15 млн рублей.

Увеличение штрафов по ст. 13.11 — штрафы за обработку без согласия выросли в 2–3 раза по сравнению с 2023 годом.

Ужесточение требований к уведомлению об утечках — оператор обязан уведомить Роскомнадзор об инциденте в течение 24 часов, а субъектов ПД — в течение 72 часов.

Усиление контроля за трансграничной передачей — передача данных за рубеж требует отдельного согласия и уведомления РКН. Запрещена передача в «недружественные» юрисдикции без исключений.

6. Что проверяет Роскомнадзор

Роскомнадзор проводит как плановые, так и внеплановые проверки. При проверке сайта инспекторы обращают внимание на:

Наличие и содержание политики конфиденциальности
Формы сбора данных и наличие чекбоксов согласия
Cookie-баннер и порядок получения согласия
SSL-сертификат и защита передачи данных
Сторонние трекеры и скрипты аналитики
Локализация хранения данных (серверы в РФ)
Уведомление РКН об обработке ПД
Порядок уничтожения данных по запросу

7. Как проверить свой сайт на соответствие 152-ФЗ

Вы можете проверить сайт вручную по чек-листу выше, но это занимает время и требует экспертизы. Автоматическая проверка позволяет за 60 секунд получить объективную оценку соответствия:

  1. Введите адрес сайта в форму ниже
  2. Система проанализирует политику, формы, cookie, SSL и трекеры
  3. Вы получите score соответствия из 100 баллов
  4. В отчёте — конкретные нарушения и размеры штрафов

Проверьте свой сайт бесплатно

Автоматический аудит на соответствие 152-ФЗ. Результат за 60 секунд.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

Штрафы 152-ФЗ: полная таблица →Чек-лист соответствия →

Вопросы и ответы

Нужна ли политика конфиденциальности, если сайт собирает только email?

Да. Email — это персональные данные по ст. 3 152-ФЗ. Любой сайт, собирающий хотя бы одно поле с ПДн, обязан разместить политику конфиденциальности. Штраф за отсутствие — от 60 000 до 100 000 ₽ для юрлиц (ст. 13.11 ч.3 КоАП).

Распространяется ли 152-ФЗ на сайт с сервером за рубежом?

Да, если сайт обрабатывает данные граждан РФ — 152-ФЗ применяется независимо от расположения компании. При этом первичное хранение ПДн граждан РФ должно быть на серверах в России (ст. 18 ч.5). Нарушение локализации — штраф до 6 000 000 ₽.

Считается ли IP-адрес персональными данными по 152-ФЗ?

Роскомнадзор считает IP-адрес персональными данными, если он позволяет идентифицировать конкретного пользователя — прямо или в совокупности с другими данными (cookie, аккаунт). На практике динамический IP сам по себе не всегда ПДн, но в связке с cookie аналитики — да.

Как часто Роскомнадзор проверяет сайты?

Роскомнадзор проводит плановые проверки по графику (публикуется на сайте rkn.gov.ru) и внеплановые — по жалобам пользователей. С 2024 года число внеплановых проверок выросло. Жалобу может подать любой посетитель сайта через форму на сайте РКН.

Обязан ли ИП соблюдать 152-ФЗ?

Да. 152-ФЗ распространяется на любого оператора ПДн — юрлицо, ИП или физлицо. Если ИП ведёт сайт с формой заявки — он оператор персональных данных и обязан выполнять все требования закона, включая подачу уведомления в Роскомнадзор.

Источники и ссылки

Читайте также

Штрафы за нарушение 152-ФЗЧек-лист проверки сайтаСогласие на обработку ПДнПолитика конфиденциальности
Все статьи →

Данная статья носит информационный характер и не является юридической консультацией. Для получения юридически значимых заключений обратитесь к квалифицированному юристу в области защиты персональных данных.