152-ФЗ простым языком: что нужно знать владельцу сайта

Обновлено: март 2026 · 12 мин чтения

Федеральный закон № 152-ФЗ «О персональных данных» — главный закон России, регулирующий сбор и обработку персональных данных. Если ваш сайт собирает хотя бы email или имя пользователя — закон касается вас. Разбираем, что конкретно нужно сделать, чтобы не получить штраф.

1. Что такое персональные данные

Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку (субъекту ПД). По закону это не только паспортные данные, но и:

ФИО — имя, фамилия, отчество
Email — адрес электронной почты
Телефон — номер мобильного или стационарного
IP-адрес — да, Роскомнадзор считает его персональными данными
Cookie-файлы — если позволяют идентифицировать пользователя
Фотографии — изображение лица
Геолокация — данные о местоположении

Важно: Даже если вы собираете только email через форму подписки — вы уже оператор персональных данных по 152-ФЗ.

2. Кого касается 152-ФЗ

Закон касается любого, кто собирает и обрабатывает персональные данные граждан РФ:

Интернет-магазины (формы заказа, регистрация)
SaaS-сервисы (регистрация пользователей)
Корпоративные сайты (формы обратной связи, заявки)
Лендинги (формы захвата лидов)
Блоги с комментариями (если требуется email)
Мобильные приложения

Не имеет значения, где физически расположен сервер. Если вы обрабатываете данные граждан РФ — 152-ФЗ применяется. При этом данные граждан РФ должны храниться на территории России (ст. 18 ч.5 152-ФЗ).

3. 7 главных требований 152-ФЗ для сайта

1Политика конфиденциальности

Обязательный документ на сайте (ст. 18.1 152-ФЗ). Должен содержать: наименование оператора, цели обработки, перечень данных, сроки хранения, права субъекта, способы отзыва согласия. Ссылка на политику должна быть доступна с каждой страницы.

2Согласие на обработку ПД

Каждая форма, собирающая данные, должна содержать чекбокс согласия на обработку персональных данных. Чекбокс не должен быть предустановлен (отмечен по умолчанию). Рядом — ссылка на политику конфиденциальности.

3Cookie-баннер

Если сайт использует cookie-файлы (а используют почти все) — необходимо уведомить пользователя и получить согласие до начала сбора данных. Особенно если используются аналитические и рекламные cookie.

4SSL-сертификат (HTTPS)

Передача персональных данных по незашифрованному каналу (HTTP) нарушает требования к защите ПД. Сайт обязан использовать HTTPS с действующим SSL-сертификатом.

5Локализация данных

Персональные данные граждан РФ должны храниться на серверах, расположенных в России (ст. 18 ч.5). Использование зарубежных CDN и хостингов для хранения ПД может быть нарушением.

6Контроль сторонних трекеров

Google Analytics, Meta Pixel, и другие зарубежные скрипты собирают данные пользователей и передают на серверы за рубежом. Использование таких трекеров без явного согласия пользователя — нарушение.

7Уведомление Роскомнадзора

Оператор обязан подать уведомление в Роскомнадзор о начале обработки персональных данных (ст. 22 152-ФЗ). Это можно сделать через портал pd.rkn.gov.ru. Исключение — обработка данных только сотрудников.

Хотите узнать, соответствует ли ваш сайт 152-ФЗ?

Бесплатная автоматическая проверка за 60 секунд. Без регистрации.

4. Штрафы за нарушение 152-ФЗ (КоАП 13.11)

Штрафы за нарушение закона о персональных данных регулируются статьёй 13.11 КоАП РФ. В 2025 году штрафы были существенно увеличены. Суммы для юридических лиц:

Нарушение	Статья	Штраф (юрлицо)
Обработка ПД без согласия субъекта	13.11 ч.2	150 000 – 500 000 ₽
Отсутствие политики конфиденциальности	13.11 ч.3	60 000 – 100 000 ₽
Нарушение требований к защите ПД	13.11 ч.5	80 000 – 200 000 ₽
Нарушение локализации данных	13.11 ч.8	1 000 000 – 6 000 000 ₽
Утечка персональных данных	13.11 ч.11-12	до 15 000 000 ₽
Повторное нарушение	13.11	штраф x2 – x3

Внимание: С 2025 года за массовые утечки персональных данных введены оборотные штрафы — до 3% от годовой выручки компании. Также обсуждается введение уголовной ответственности за незаконную обработку ПД.

5. Изменения 2025–2026 года

Оборотные штрафы за утечки — до 3% годовой выручки компании за массовую утечку данных. Минимальный штраф для юрлиц — 15 млн рублей.

Увеличение штрафов по ст. 13.11 — штрафы за обработку без согласия выросли в 2–3 раза по сравнению с 2023 годом.

Ужесточение требований к уведомлению об утечках — оператор обязан уведомить Роскомнадзор об инциденте в течение 24 часов, а субъектов ПД — в течение 72 часов.

Усиление контроля за трансграничной передачей — передача данных за рубеж требует отдельного согласия и уведомления РКН. Запрещена передача в «недружественные» юрисдикции без исключений.

6. Что проверяет Роскомнадзор

Роскомнадзор проводит как плановые, так и внеплановые проверки. При проверке сайта инспекторы обращают внимание на:

Наличие и содержание политики конфиденциальности

Формы сбора данных и наличие чекбоксов согласия

Cookie-баннер и порядок получения согласия

SSL-сертификат и защита передачи данных

Сторонние трекеры и скрипты аналитики

Локализация хранения данных (серверы в РФ)

Уведомление РКН об обработке ПД

Порядок уничтожения данных по запросу

7. Как проверить свой сайт на соответствие 152-ФЗ

Вы можете проверить сайт вручную по чек-листу выше, но это занимает время и требует экспертизы. Автоматическая проверка позволяет за 60 секунд получить объективную оценку соответствия:

Введите адрес сайта в форму ниже
Система проанализирует политику, формы, cookie, SSL и трекеры
Вы получите score соответствия из 100 баллов
В отчёте — конкретные нарушения и размеры штрафов

Проверьте свой сайт бесплатно

Автоматический аудит на соответствие 152-ФЗ. Результат за 60 секунд.

Штрафы 152-ФЗ: полная таблица →Чек-лист соответствия →

Данная статья носит информационный характер и не является юридической консультацией. Для получения юридически значимых заключений обратитесь к квалифицированному юристу в области защиты персональных данных.