Как привести сайт в соответствие 152-ФЗ: пошаговая инструкция

Обновлено: март 2026 · 15 мин чтения

Штрафы за нарушение 152-ФЗ в 2025–2026 годах выросли в разы — за обработку без согласия юрлицо заплатит до 500 000 ₽, а за утечку данных — до 3% годовой выручки. Привести сайт в порядок не так сложно, как кажется. Ниже — 6 конкретных шагов, после которых ваш сайт будет соответствовать закону.

Содержание

  1. Шаг 1. SSL-сертификат (HTTPS)
  2. Шаг 2. Политика конфиденциальности
  3. Шаг 3. Согласие на обработку ПДн в формах
  4. Шаг 4. Cookie-баннер
  5. Шаг 5. Внутренние документы
  6. Шаг 6. Уведомление в Роскомнадзор
  7. Бонус: чек-лист быстрой проверки

1SSL-сертификат (HTTPS)

Если ваш сайт собирает любые персональные данные — имя, email, телефон — передача этих данных по незашифрованному каналу (HTTP) нарушает требования к защите ПДн (ст. 19 152-ФЗ). Роскомнадзор при проверке обращает на это внимание в первую очередь.

Зачем нужен HTTPS

  • Шифрует данные между браузером пользователя и сервером — никто не может перехватить ФИО, email или номер карты
  • Браузеры Chrome и Firefox помечают HTTP-сайты как «Небезопасные» — это отпугивает посетителей
  • Google и Яндекс учитывают HTTPS как фактор ранжирования
  • Без SSL невозможна интеграция с платёжными системами и большинством API

Как проверить

Откройте свой сайт в браузере. Если в адресной строке отображается замок — SSL установлен. Кликните на замок, чтобы проверить срок действия сертификата. Если вместо замка показывается предупреждение «Не защищено» — сертификата нет или он просрочен.

Как установить бесплатно

Используйте Let’s Encrypt — бесплатный центр сертификации. Большинство хостингов (Timeweb, Beget, REG.RU) позволяют установить Let’s Encrypt в один клик через панель управления. Сертификат обновляется автоматически каждые 90 дней.

Совет: После установки SSL настройте автоматический редирект с HTTP на HTTPS. Иначе сайт будет доступен по обоим протоколам, и часть данных по-прежнему будет передаваться без шифрования.

2Политика конфиденциальности

Политика конфиденциальности — обязательный документ для любого сайта, который собирает персональные данные (ст. 18.1 152-ФЗ). Отсутствие политики — штраф от 60 000 до 100 000 ₽ для юрлиц (ст. 13.11 ч.3 КоАП).

12 обязательных разделов

Наименование и контакты оператора
Правовые основания обработки
Цели обработки ПДн
Категории обрабатываемых данных
Способы обработки
Сроки хранения данных
Порядок уничтожения ПДн
Права субъекта ПДн
Порядок отзыва согласия
Трансграничная передача данных
Сведения о третьих лицах
Меры защиты персональных данных

Где разместить

Ссылка на политику конфиденциальности должна быть доступна с каждой страницы сайта. Стандартное место — футер. Также ссылку нужно разместить рядом с каждой формой сбора данных и в тексте cookie-баннера.

Совет: Не копируйте политику с чужого сайта — она должна содержать ваши реальные реквизиты и описывать именно те данные, которые собираете вы. Шаблонная политика — это лучше, чем ничего, но Роскомнадзор может посчитать её формальной отпиской.

Хотите проверить формы и согласия на вашем сайте?

Автоматическая проверка найдёт формы без согласия за 60 секунд.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

4Cookie-баннер

Почти каждый сайт использует cookie-файлы — для аналитики, авторизации, рекламы. Если cookie позволяют идентифицировать пользователя (а аналитические и рекламные cookie это делают), они считаются персональными данными по 152-ФЗ. Это значит, что для их сбора нужно согласие.

Когда нужен cookie-баннер

  • Сайт использует Яндекс.Метрику, Google Analytics или любую другую систему аналитики
  • Установлены рекламные пиксели (VK Pixel, Meta Pixel, myTarget)
  • Используются A/B-тесты, персонализация контента
  • Работает авторизация через cookie

Если сайт не использует никаких трекеров и cookie нужны только для технической работы (например, сессия авторизации) — баннер формально не обязателен. Но на практике таких сайтов почти нет.

Что должен содержать баннер

Текст уведомления

Короткий текст о том, что сайт использует cookie, и зачем. Со ссылкой на политику конфиденциальности или отдельную cookie-политику.

3 кнопки (рекомендуется)

«Принять все» — пользователь соглашается на все cookie. «Настроить» — можно выбрать категории (аналитические, рекламные, технические). «Отклонить» — отказ от необязательных cookie.

Блокировка до согласия

В идеале аналитические и рекламные скрипты не должны загружаться до тех пор, пока пользователь не нажал «Принять». Это сложнее в реализации, но именно такой подход считается правильным.

Учтите: Баннер, который невозможно закрыть без нажатия «Принять» (без кнопки «Отклонить»), считается принуждением к согласию. Роскомнадзор может расценить это как нарушение принципа добровольности согласия.

5Внутренние документы

Помимо публичных документов на сайте (политика конфиденциальности), 152-ФЗ требует от оператора наличия внутренних организационных документов (ст. 18.1). Эти документы проверяет Роскомнадзор при выездной проверке.

Приказ о назначении ответственного

Организация обязана назначить лицо, ответственное за организацию обработки персональных данных (ст. 22.1 152-ФЗ). Это оформляется приказом руководителя.

Ответственный следит за соблюдением закона, обучает сотрудников, контролирует уничтожение данных, взаимодействует с Роскомнадзором.

Положение об обработке ПДн

Внутренний документ, описывающий: какие данные собирает компания, на каких основаниях, кто имеет доступ, как данные защищены, порядок уничтожения.

По сути это расширенная версия политики конфиденциальности, но для внутреннего использования. Должен быть утверждён руководителем и доведён до сотрудников.

Журнал учёта инцидентов

С 2025 года оператор обязан уведомить Роскомнадзор об инциденте с ПДн в течение 24 часов. Вести журнал — лучший способ зафиксировать, что вы среагировали вовремя.

В журнале фиксируют: дату инцидента, описание, масштаб (количество субъектов), принятые меры, дату уведомления РКН.

Для ИП и малого бизнеса: Эти документы нужны не только крупным компаниям. Если вы ИП с сайтом, который собирает заявки — вы оператор ПДн и обязаны иметь минимальный комплект документов. Шаблоны можно найти на сайте Роскомнадзора (pd.rkn.gov.ru).

6Уведомление в Роскомнадзор

Оператор персональных данных обязан уведомить Роскомнадзор о начале обработки ПДн (ст. 22 152-ФЗ). Подать уведомление нужно до начала обработки данных. Штраф за неподачу — до 300 000 ₽ для юрлиц.

Как подать уведомление

1

Через портал pd.rkn.gov.ru — зайдите на портал Роскомнадзора, выберите «Подать уведомление об обработке ПДн», заполните форму. Потребуется электронная подпись (ЭЦП) или подтверждение через Госуслуги.

2

Через Госуслуги — авторизуйтесь как юрлицо или ИП, найдите услугу «Уведомление об обработке персональных данных», заполните и отправьте. Подтверждение — через ЭЦП юрлица.

3

На бумаге — заполните бумажную форму и отправьте в территориальное управление РКН по месту регистрации. Самый долгий способ, но единственный вариант, если нет ЭЦП.

Что указать в уведомлении

  • Наименование и адрес оператора
  • Цели обработки ПДн (конкретные, не «любые законные»)
  • Категории субъектов (клиенты, сотрудники, посетители сайта)
  • Категории данных (ФИО, email, телефон, cookie и т.д.)
  • Правовое основание обработки (согласие, договор, закон)
  • Меры защиты данных
  • Дата начала обработки
  • Сведения о трансграничной передаче (если есть)

Исключения

Уведомление не нужно, если вы обрабатываете данные только своих сотрудников в рамках трудового законодательства. Но если у вас есть сайт с формами — вы обрабатываете данные посетителей, и уведомление обязательно.

Штрафы за неподачу: С 2025 года штраф за неуведомление Роскомнадзора об обработке ПДн составляет до 300 000 ₽ для юрлиц и до 500 ₽ для граждан. После подачи уведомления оператор включается в Реестр операторов ПДн — проверить наличие можно на pd.rkn.gov.ru.

Бонус: чек-лист быстрой проверки

Пройдитесь по этим 10 пунктам, чтобы быстро оценить состояние вашего сайта. Если хотя бы на 2–3 пункта ответ «нет» — есть риск получить штраф при проверке Роскомнадзора.

1Сайт работает по HTTPS (SSL-сертификат установлен и действителен)
2На сайте размещена политика конфиденциальности с актуальными данными оператора
3Ссылка на политику доступна с каждой страницы сайта (обычно в футере)
4Во всех формах сбора данных есть чекбокс согласия на обработку ПДн
5Чекбокс согласия НЕ отмечен по умолчанию
6На сайте есть cookie-баннер с возможностью отклонить cookie
7Назначен ответственный за обработку персональных данных (есть приказ)
8Подано уведомление в Роскомнадзор об обработке ПДн
9Нет сторонних трекеров, передающих данные за рубеж без согласия пользователя
10Серверы с персональными данными расположены на территории РФ
Подробный чек-лист с интерактивными чекбоксами — на странице Чек-лист проверки сайта на 152-ФЗ.

Не хотите проверять вручную?

AI-аудит покажет все нарушения за 60 секунд. Проверка бесплатна, без регистрации.

Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности и условиями использования

← 152-ФЗ простым языкомШтрафы за нарушение 152-ФЗ →Чек-лист соответствия →

Статья носит информационный характер и не является юридической консультацией. Для получения юридически значимых заключений обратитесь к квалифицированному юристу в области защиты персональных данных. Информация актуальна на март 2026 года.