Персональные данные на сайте: полный чек-лист соответствия ФЗ‑152 в 2026 году
- Любой сайт с формой, аналитикой или cookies — оператор персональных данных по ФЗ-152
- С 2025 года штрафы выросли в 10-20 раз: до 6 млн ₽ за зарубежные сервисы, до 500 млн ₽ за утечку
- 83% проверенных сайтов имели нарушения — РКН проверяет 1 000+ сайтов ежедневно с помощью ИИ
- Ниже — чек-лист из 37 пунктов для самостоятельной проверки
1. Кого это касается
Короткий ответ — всех, у кого есть сайт.
ФЗ-152 «О персональных данных» распространяется на любого, кто обрабатывает персональные данные — от крупных корпораций до ИП и самозанятых. Вы становитесь оператором персональных данных, если ваш сайт:
- Содержит форму обратной связи (имя + телефон = уже персональные данные)
- Использует системы аналитики (Яндекс.Метрика, любой счётчик)
- Устанавливает cookie-файлы (а они есть на 99% сайтов)
- Загружает контент с внешних CDN (Google Fonts, виджеты)
«Часто встречаются заблуждения: если данных немного, если они "нечувствительные" — значит, закон не про нас. Это не так.»
— b-152.ru
Даже если на сайте нет ни одной формы, но установлена Яндекс.Метрика — вы собираете IP-адреса и cookies. Это персональные данные, и закон уже распространяется на вас.
2. Что изменилось в 2025-2026
2025 год стал переломным для защиты персональных данных в России:
| Дата | Что изменилось |
|---|---|
| 11.12.2024 | Вступила в силу ст. 272.1 УК РФ — уголовная ответственность за незаконный оборот ПД (до 10 лет) |
| 30.05.2025 | Новые штрафы — увеличение в 10-20 раз. Оборотные штрафы за утечки (до 3% выручки) |
| 01.07.2025 | Запрет первичного сбора ПД на зарубежных серверах — фактический запрет Google Analytics, reCAPTCHA, Google Fonts CDN |
| 01.09.2025 | Согласие — отдельный документ. Нельзя включать в оферту, договор, пользовательское соглашение |
| 2026 | РКН анонсировал массовые проверки с полномасштабным применением всех новых норм |
Главное: Роскомнадзор перешёл от реактивной модели (реагировал на жалобы) к проактивной — теперь ИИ-система мониторит сайты 24/7, а 84% нарушений выявляется автоматически.
3. Политика конфиденциальности: 16 обязательных разделов
Статья 18.1 ФЗ-152 обязывает каждого оператора опубликовать на сайте документ, определяющий политику обработки персональных данных. Как правильно составить этот документ — в статье «Политика обработки персональных данных для сайта».
Это не шаблон из интернета. Роскомнадзор проверяет не «наличие бумажки», а соответствие документа реальным процессам обработки данных.
Что обязательно должно быть в политике
| # | Раздел | Что содержит | Статья |
|---|---|---|---|
| 1 | Общие положения | Терминология, область применения | Ст. 3 |
| 2 | Наименование оператора | Полное название, адрес, ИНН, контакты | Ст. 18.1 |
| 3 | Цели обработки | Конкретные цели для каждой категории | Ст. 5 ч.2 |
| 4 | Категории ПД | ФИО, телефон, email, IP, cookies | Ст. 18.1 |
| 5 | Категории субъектов | Клиенты, сотрудники, посетители | Ст. 18.1 |
| 6 | Правовые основания | Согласие, договор, законный интерес | Ст. 6 |
| 7 | Способы обработки | Сбор, хранение, передача, уничтожение | Ст. 3 |
| 8 | Сроки хранения | Конкретные сроки для каждой категории | Ст. 5 ч.7 |
| 9 | Порядок уничтожения | Как и когда данные удаляются | Ст. 21 |
| 10 | Права субъекта | Доступ, исправление, удаление, отзыв | Ст. 14, 15 |
| 11 | Меры безопасности | Технические и организационные меры | Ст. 19 |
| 12 | Трансграничная передача | Страны, организации, основания | Ст. 12 |
| 13 | Передача третьим лицам | Хостинг, аналитика, CRM, рассылки | Ст. 6 ч.3 |
| 14 | Cookies | Какие, зачем, как отказаться | Разъяснения РКН |
| 15 | Ответственный за ПД | ФИО и контакты DPO | Ст. 22.1 |
| 16 | Порядок разрешения споров | Куда обращаться: РКН, суд | Ст. 17 |
Как должна быть размещена
- Доступна без регистрации и авторизации
- Ссылка рядом с каждой формой сбора данных
- Ссылка в футере каждой страницы
- Оформлена как отдельная HTML-страница (не PDF, не попап)
- Указана дата последнего обновления
Типичная ошибка: формулировка целей вроде «для улучшения сервиса». РКН требует конкретики: «для обработки заявки на обратный звонок», «для отправки email-рассылки».
4. Формы и согласия на обработку данных
Обязательные элементы каждой формы
- Чекбокс согласия — неактивен по умолчанию (предзаполненный = нарушение)
- Ссылка на политику конфиденциальности — рядом с формой, а не только в футере
- Указание цели сбора — конкретная формулировка
- Передача по HTTPS — данные обязаны передаваться по защищённому каналу
Новое с 1 сентября 2025: согласие — отдельный документ
Ключевое изменение (ФЗ от 24.06.2025 № 156-ФЗ): согласие на обработку ПД теперь должно быть отдельным документом. Нельзя встраивать его в пользовательское соглашение, оферту, договор или политику конфиденциальности. Подробнее об оформлении и образец — в статье «Согласие на обработку персональных данных».
«Согласие, не оформленное отдельным документом, приравнивается к его отсутствию. Штраф: 300 000 – 700 000 руб. для юрлиц.»
— ГАРАНТ
5. Cookie-баннер: требования закона
Cookies, позволяющие идентифицировать пользователя, признаны персональными данными. Это подтверждено позицией РКН и решением Таганского районного суда (дело № 12-559/2024).
«К персональным данным относятся не сами файлы cookie, а их содержимое.»
— Право.ру
| Требование | Пояснение |
|---|---|
| Появляется при первом посещении | До загрузки маркетинговых cookies |
| Виден без прокрутки | Пользователь должен увидеть сразу |
| Кнопка «Принять» | Активное согласие, а не прокрутка |
| Возможность отказаться | От маркетинговых cookies |
| Ссылка на политику cookies | Пользователь должен знать, что собирается |
| Маркетинговые cookies не грузятся до согласия | Иначе баннер — формальность |
6. Запрещённые зарубежные сервисы
С 1 июля 2025 года запрещён первичный сбор ПД россиян на серверах за пределами РФ:
| Категория | Запрещено | Альтернатива |
|---|---|---|
| Аналитика | Google Analytics, GTM, Meta Pixel, Hotjar | Яндекс.Метрика, Matomo |
| CAPTCHA | Google reCAPTCHA | Яндекс SmartCaptcha |
| Шрифты | Google Fonts (CDN) | Скачать и подключить локально |
| Карты | Google Maps embed | Яндекс.Карты, 2ГИС |
| Чаты | Intercom, Zendesk, Tawk.to | JivoSite, LiveTex |
| Формы | Typeform, JotForm, Calendly | Яндекс.Формы, Marquiz |
| Рассылки | Mailchimp, SendGrid | Unisender, DashaMail |
Штраф: 1 – 6 млн ₽ (повторно: 6 – 18 млн ₽).
Почему GA нельзя «легализовать»: Архитектура Google Analytics предполагает первичный сбор данных на серверах Google в США. Уведомление РКН о трансграничной передаче не снимает этого ограничения.
7. Реестр операторов персональных данных
Все организации, ИП и самозанятые, обрабатывающие ПД, обязаны уведомить РКН до начала обработки (ст. 22 ФЗ-152). Подробная инструкция — в статье Реестр операторов ПДн: как подать уведомление.
На май 2025 года в реестре — 987 378 операторов.
Как зарегистрироваться
- Зайти на pd.rkn.gov.ru
- Заполнить форму уведомления (цели, категории ПД, меры безопасности)
- Подписать электронной подписью или отправить бумажно
- РКН вносит в реестр в течение 30 дней
Штраф за отсутствие уведомления: 100 000 – 300 000 ₽
8. Техническая безопасность
SSL/HTTPS
Ст. 19 ФЗ-152 обязывает защищать данные от несанкционированного доступа. Передача по HTTP — прямое нарушение. Все формы должны работать по HTTPS, сертификат — валидным. Подробнее — в статье HTTPS и SSL-сертификат для сайта.
Локализация данных
С 1 июля 2025 года хостинг для баз данных с ПД — только на территории РФ. Штраф: 1 – 6 млн ₽ (повторно: 6 – 18 млн ₽).
Сроки уничтожения данных
| Основание | Срок |
|---|---|
| Достижение цели обработки | 30 дней |
| Отзыв согласия | 30 дней |
| Выявление незаконной обработки | 10 рабочих дней |
| Запрос субъекта | 10 рабочих дней |
9. Полный чек-лист: 37 пунктов
А. Документы и регистрация
- Компания зарегистрирована в реестре операторов ПД
- Сведения в реестре актуальны (цели, категории данных)
- Если есть трансграничная передача — подано уведомление в РКН
Б. Политика конфиденциальности
- Политика опубликована на сайте
- Доступна без регистрации
- Ссылка в футере каждой страницы
- Ссылка рядом с каждой формой
- Содержит все 16 обязательных разделов
- Указаны конкретные цели обработки
- Указаны сроки хранения данных
- Перечислены третьи лица — получатели данных
- Указаны страны трансграничной передачи
- Указана дата последнего обновления
- Оформлена как отдельная HTML-страница
В. Формы и согласия
- Каждая форма имеет чекбокс согласия
- Чекбокс не предзаполнен
- Текст содержит ссылку на политику
- Указана конкретная цель сбора
- Согласие — отдельный документ (с 01.09.2025)
- Формы не отправляют данные на зарубежные URL
- Нет скрытых полей
Г. Cookie-баннер
- Баннер появляется при первом посещении
- Виден без прокрутки
- Есть кнопка «Принять»
- Есть возможность отказаться
- Есть ссылка на политику cookies
- Маркетинговые cookies не грузятся до согласия
- Нет автоматического согласия
Д. Зарубежные сервисы
- Нет Google Analytics / GTM / Meta Pixel
- Нет Google reCAPTCHA
- Нет Google Fonts с CDN
- Нет зарубежных чатов
- Нет зарубежных форм / рассылок
Е. Техническая безопасность
- Сайт работает по HTTPS
- SSL-сертификат валиден
- Нет mixed content
- Хостинг на территории РФ
Не хотите проверять 37 пунктов вручную?
Наш сканер проверит ключевые технические пункты за 30 секунд и покажет, что нужно исправить вручную в первую очередь.
Проверить сайт — 490 ₽10. Штрафы: сколько стоит несоблюдение
| Нарушение | Юрлица / ИП |
|---|---|
| Обработка без законного основания | 150 000 – 300 000 ₽ |
| Обработка без согласия | 300 000 – 700 000 ₽ |
| Не опубликована политика ПД | 30 000 – 60 000 ₽ |
| Зарубежные серверы (локализация) | 1 – 6 млн ₽ |
| Повторное нарушение локализации | 6 – 18 млн ₽ |
| Не уведомлён РКН | 100 000 – 300 000 ₽ |
| Утечка (1 000 – 10 000 субъектов) | 3 – 5 млн ₽ |
| Утечка (100 000+ субъектов) | 10 – 15 млн ₽ |
| Повторная утечка (оборотный) | 1 – 3% выручки (макс. 500 млн ₽) |
Важно: с 30 мая 2025 года отменена скидка 50% за быструю оплату штрафов по ст. 13.11 КоАП.
Подробная таблица — в статье «Штрафы за персональные данные с 30 мая 2025».
11. Как РКН находит нарушения
С 2025 года Роскомнадзор использует автоматическую ИИ-систему мониторинга сайтов:
- HTML-код и JavaScript — все внешние подключения
- Формы и поля ввода — наличие согласий
- Трекеры и пиксели (GA, Meta Pixel)
- Cookie-баннер — есть ли, работает ли
- WHOIS и IP-геолокация — где хостится сайт
- Сверка с реестром операторов ПД
Цифры: ~78 000 сайтов проверено за 2024 – первую половину 2025. 83% имели нарушения. 1 000+ сайтов проверяется ежедневно.
«Роскомнадзор фиксирует нарушения не в ходе визитов, а с помощью автоматических систем анализа. Предписания могут быть выставлены без предварительных уведомлений.»
— Клерк
FAQ
Да. Любой, кто обрабатывает персональные данные, обязан уведомить РКН — вне зависимости от формы бизнеса. Регистрация бесплатна на pd.rkn.gov.ru.
Нет. С 1 июля 2025 года запрещён первичный сбор ПД на зарубежных серверах. Архитектура GA не позволяет сбор данных на серверах в РФ. Используйте Яндекс.Метрику.
Да, если они позволяют идентифицировать пользователя (через IP, поведение, device ID). Это подтверждено решением Таганского районного суда (дело № 12-559/2024).
Скорее всего да. Если на сайте стоит счётчик аналитики, загружаются шрифты с CDN или установлены cookies — вы уже обрабатываете персональные данные.
Начните с автоматической проверки — сканер Reova покажет все нарушения за 30 секунд. Затем пройдите по чек-листу из 37 пунктов выше.