Персональные данные на сайте: что к ним относится, что требует закон и как не получить штраф
С 30 мая 2025 года штрафы за утечку персональных данных выросли до 15 000 000 ₽ для юридических лиц. И это не только про крупные корпорации: под действие 152-ФЗ попадает любой сайт с формой обратной связи, полем «ваш email» или разделом «наша команда» с фотографиями сотрудников.
Большинство владельцев сайтов не знают, где проходит граница — что уже является персональными данными, а что ещё нет. Из-за этого нарушают закон неосознанно. В этой статье — точное определение, полный список с примерами, разбор пограничных случаев (фото, IP, cookie) и чек-лист для самопроверки.
Что такое персональные данные — определение по закону
Статья 3 Федерального закона № 152-ФЗ «О персональных данных» даёт определение: «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу». Три ключевых слова:
- «Любая информация» — закон не даёт закрытого перечня. Это принципиально: нельзя сказать «у нас только телефон, это не ПД».
- «Физическое лицо» — данные организаций (юрлиц) персональными не считаются.
- «Прямо или косвенно» — один факт может не идентифицировать человека, но в связке с другими — уже да. Имя «Иван» — не ПД. «Иван Петров, г. Москва, тел. 8-999-123-45-67» — персональные данные.
Виды персональных данных: три категории
| Категория | Что включает | Режим защиты |
|---|---|---|
| Общие (основные) | ФИО, дата рождения, адрес, телефон, email, ИНН, СНИЛС, паспортные данные, место работы, должность | Стандартный |
| Специальные | Здоровье, диагнозы, национальность, политические взгляды, религиозные убеждения, судимости, сексуальная жизнь | Усиленный (ст. 10 152-ФЗ) |
| Биометрические | Фотографии при использовании для идентификации, отпечатки пальцев, сетчатка, голос, ДНК | Усиленный (ст. 11 152-ФЗ) |
Пограничные случаи — что является ПД неочевидно
IP-адрес
Сам по себе IP-адрес по российскому праву не является персональными данными однозначно. Однако в связке с аккаунтом пользователя или историей его действий — становится ими. Роскомнадзор придерживается расширительного толкования. Практический вывод: если сайт сохраняет IP и привязывает к профилю пользователя — включите IP в политику конфиденциальности.
Cookie-файлы
Cookie сами по себе — не ПД. Но если через них отслеживается конкретный авторизованный пользователь, де-факто это обработка персональных данных. Требование: уведомить пользователя (cookie-баннер) и упомянуть cookie в политике конфиденциальности.
Фото сотрудников на сайте
Фотография сотрудника на странице «Команда» — персональные данные (общая категория, изображение физического лица). Для размещения нужно письменное согласие каждого сотрудника. После увольнения — удалить или обновить. Без согласия — нарушение, даже если фото сделано на рабочем месте.
Отзывы и комментарии пользователей
Отзыв с именем и фото — персональные данные. Публикация без согласия может нарушать закон. Решение: добавить в форму отзыва чекбокс «Я согласен на публикацию отзыва и обработку ПД».
Что обязан разместить сайт, собирающий персональные данные
Политика конфиденциальности
Обязательный документ по ст. 18.1 152-ФЗ. Должен быть доступен с каждой страницы сайта. Обязательные разделы:
| Пункт политики | Типичная ошибка |
|---|---|
| Наименование и контакты оператора | Указывают название без ИНН и адреса |
| Цели обработки персональных данных | Пишут «улучшение сервиса» без конкретики |
| Перечень собираемых данных | Не упоминают cookie и IP |
| Передача третьим лицам | Не указывают аналитические сервисы (Google, Яндекс) |
| Срок хранения данных | Не указывают вообще |
| Порядок отзыва согласия | Нет инструкции для пользователя |
Согласие на обработку персональных данных
Требования ст. 9 152-ФЗ: согласие должно быть конкретным, информированным и сознательным. Предустановленная галочка «Согласен» — прямое нарушение. В каждой форме сбора данных: незаполненный чекбокс + ссылка на политику конфиденциальности.
Уведомление Роскомнадзора
С мая 2022 года уведомлять РКН необходимо до начала обработки персональных данных. Санкция за отсутствие уведомления — до 300 000 рублей для юридических лиц.
Штрафы за нарушения 152-ФЗ в 2025–2026 году
| Нарушение | Физлицо | Юридическое лицо |
|---|---|---|
| Обработка ПД без согласия | до 300 000 ₽ | до 700 000 ₽ |
| Отсутствие политики конфиденциальности | до 60 000 ₽ | до 100 000 ₽ |
| Неуведомление РКН | до 5 000 ₽ | до 300 000 ₽ |
| Утечка ПД (до 1 000 субъектов) | до 400 000 ₽ | до 4 000 000 ₽ |
| Утечка ПД (свыше 100 000 субъектов) | до 800 000 ₽ | до 15 000 000 ₽ |
| Повторные нарушения | до 2 000 000 ₽ | до 18 000 000 ₽ |
Источник: поправки к КоАП РФ, вступившие в силу 30 мая 2025 года.
Чек-лист соответствия сайта требованиям 152-ФЗ
Выполнено: 0/12
- ✓Документы: Политика конфиденциальности опубликована и доступна с каждой страницы сайта
- ✓Документы: Политика содержит все обязательные разделы: оператор, цели, перечень данных, сроки, третьи лица
- ✓Документы: Направлено уведомление в Роскомнадзор
- ✓Формы: Все формы содержат незаполненный чекбокс согласия (не предустановленный)
- ✓Формы: Чекбокс ссылается на политику конфиденциальности
- ✓Формы: Хранятся записи о выданных согласиях
- ✓Технические меры: Сайт работает по HTTPS (замок в адресной строке)
- ✓Технические меры: Доступ к базе данных с ПД ограничен и задокументирован
- ✓Технические меры: Назначен ответственный за обработку персональных данных
- ✓Контент: Фото сотрудников размещены с их письменного согласия
- ✓Контент: Отзывы с именами пользователей — с согласия авторов
- ✓Контент: Данные несовершеннолетних (школы, кружки) — только с согласия родителей
Персональные данные — это не только паспорт и СНИЛС. Любая форма, любое фото в разделе «Команда», любой счётчик аналитики с авторизованными пользователями — всё это сфера 152-ФЗ. Начните с технической проверки: убедитесь, что HTTPS работает, формы защищены, а сторонние скрипты не собирают данные незаметно.
Проверьте технические уязвимости вашего сайта
scanbase.ru сканирует сайт на наличие незащищённых форм, сторонних трекеров и проблем с HTTPS — за несколько минут
Запустить проверку →Частые вопросы
Зависит от вида адреса. Email вида ivanov@company.ru — персональные данные, поскольку позволяет идентифицировать человека. Обезличенный info@company.ru — нет. На практике Роскомнадзор рекомендует считать любой личный email персональными данными и обращаться с ним соответственно.
Да. Любой сбор персональных данных, включая номер телефона в единственном поле, обязывает разместить политику конфиденциальности, получить согласие пользователя и уведомить Роскомнадзор. Размер формы не влияет на требования закона.
Да, это персональные данные (изображение физического лица). Для их размещения необходимо письменное согласие каждого сотрудника. После увольнения сотрудника его данные должны быть удалены или обновлены в разумный срок.
По российскому законодательству однозначного ответа нет. Сам по себе IP-адрес не идентифицирует личность. Однако если он привязан к аккаунту пользователя или используется в связке с другими данными — становится персональными данными. Роскомнадзор склоняется к расширительному толкованию: лучше указывать IP в политике конфиденциальности.
Принципиально: данные несовершеннолетних (до 18 лет) обрабатываются только с письменного согласия родителя или законного представителя. Согласия самого ребёнка недостаточно. Это повышенная ответственность — нарушения в этой сфере трактуются строже.
С 2022 года — да. Большинство исключений из обязанности уведомления были отменены. Сбор email-адресов для рассылки является обработкой персональных данных и требует предварительного уведомления через официальный портал РКН.
Эксперт по соответствию сайтов 152-ФЗ. Пишет о практике защиты персональных данных, требованиях Роскомнадзора и технической стороне закона.