Как проверить сайт на соответствие 152-ФЗ: пошаговый чек-лист из 8 пунктов с примерами
Владелец сайта с обычной формой заявки может получить штраф до 500 000 ₽ — даже не зная об этом. С 2022 по 2024 год требования 152-ФЗ существенно ужесточились: Роскомнадзор активизировал проверки, суммы штрафов выросли кратно, добавились новые обязательные документы.
В этой статье — конкретный чек-лист из 8 шагов, которые можно пройти самостоятельно за один рабочий день. Без юридического образования. Руководство актуально для владельцев интернет-магазинов, лендингов, корпоративных сайтов, а также маркетологов и разработчиков.
Что такое 152-ФЗ и кого он касается
Федеральный закон № 152-ФЗ регулирует обработку персональных данных физических лиц в России. Любой сайт, который собирает имя, email, телефон или отслеживает пользователей через cookie, — уже оператор персональных данных и обязан соблюдать требования закона.
Кто считается оператором персональных данных
Согласно статье 3 ФЗ-152, оператор — это лицо, которое организует и/или осуществляет обработку персональных данных. Вы им становитесь, как только на сайте появляется любой из следующих элементов:
- форма заявки или обратной связи с полями «Имя», «Телефон», «E-mail»;
- поле подписки на рассылку;
- онлайн-чат (даже без отправки — само поле ввода);
- форма регистрации личного кабинета;
- аналитические счётчики и рекламные пиксели, собирающие IP и поведенческие данные.
Актуальные размеры штрафов в 2025 году
После поправок к статье 13.11 КоАП РФ, вступивших в силу в 2022–2024 годах, суммы существенно выросли:
| Нарушение | Штраф для ИП | Штраф для юрлица |
|---|---|---|
| Обработка ПДн без согласия субъекта | до 100 000 ₽ | до 300 000 ₽ |
| Отсутствие политики обработки ПДн | до 30 000 ₽ | до 60 000 ₽ |
| Хранение данных граждан РФ за рубежом | до 100 000 ₽ | до 500 000 ₽ |
| Повторное нарушение | до 500 000 ₽ | до 18 000 000 ₽ |
8 шагов аудита сайта на соответствие 152-ФЗ
Проведите полную инвентаризацию всех точек сбора данных. Большинство владельцев не знают, что данные собираются не только через видимые формы: сторонние виджеты, пиксели и счётчики делают это автоматически в фоне.
Данные на сайте делятся на три категории:
- Прямые — имя, телефон, email в формах.
- Косвенные — IP, cookie-идентификаторы, история кликов через счётчики аналитики.
- Специальные — данные о здоровье, биометрия, данные детей. Требуют усиленного режима защиты.
Для обнаружения скрытых трекеров и пикселей, подключённых через Tag Manager, используйте автоматический сканер — например, scanbase.ru выявляет все внешние скрипты на страницах за одну проверку.
Политика — обязательный публичный документ. Он должен быть доступен с любой страницы сайта (ссылка в футере) и содержать:
- перечень категорий собираемых данных;
- цели обработки каждой категории;
- сроки хранения данных;
- условия передачи данных третьим лицам;
- права субъекта: доступ, исправление, удаление, отзыв согласия;
- контакты оператора и дату последней актуализации.
Типичные ошибки: скопированный шаблон с чужим ИНН, документ 2019–2021 года без учёта поправок, PDF без текстового слоя, битая ссылка в футере на страницу 404.
Закон требует явного, конкретного и задокументированного согласия субъекта до момента передачи данных. Требования к корректному чек-боксу:
- Чек-бокс не должен быть предварительно отмечен — согласие это действие пользователя.
- Рядом — кликабельная ссылка на политику конфиденциальности.
- Согласие на ПДн — отдельный чек-бокс, не совмещённый с принятием оферты.
- В тексте должна быть указана цель: «для обработки заявки», а не расплывчато «в маркетинговых целях».
| Тип формы | Рекомендуемая формулировка |
|---|---|
| Форма заявки | «Нажимая “Отправить”, я соглашаюсь на обработку ПДн согласно Политике конфиденциальности в целях обработки обращения» |
| Подписка на рассылку | «Подписываясь, даю согласие на получение материалов и обработку email согласно Политике. Отписаться можно в любой момент» |
| Онлайн-чат | Баннер при первом открытии: «Чат использует ПДн для ответа на запрос. Подробнее» |
| Форма регистрации | Два отдельных чек-бокса: принятие оферты и согласие на обработку ПДн |
Cookie аналитических и рекламных систем квалифицируются РКН как персональные данные. Баннер обязателен, если сайт использует любые нетехнические cookie.
Корректный баннер должен:
- информировать о типах cookie: технические, аналитические, рекламные;
- предоставлять кнопку «Отклонить» — не только «Принять все»;
- содержать ссылку на политику cookie или политику конфиденциальности;
- появляться до установки нетехнических cookie, а не после взаимодействия.
Проверить вручную: откройте сайт в режиме инкогнито → DevTools (F12) → Application → Cookies. Всё, что появилось до взаимодействия с баннером — нарушение.
Статья 18.1 ФЗ-152 обязывает хранить персональные данные россиян на серверах, физически расположенных в РФ. Это одно из самых частых «невидимых» оснований для штрафа.
Как определить расположение сервера:
- Whois / геолокация IP — введите домен в онлайн-сервис типа
2ip.ru, проверьте поле «Страна». - DNS-записи — A-запись укажет IP веб-сервера, MX-запись — почтового.
- Хостинг-договор — запросите у провайдера документальное подтверждение адреса датацентра.
| Ситуация | Статус | Комментарий |
|---|---|---|
| База данных на российском сервере | ✅ | Базовое требование выполнено |
| Иностранный сервис аналитики | ⚠️ | Допустимо при первичной записи данных в РФ и согласии на трансграничную передачу |
| CRM или БД на зарубежном сервере | ❌ | Прямое нарушение ст. 18.1; штраф до 500 000 ₽ |
| Резервные копии за рубежом | ⚠️ | «Серая зона» — РКН склонен трактовать как нарушение |
Согласно статье 22 ФЗ-152, большинство операторов обязаны уведомить Роскомнадзор об обработке данных. Исключения минимальны: разовый договор с физлицом, кадровые данные сотрудников, общедоступные данные. Всё остальное — уведомление обязательно.
Как проверить или подать уведомление:
- Перейдите на pd.rkn.gov.ru → «Реестр операторов персональных данных».
- Введите ИНН или наименование организации.
- Если записи нет — заполните форму уведомления на том же портале. Укажите: реквизиты оператора, категории данных, цели обработки, меры защиты, сведения о трансграничной передаче.
Публичная политика — лишь часть требований. РКН при проверке запрашивает внутренний пакет документов в первую очередь.
Обязательный пакет:
- Приказ о назначении ответственного за обработку ПДн (ФИО, должность).
- Положение об обработке персональных данных — кто имеет доступ и на каких условиях.
- Журнал учёта обращений субъектов ПДн.
- Документы об инструктаже сотрудников с доступом к данным.
- Договоры-поручения с подрядчиками (CRM, рассыльщики, колл-центры).
После ручной проверки документов — технический прогон. Автоматические инструменты находят то, что сложно обнаружить вручную: скрытые трекеры, небезопасные формы, скрипты из цепочек подгрузки.
Что проверяет автосканер:
- сторонние скрипты и пиксели — полный список внешних ресурсов по доменам;
- устанавливаемые cookie — тип (технический / аналитический / рекламный) и домен-установщик;
- формы на HTTP вместо HTTPS — риск перехвата данных;
- параметры URL с персональными данными (например, email в GET-запросе).
Запустите проверку на scanbase.ru — полный отчёт о внешних трекерах и технических уязвимостях готов меньше чем за минуту.
Итоговый чек-лист аудита
Отмечайте выполненные пункты — список интерактивный.
Выполнено: 0/8
- ✓Инвентаризация всех форм сбора данных проведена (включая скрытые трекеры)
- ✓Политика конфиденциальности актуальна, доступна с любой страницы, ссылка в футере работает
- ✓Чек-боксы согласия во всех формах незаполнены по умолчанию и содержат ссылку на политику
- ✓Cookie-баннер установлен с возможностью отказа, появляется до установки нетехнических cookie
- ✓Основная база данных с ПДн хранится на сервере в РФ
- ✓Уведомление в РКН подано, запись в реестре актуальна
- ✓Внутренние документы оформлены: приказ, положение, журнал, инструктажи
- ✓Ответственный назначен, его контакты опубликованы на сайте
Часто задаваемые вопросы
Если сайт не собирает никаких данных — ни через формы, ни через аналитику, ни через cookie-трекеры — он формально не является точкой обработки ПДн. На практике большинство сайтов используют хотя бы один счётчик аналитики, который уже квалифицируется как сбор данных. Рекомендуем проверить наличие скрытых скриптов перед тем, как делать выводы.
Использование иностранных аналитических сервисов прямо не запрещено. Однако данные должны первично записываться и храниться на российских серверах. Передача за рубеж возможна только при согласии пользователя с явным указанием факта трансграничной передачи.
Инспектор выдаёт предписание об устранении с установленным сроком. При невыполнении — штраф по статье 13.11 КоАП: от 60 000 до 500 000 ₽ для юрлиц, до 18 000 000 ₽ за повторное нарушение. В ряде случаев возможна блокировка сайта.
Для базового технического аудита — нет. Самостоятельная проверка по чек-листу позволяет устранить большинство типовых нарушений. Юрист нужен при обработке специальных категорий данных (медицина, дети), трансграничной передаче и составлении нестандартных договоров поручения.
При каждом существенном изменении сайта: новая форма, новый сторонний сервис, редизайн с изменением структуры страниц. Плановый аудит — не реже раза в год, поскольку требования законодательства регулярно обновляются.
Обязательно, если сайт устанавливает нетехнические cookie (аналитические, рекламные, функциональные). Технические cookie, необходимые для работы сайта, согласия не требуют. РКН прямо указывал на обязательность информирования пользователя.
Зайдите на портал pd.rkn.gov.ru в раздел «Реестр операторов персональных данных» и выполните поиск по ИНН или наименованию организации. Поиск бесплатный, занимает меньше минуты.
Вопрос не урегулирован прямо. Основная база должна быть в РФ. Хранение резервных копий за рубежом — «серая зона»: РКН в ряде разъяснений трактовал это как нарушение. Безопаснее хранить все копии в России.
Проверьте ваш сайт на соответствие 152-ФЗ
Автоматическое сканирование выявит все внешние трекеры и технические уязвимости за одну минуту
Запустить проверку →