Получили письмо от РКН — или просто хотите не получать его никогда? Штрафы за нарушения 152-ФЗ о персональных данных с марта 2025 года выросли кратно. Раньше небольшой бизнес мог отделаться предупреждением или символическим штрафом. Сейчас за отсутствие локализации данных юрлицу грозит до 6 миллионов рублей, а за повторное нарушение — ещё больше.
При этом большинство владельцев сайтов до сих пор не знают, что именно проверяет Роскомнадзор и с чего начать. Ниже — полный разбор всех 11 блоков проверки, сводный чек-лист из 25 пунктов и таблица штрафов. Без воды, с конкретными шагами.
Ключевые понятия: что такое 152-ФЗ и кто такой оператор ПДн
Прежде чем разбирать требования — два определения, без которых остальное не имеет смысла.
152-ФЗ — это Федеральный закон «О персональных данных». Он устанавливает правила сбора, хранения и обработки любой информации, по которой можно идентифицировать человека: имя, телефон, email, IP-адрес, cookie-идентификатор. Закон принят в 2006 году, но активно применяется в отношении сайтов именно сейчас — в 2024–2025 годах Роскомнадзор существенно усилил контроль и ввёл автоматизированный мониторинг.
Оператор персональных данных — это любая организация или ИП, которая собирает, хранит или использует персональные данные людей. Если на вашем сайте есть хотя бы одна форма, куда пользователь вводит имя или телефон — вы оператор ПДн. Это не зависит от размера бизнеса, формы собственности или количества сотрудников.
Роскомнадзор (РКН) — федеральный регулятор, который контролирует соблюдение 152-ФЗ. Именно РКН ведёт реестр операторов, проводит проверки и выносит предписания.
Главный вывод: если на вашем сайте есть хоть одна форма ввода данных — вы оператор персональных данных по 152-ФЗ и обязаны выполнять все требования закона, независимо от размера бизнеса. Незнание закона не освобождает от штрафа до 6 000 000 рублей.
Кого касаются требования 152-ФЗ и РКН
Короткий ответ: любого, у кого на сайте есть хоть одна форма ввода данных. Форма обратной связи, поле «Ваш email», корзина в интернет-магазине, виджет обратного звонка — всё это означает, что вы собираете персональные данные и являетесь оператором ПДн.
ИП и ООО в этом смысле равны. Закон не делает исключений для формы собственности или размера бизнеса. ИП-одиночка с лендингом и формой записи несёт те же обязанности, что и ООО с отделом маркетинга.
Единственное исключение — сайт-визитка без каких-либо форм: только адрес, телефон и описание услуг, никаких полей для заполнения. В этом случае обязанность размещать политику конфиденциальности формально не возникает. Но как только появляется форма «перезвоните мне» — вы в периметре закона.
Что проверяет Роскомнадзор на сайте — 11 блоков
1. Политика конфиденциальности
Это основной документ, который смотрят в первую очередь. Политика должна быть опубликована в открытом доступе и содержать:
- перечень персональных данных, которые вы собираете;
- цели и правовые основания обработки;
- сроки хранения данных;
- порядок передачи третьим лицам (аналитические сервисы, CRM, колл-центры);
- права субъектов персональных данных;
- контактные данные оператора для обращений.
Где размещать: ссылка на политику должна быть в футере каждой страницы и рядом с каждой формой сбора данных. Типичная ошибка — политика есть, но ссылки нигде нет или она ведёт на 404.
Важно: скачанный шаблон без адаптации — не защита. Если в политике написано «мы не передаём данные третьим лицам», а на сайте стоит Яндекс.Метрика — это противоречие, которое РКН видит сразу. Проверяется содержание, а не факт наличия документа.
2. Согласие на обработку персональных данных
Каждая форма, через которую пользователь вводит данные, должна содержать механизм получения согласия. Требования к содержанию согласия установлены ч. 4 ст. 9 152-ФЗ.
Что это означает на практике:
- чекбокс должен быть пустым по умолчанию — пользователь ставит галочку сам;
- рядом с чекбоксом должна быть ссылка на политику конфиденциальности;
- текст согласия должен описывать, на что именно пользователь соглашается.
Предустановленная галочка «Я согласен с обработкой персональных данных» — прямое нарушение. Это одна из самых частых ошибок, которую фиксирует РКН при мониторинге.
3. Cookie-уведомление
Здесь много путаницы: большинство статей описывают требования GDPR — европейского регламента. По российскому законодательству ситуация другая.
Прямой нормы, обязывающей показывать cookie-баннер в формате GDPR, в 152-ФЗ нет. Однако РКН разъяснил: если cookie-файлы позволяют идентифицировать пользователя, они могут признаваться персональными данными — а значит, пользователь должен быть уведомлён. По состоянию на начало 2025 года специального нормативного акта, регулирующего исключительно cookie, в российском праве нет — уточните актуальные разъяснения РКН в первоисточнике.
Что делать: разместить уведомление об использовании cookie с указанием их типов (технические, аналитические, маркетинговые) и ссылкой на политику. Для маркетинговых cookie — отдельное согласие. Технические cookie, необходимые для работы сайта, согласия не требуют.
4. Уведомление РКН об операторе персональных данных
До начала обработки персональных данных оператор обязан уведомить Роскомнадзор и попасть в реестр операторов ПДн. Уведомление подаётся через портал РКН.
Исключения прописаны в ч. 2 ст. 22 152-ФЗ. На практике большинство сайтов малого бизнеса, использующих CRM, email-рассылки или аналитику, под исключения не попадают.
Уведомление подаётся один раз, но при изменении параметров обработки (новые цели, новые категории данных) нужно подавать изменения. Штраф за неисполнение обязанности по уведомлению — ст. 13.11 КоАП РФ (конкретные суммы уточните в действующей редакции КоАП).
5. Локализация данных (242-ФЗ)
242-ФЗ обязывает хранить и первично обрабатывать персональные данные российских граждан на серверах, физически расположенных в России. Требование действует с 2015 года, но именно в 2024–2025 годах РКН начал активно его проверять.
Что это значит для малого бизнеса:
- база клиентов в CRM должна храниться на российских серверах;
- если вы используете зарубежный хостинг или SaaS-сервис (Mailchimp, HubSpot) для хранения контактов российских пользователей — это нарушение;
- после первичной записи на российский сервер данные можно передавать за рубеж для обработки.
Штраф за нарушение локализации — до 100 000 рублей для ИП и до 6 000 000 рублей для юридических лиц (ч. 8 ст. 13.11 КоАП РФ). При повторном нарушении — до 18 000 000 рублей (ч. 9 ст. 13.11 КоАП РФ). Актуальные размеры санкций уточняйте в первоисточнике.
6. Реквизиты компании на сайте
На сайте должны быть:
- полное наименование юрлица или ФИО ИП;
- ОГРН или ОГРНИП;
- ИНН;
- юридический адрес;
- контактные данные (телефон, email).
Для интернет-магазинов дополнительно: порядок возврата товара, способы оплаты, сроки доставки. Требования к информированию потребителей в дистанционной торговле установлены ст. 26.1 Закона РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» и Постановлением Правительства РФ от 27.09.2007 № 612. РКН при проверке интернет-магазина смотрит на реквизиты в связке с проверкой ПДн.
7. Пользовательское соглашение или оферта
Пользовательское соглашение и политика конфиденциальности — разные документы. Политика описывает, что вы делаете с данными. Соглашение регулирует правила использования сайта.
Публичная оферта обязательна, если вы продаёте товары или услуги через сайт. Она должна содержать все существенные условия: что продаётся, по какой цене, на каких условиях. Акцепт фиксируется нажатием кнопки «Заказать».
Для сайтов без продаж пользовательское соглашение необязательно, но рекомендуется — оно защищает от претензий по авторским правам и ограничивает ответственность.
8. Технические меры защиты данных
152-ФЗ (ст. 19) требует принять технические и организационные меры для защиты персональных данных. Конкретный состав мер зависит от уровня защищённости по Постановлению Правительства РФ от 01.11.2012 № 1119. Для сайта это означает:
HTTPS — передача данных по незащищённому соединению (HTTP) является нарушением. SSL-сертификат обязателен для любого сайта с формами.
Хранение данных форм — заявки не должны лежать в открытом доступе. Если сайт складывает их в CSV-файл по прямой ссылке — это серьёзная уязвимость.
Разграничение доступа сотрудников — не все сотрудники должны видеть всю базу клиентов. РКН может запросить подтверждение этой организационной меры при проверке.
9. Трансграничная передача персональных данных
С 1 марта 2023 года действует обновлённый порядок трансграничной передачи данных (ст. 12 152-ФЗ в редакции ФЗ от 14.07.2022 № 266-ФЗ). Перед передачей данных в иностранное государство оператор обязан уведомить РКН и дождаться истечения срока проверки (по состоянию на начало 2025 года — 10 рабочих дней; уточните актуальный срок).
Google Analytics (GA4) — использование с передачей данных на серверы Google в США формально является трансграничной передачей. Если в данных есть идентификаторы пользователей — требуется уведомление РКН. Многие компании перешли на Яндекс.Метрику: данные хранятся в России, уведомление о трансграничной передаче не требуется.
Facebook Pixel (Meta) — аналогичная ситуация, плюс дополнительные правовые риски, связанные со статусом Meta на территории РФ. Уточните актуальный правовой статус в первоисточнике.
Как оформить: уведомить РКН через личный кабинет оператора, получить подтверждение, дождаться истечения срока проверки.
10. Права субъектов персональных данных
По 152-ФЗ любой пользователь может запросить информацию о своих данных, потребовать их исправления или удаления. На сайте должен быть механизм для таких запросов.
Минимальный набор: контактный email для обращений по вопросам ПДн. Срок ответа на запрос об удалении данных — 30 дней (ст. 21 152-ФЗ). Срок предоставления информации о хранимых данных — 10 рабочих дней (ст. 14 152-ФЗ). Актуальные сроки уточните в тексте закона.
Отдельная форма на сайте для запросов — хорошая практика, но не обязательна. Главное — чтобы пользователь понимал, куда обращаться.
11. Актуальность документов
Политику конфиденциальности нужно обновлять при каждом изменении процессов обработки данных: подключили новую CRM, добавили форму подписки, начали использовать новый аналитический сервис. Дата последнего обновления должна быть указана в документе.
РКН при проверке сверяет содержание политики с реальными процессами. Политика 2019 года на сайте с современным маркетинговым стеком — красный флаг для инспектора.
Чек-лист соответствия 152-ФЗ: 25 пунктов для быстрой проверки сайта
| № | Что проверить | Статус |
|---|---|---|
| 1 | Политика конфиденциальности опубликована на сайте | ☐ |
| 2 | Ссылка на политику есть в футере каждой страницы | ☐ |
| 3 | Политика содержит перечень собираемых данных | ☐ |
| 4 | В политике указаны цели и сроки обработки | ☐ |
| 5 | В политике описан порядок передачи данных третьим лицам | ☐ |
| 6 | В политике указан контакт для обращений субъектов ПДн | ☐ |
| 7 | Дата последнего обновления политики актуальна | ☐ |
| 8 | Чекбокс согласия на всех формах пустой по умолчанию | ☐ |
| 9 | Рядом с чекбоксом есть ссылка на политику | ☐ |
| 10 | Текст согласия описывает конкретные действия с данными | ☐ |
| 11 | Cookie-уведомление размещено на сайте | ☐ |
| 12 | В уведомлении перечислены типы cookie | ☐ |
| 13 | Подано уведомление в РКН об операторе ПДн | ☐ |
| 14 | Данные оператора актуальны в реестре РКН | ☐ |
| 15 | Данные хранятся на серверах в России | ☐ |
| 16 | Использование зарубежных сервисов проверено на соответствие 242-ФЗ | ☐ |
| 17 | На сайте указаны полные реквизиты компании / ИП | ☐ |
| 18 | ОГРН/ОГРНИП и ИНН размещены в открытом доступе | ☐ |
| 19 | На сайте есть SSL-сертификат (HTTPS) | ☐ |
| 20 | Данные форм не хранятся в открытом доступе | ☐ |
| 21 | Трансграничная передача данных уведомлена в РКН (если применимо) | ☐ |
| 22 | Иностранные пиксели и аналитика проверены на правовой статус | ☐ |
| 23 | Пользователь может запросить удаление своих данных | ☐ |
| 24 | Контакт для обращений субъектов ПДн указан в политике | ☐ |
| 25 | Для интернет-магазина: опубликованы условия возврата и доставки | ☐ |
Штрафы РКН за нарушения 152-ФЗ — таблица по статьям КоАП
| Нарушение | Статья КоАП | Штраф для ИП | Штраф для юрлица |
|---|---|---|---|
| Нарушение порядка обработки ПДн (в т.ч. ненадлежащее содержание политики) | 13.11 ч.1 | до 10 000 руб. | до 30 000 руб. |
| Незаконная обработка ПДн (без согласия, лишние данные) | 13.11 ч.2 | до 20 000 руб. | до 75 000 руб. |
| Обработка без письменного согласия там, где оно обязательно | 13.11 ч.3 | до 40 000 руб. | до 150 000 руб. |
| Нарушение прав субъектов ПДн (отказ предоставить данные) | 13.11 ч.4 | до 15 000 руб. | до 45 000 руб. |
| Нарушение требований к локализации данных | 13.11 ч.8 | до 100 000 руб. | до 6 000 000 руб. |
| Повторное нарушение локализации | 13.11 ч.9 | до 500 000 руб. | до 18 000 000 руб. |
| Нарушение правил трансграничной передачи | 13.11 ч.1 | до 10 000 руб. | до 30 000 руб. |
Важно: суммы штрафов указаны по состоянию на начало 2025 года на основе редакции ст. 13.11 КоАП РФ. Размеры санкций неоднократно менялись — уточняйте актуальные значения в первоисточнике. За утечку персональных данных с марта 2025 года введены отдельные повышенные санкции (Федеральный закон от 30.11.2024 № 420-ФЗ).
Как РКН проводит проверки сайтов: три сценария
Плановые проверки включаются в ежегодный план, который публикуется на сайте Роскомнадзора. Малый бизнес попадает в него редко — но это не гарантия безопасности.
Внеплановые проверки по жалобам — самый частый сценарий для небольших компаний. Один недовольный клиент, который знает о своих правах, может инициировать проверку. Жалобу на сайт можно подать через портал РКН за 5 минут.
Автоматизированный мониторинг — относительно новый инструмент. РКН развивает систему роботизированного сканирования сайтов: есть ли политика, есть ли чекбокс, корректно ли работают формы. Малый бизнес попадает под такой мониторинг наравне с крупными компаниями — размер не имеет значения.
После выявления нарушения РКН направляет предписание. Если нарушение не устранено в срок — составляется протокол и назначается штраф. При повторных нарушениях дело передаётся в суд.
Пошаговый план приведения сайта в соответствие 152-ФЗ
Реально уложиться в один рабочий день, если делать по порядку.
Шаг 1 — Аудит. Пройдитесь по чек-листу выше. Отметьте, чего не хватает. Проверьте все формы: сколько их, какие данные собирают, куда уходят заявки.
Шаг 2 — Документы. Составьте или обновите политику конфиденциальности под ваш конкретный сайт. Добавьте чекбоксы согласия на все формы. Разместите ссылку на политику в футере.
Шаг 3 — Технические правки. Убедитесь, что работает HTTPS. Проверьте, где хранятся данные из форм. Добавьте cookie-уведомление.
Шаг 4 — Уведомление РКН. Зайдите на pd.rkn.gov.ru, заполните форму уведомления оператора ПДн. Потребуется электронная подпись или аккаунт на Госуслугах. Занимает 20–30 минут.
Шаг 5 — Регулярный мониторинг. Поставьте напоминание раз в квартал: проверить актуальность документов, убедиться, что процессы обработки данных не изменились, отслеживать изменения в законодательстве.
Частые ошибки малого бизнеса при выполнении требований РКН
❌ Скачали шаблон политики из интернета и не адаптировали ✅ Политика должна отражать реальные процессы вашего сайта: какие сервисы используете, куда передаёте данные, как долго храните.
❌ Поставили галочку согласия предустановленной ✅ Чекбокс всегда пустой. Пользователь ставит сам — это требование закона, а не рекомендация.
❌ Политика есть, но ссылки нигде нет ✅ Ссылка в футере на каждой странице и рядом с каждой формой.
❌ Данные клиентов хранятся в Google Sheets или Notion (серверы за рубежом) ✅ База клиентов — только на российских серверах. Переносите в российские CRM или сервисы с российской инфраструктурой.
❌ Используют Google Analytics без уведомления РКН о трансграничной передаче ✅ Либо уведомить РКН, либо перейти на Яндекс.Метрику — данные хранятся в России.
❌ Думают, что у них «просто сайт-визитка», хотя есть форма «Написать нам» ✅ Одна форма — уже оператор ПДн. Добавляйте политику и согласие.
❌ Не уведомили РКН, потому что «мы маленькие, нас не найдут» ✅ Автоматизированный мониторинг и жалобы пользователей не знают размера бизнеса.
Часто задаваемые вопросы
Нужна ли политика конфиденциальности, если у меня сайт-визитка без форм?
Формально нет — если пользователь не вводит никаких данных, обработки персональных данных не происходит. Но как только на сайте появляется любая форма ввода — политика становится обязательной. Проверьте: виджет обратного звонка, кнопка «Оставить заявку», форма подписки на новости — всё это формы сбора данных.
Можно ли использовать бесплатный шаблон политики конфиденциальности?
Шаблон как отправная точка — можно. Использовать без адаптации — нельзя. Если в политике написано одно, а на сайте происходит другое, это нарушение, даже если документ формально присутствует. РКН проверяет содержание, а не факт наличия файла. Убедитесь, что политика отражает все реально используемые сервисы: аналитику, CRM, колл-трекинг, рассылки.
Обязательно ли уведомлять РКН для ИП?
Да, если вы обрабатываете данные клиентов. Исключения из ч. 2 ст. 22 152-ФЗ для большинства ИП с сайтом не работают — они рассчитаны на очень узкие случаи (например, обработка только в рамках трудовых отношений без передачи третьим лицам). Если у вас есть CRM, email-рассылки или любая аналитика — исключение, скорее всего, не применимо.
Что будет, если не сделать ничего?
Три сценария: жалоба от пользователя → проверка → штраф; попадание под автоматизированный мониторинг → предписание → штраф при неисполнении; плановая проверка. Штрафы начинаются от 10 000 рублей для ИП и от 30 000 рублей для юрлиц за базовые нарушения. Нарушение локализации — уже от 100 000 до 6 000 000 рублей. При утечке данных — отдельные санкции по ФЗ от 30.11.2024 № 420-ФЗ.
Можно ли использовать Яндекс.Метрику без дополнительных требований по локализации?
Яндекс хранит данные в России, поэтому требование 242-ФЗ о локализации выполняется. Трансграничная передача данных при использовании только Яндекс.Метрики, как правило, не происходит — уведомление РКН о трансграничной передаче в таком случае не требуется. Актуальную инфраструктуру хранения уточняйте непосредственно у Яндекса, поскольку она может меняться.
Что делать прямо сейчас
Пройдитесь по чек-листу из 25 пунктов и честно отметьте текущее состояние. Большинство пунктов закрываются самостоятельно за несколько часов: разместить ссылку, убрать предустановленную галочку, установить SSL, составить актуальную политику конфиденциальности.
Сложнее с локализацией данных, уведомлением РКН и трансграничной передачей — здесь нужно понимать конкретную архитектуру вашего сайта и стек используемых сервисов.
Не знаете, с чего начать? Проверьте свой сайт бесплатно — сервис ЧистыйСайт автоматически проанализирует сайт по ключевым требованиям 152-ФЗ и покажет конкретный список нарушений с приоритетами исправления. Это займёт несколько минут и даст понимание реальных рисков, а не абстрактный список требований.