Вам пришло письмо от РКН — и вы не знаете, с чего начать. Или вы только открыли сайт и хотите сразу сделать всё правильно. В обоих случаях эта статья даст конкретные ответы: что обязательно, что грозит за нарушение и что нужно исправить прямо сейчас.
Ключевые понятия: что такое 152-ФЗ и кто такой оператор ПДн
152-ФЗ — это Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ. Он устанавливает правила сбора, хранения и защиты любых сведений, по которым можно идентифицировать человека: имя, телефон, email, адрес, IP-адрес и т. д.
Персональные данные (ПДн) — любая информация, прямо или косвенно относящаяся к конкретному физическому лицу.
Оператор персональных данных — организация, ИП или физическое лицо, которое собирает и обрабатывает ПДн. Если на вашем сайте есть хотя бы одна форма — с именем, телефоном или email — вы оператор. Неважно, есть у вас CRM или нет.
РКН (Роскомнадзор) — регулятор в сфере персональных данных. Именно РКН проводит проверки, выдаёт предписания и инициирует блокировки.
Главный вывод: если ваш сайт собирает любые данные о пользователях — вы оператор ПДн и обязаны выполнять требования 152-ФЗ. Это не зависит от размера бизнеса и наличия юридического отдела.
Что говорит 152-ФЗ о хранении персональных данных: коротко о главном
Закон устанавливает два ключевых технических требования для операторов, работающих через сайты: локализация хранения и защита при передаче.
Статья 18.1 вводит общую обязанность принимать меры для выполнения требований закона. Статья 19 конкретизирует: оператор обязан применять технические меры защиты ПДн, включая шифрование и ограничение доступа.
Статья 18, часть 5 — ключевая норма о локализации: при сборе персональных данных граждан РФ оператор обязан хранить их в базах данных, физически расположенных на территории России.
Кто попадает под 152-ФЗ
Если на вашем сайте есть форма обратной связи, регистрация, оформление заказа или подписка — вы оператор. Ряд случаев освобождён от обязанности подавать уведомление в РКН (ст. 22 152-ФЗ), но от исполнения остальных требований это не освобождает.
Что изменилось в 2022–2024 годах
Поправки существенно ужесточили ответственность:
- Штрафы выросли кратно — для юрлиц по отдельным составам до 15–18 млн рублей
- Появилась обязанность уведомлять РКН об утечках: о факте — в течение 24 часов, о результатах расследования — в течение 72 часов (ст. 21 152-ФЗ в редакции Федерального закона от 14.07.2022 № 266-ФЗ; уточните актуальные сроки в первоисточнике)
- С 2023 года действуют оборотные штрафы за повторные нарушения (актуальный размер — в КоАП РФ)
- Расширен перечень случаев, когда уведомление РКН обязательно до начала обработки
Требование №1 — серверы в России: обязательно или нет
Что такое локализация персональных данных
Локализация — это требование хранить первичную запись персональных данных граждан РФ в базе данных, физически расположенной на серверах в России. Закон говорит именно о физическом местонахождении оборудования, а не о юрисдикции компании-хостера.
Что это значит на практике: пользователь заполнил форму на вашем сайте — его данные должны сначала записаться в БД на российском сервере. После этого данные можно передавать за рубеж, но только при соблюдении условий трансграничной передачи (ст. 12 152-ФЗ). Если ваша единственная база данных стоит на европейском хостинге — это нарушение.
Какие серверы подходят по 152-ФЗ
Требование выполняется, если ваши данные хранятся:
- В физическом дата-центре на территории РФ
- У российского облачного провайдера с ЦОД в России: Яндекс Cloud, VK Cloud, Selectel, Timeweb, REG.RU, Beget, Hosting.ru и аналогичные (актуальность уточните у конкретного провайдера)
- На собственном сервере в российском дата-центре
Критерий один — физическое местонахождение оборудования на территории РФ, подтверждённое документально.
Зарубежный хостинг: когда это нарушение
Если вы используете AWS, Google Cloud, Hetzner, DigitalOcean или любой другой зарубежный хостинг для хранения первичной базы с ПДн российских граждан — это прямое нарушение ст. 18, ч. 5 152-ФЗ.
Закон допускает параллельное хранение (и в России, и за рубежом), но первичная запись всё равно должна идти в российскую базу.
Ситуации, когда зарубежный хостинг условно допустим:
- Вы не работаете с гражданами РФ и не имеете российской аудитории
- Данные передаются за рубеж после первичной записи в РФ с соблюдением требований трансграничной передачи (уведомление РКН, оценка уровня защиты в стране-получателе согласно ст. 12 152-ФЗ)
CDN и зарубежные зеркала
Рабочая схема:
- Origin-сервер (где хранится база данных) — обязательно в РФ
- CDN-узлы за рубежом — допустимы, если раздают только статику (картинки, CSS, JS) и не хранят ПДн
- Кэширование персональных данных на зарубежных CDN-узлах — нарушение
Cloudflare, Fastly, Akamai использовать можно, но все запросы к формам и API с данными пользователей должны идти напрямую до origin в РФ без кэширования на зарубежных узлах.
Ответственность за нарушение требований 152-ФЗ по локализации
| Нарушение | Статья КоАП | Штраф для юрлица |
|---|---|---|
| Хранение ПДн за рубежом (первичная база) | ст. 13.11, ч. 8 | до 6 млн руб. (первичное), до 18 млн руб. (повторное) |
| Неуведомление РКН | ст. 13.11, ч. 1 | до 300 тыс. руб. |
| Обработка ПДн без согласия | ст. 13.11, ч. 2 | до 150 тыс. руб. |
| Нарушение требований к защите | ст. 13.11, ч. 5 | до 500 тыс. руб. |
Важно: размеры штрафов по ст. 13.11 КоАП РФ неоднократно менялись. Приведённые значения актуальны по состоянию на дату публикации — уточните действующие санкции в КоАП РФ в актуальной редакции.
Помимо штрафов — включение в реестр нарушителей РКН и блокировка ресурса. Прецедент с LinkedIn (заблокирован с 2016 года) показывает, что регулятор готов блокировать крупные платформы. Для малого бизнеса реальнее угроза штрафа и репутационный ущерб, но блокировку исключать нельзя.
Требование №2 — HTTPS: обязателен ли по 152-ФЗ
HTTPS и 152-ФЗ: прямая норма или косвенное требование
В тексте 152-ФЗ слова «HTTPS» нет. Но закон описывает требование через функцию, а не через конкретную технологию.
Статья 19, часть 2 152-ФЗ обязывает оператора применять меры, обеспечивающие «предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа».
Приказ ФСТЭК России № 21 расшифровывает технические меры. В их составе — «защита информационной системы и её компонентов при передаче информации по каналам связи» (мера ЗИС.3). Передача ПДн через форму по HTTP — это передача в открытом виде, то есть прямое невыполнение этой меры.
Вывод: HTTPS — это техническая реализация законодательного требования о защите при передаче. Форма сбора ПДн, работающая по HTTP, при проверке РКН или ФСТЭК будет квалифицирована как нарушение мер защиты.
Какой SSL/TLS-сертификат нужен по 152-ФЗ
Закон не требует конкретного центра сертификации. Требование одно — соединение должно быть защищённым.
Let's Encrypt в 2025 году — работает для российских коммерческих сайтов. Браузеры (Chrome, Firefox, Safari) ему доверяют. Для государственных информационных систем и ряда регулируемых отраслей требуются сертификаты от российских УЦ, аккредитованных Минцифры (уточните требования в применимых нормативных актах).
Российские удостоверяющие центры, аккредитованные Минцифры России (актуальный перечень — на сайте mindigital.gov.ru), нужны в двух случаях:
- Вы эксплуатируете государственную информационную систему (ГИС)
- Ваши пользователи работают в браузерах, доверяющих только российским корневым хранилищам
Для коммерческого сайта, интернет-магазина или CRM российский УЦ — выбор, не обязанность.
Самоподписанный сертификат — технически создаёт шифрование, но браузеры показывают предупреждение «небезопасно». Для публичного сайта неприемлемо.
TLS 1.2 или TLS 1.3
Что точно недопустимо:
- SSL 3.0 — устаревший, уязвимый
- TLS 1.0 и TLS 1.1 — отключены в современных браузерах, считаются небезопасными
Минимально допустимо — TLS 1.2. Рекомендуется — TLS 1.3 с поддержкой TLS 1.2 для совместимости.
Когда нужно ГОСТ-шифрование
ГОСТ-шифрование обязательно для:
- Государственных информационных систем (ГИС)
- Информационных систем ПДн уровня УЗ-1 и УЗ-2 при необходимости использования сертифицированных СКЗИ (Приказ ФСБ России от 10.07.2014 № 378)
- Систем, работающих со сведениями, составляющими государственную тайну
Для типового коммерческого сайта или интернет-магазина (обычно УЗ-3 или УЗ-4) ГОСТ-шифрование, как правило, не требуется.
HTTPS недостаточно — что ещё нужно
HTTPS защищает только передачу данных. После того как данные попали на сервер, необходимы дополнительные меры:
- Шифрование базы данных — для УЗ-1 и УЗ-2 обязательно, для УЗ-3/УЗ-4 рекомендуется
- Разграничение прав доступа — администратор БД, разработчик и менеджер не должны иметь одинаковый доступ к таблицам с ПДн
- Логирование — кто, когда и что делал с персональными данными
- Резервное копирование с шифрованием резервных копий
- Защита от атак — SQLi, XSS и другие векторы, ведущие к утечке ПДн
Требование №3 — как подтвердить геолокацию сервера
Что принимает РКН как доказательство
РКН при проверке запрашивает документы, подтверждающие, что база данных находится в России. Достаточный пакет:
- Договор с российским хостинг-провайдером — с указанием юридического адреса провайдера и адреса дата-центра
- Приложение к договору или письмо от хостера с адресом ЦОД, где размещены ваши серверы
- Счета и акты на оказание услуг — косвенное подтверждение действующего договора
Практический совет: запросите у хостера письмо на фирменном бланке с адресом дата-центра. Большинство российских провайдеров выдают такие письма по запросу — иногда это встроено в процедуру получения документов для РКН.
Технические способы проверки геолокации сервера
IP-геолокация — не доказательство. Российский IP-адрес означает, что диапазон адресов зарегистрирован в России, но сервер физически может стоять где угодно.
Для самопроверки перед аудитом:
- Сервисы ipinfo.io или 2ip.ru — для ориентировочного понимания
- Traceroute до вашего сервера — маршрут пакетов даёт подсказки о локации
- Документы от хостера — единственное надёжное подтверждение
Нужна ли сертификация дата-центра
Лицензия ФСТЭК России на ТЗКИ обязательна, если вы поручаете хостеру обработку ПДн по договору поручения (ст. 6, ч. 3 152-ФЗ) и хостер фактически выступает обработчиком. В этом случае хостер должен иметь соответствующую лицензию.
Если хостер просто предоставляет инфраструктуру (оборудование, сеть, электричество), а вы самостоятельно управляете сервером и данными — лицензия хостера не требуется.
Уровни защищённости (УЗ) и технические меры по 152-ФЗ
Приказ ФСТЭК России № 21 вводит четыре уровня защищённости. Уровень определяется в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 исходя из типа данных, категории субъектов, их числа и типа актуальных угроз.
| Уровень | Когда применяется | Примеры систем |
|---|---|---|
| УЗ-4 | Иные ПДн, до 100 000 субъектов, угрозы только 3-го типа | Типовой сайт, лендинг, небольшой интернет-магазин |
| УЗ-3 | Иные ПДн более 100 000 субъектов ИЛИ специальные/биометрические категории до 100 000 субъектов | Крупный интернет-магазин, CRM с медданными |
| УЗ-2 | Специальные категории более 100 000 субъектов, биометрия при угрозах 2-го типа | Медицинские сервисы, HR-системы с биометрией |
| УЗ-1 | Угрозы 1-го типа | Преимущественно государственные ИС |
Важно: определение уровня защищённости — не самостоятельный выбор оператора, а результат классификации системы по ПП № 1119.
Большинство коммерческих сайтов — УЗ-4. Интернет-магазин с базой более 100 000 клиентов или обработка специальных категорий ПДн — скорее всего УЗ-3.
Минимальный набор мер для УЗ-4
(Приказ ФСТЭК России № 21; уточните актуальный перечень в первоисточнике)
- Идентификация и аутентификация пользователей и администраторов
- Управление доступом (разграничение прав)
- Регистрация событий безопасности (логирование)
- Антивирусная защита
- Обнаружение вторжений (для систем, подключённых к интернету)
- Обеспечение целостности информации
- Защита среды виртуализации (если применяется)
- Физическая безопасность серверного помещения
- Защита информационной системы и её компонентов
Дополнительно для УЗ-3
- Применение средств защиты информации, прошедших оценку соответствия
- Усиленные требования к управлению конфигурациями
- Более строгие требования к анализу угроз
Практический чек-лист: технические требования 152-ФЗ для сайта [2025]
Минимальный набор для коммерческого сайта с обработкой ПДн (УЗ-4):
- Сервер физически расположен в России (хостинг с российским ЦОД)
- Есть договор с хостером с указанием адреса дата-центра
- HTTPS работает на всём сайте, HTTP перенаправляет на HTTPS
- SSL/TLS-сертификат актуален (не просрочен, выдан доверенным УЦ)
- Версии TLS 1.0 и TLS 1.1 отключены, работает TLS 1.2 или TLS 1.3
- Формы сбора ПДн доступны только по HTTPS
- Разграничены права доступа к базе данных
- Ведётся логирование событий (кто и когда обращался к данным)
- Опубликована политика конфиденциальности с актуальным содержанием
- Подано уведомление в РКН (если оператор обязан его подавать согласно ст. 22 152-ФЗ)
- Есть приказ о назначении ответственного за обработку ПДн
- Пользователи дают согласие на обработку ПДн (форма с чекбоксом или иным фиксируемым способом)
Дополнительно для УЗ-3:
- Оценка соответствия применяемых средств защиты информации
- Модель угроз и нарушителя
- Документально оформленные технические меры защиты
Частые ошибки и мифы о 152-ФЗ
«Мы на Cloudflare, но сервер origin в России — всё нормально» Частично верно. Если Cloudflare проксирует только статику — допустимо. Если через него проходят запросы к формам и API с ПДн — настройте правила так, чтобы эти запросы уходили напрямую на российский origin без кэширования.
«IP российский — значит данные в России» Нет. Российский IP говорит о регистрации диапазона адресов, но не о физическом местонахождении сервера. Сервер с российским IP может стоять в европейском ЦОД.
«Let's Encrypt запрещён в РФ» Нет. Let's Encrypt работает и выдаёт сертификаты российским сайтам. Он не включён в перечень аккредитованных УЦ Минцифры, что ограничивает его применение в государственных системах. Для коммерческих сайтов по состоянию на 2025 год — работает без ограничений.
«Для лендинга без CRM 152-ФЗ не нужен» Если на лендинге есть форма с именем и телефоном — вы оператор ПДн. Данные куда-то попадают: в почту, Google Sheets, базу. Если форма отправляет данные на серверы иностранного сервиса без соблюдения требований к трансграничной передаче — это нарушение.
«Политики конфиденциальности достаточно» Политика — это организационная мера, один документ из многих. Без технических мер (HTTPS, сервер в РФ, разграничение прав) политика не защищает ни данные пользователей, ни вас при проверке.
«ФСТЭК нас не касается, мы не госструктура» Приказ ФСТЭК № 21 распространяется на всех операторов, обрабатывающих ПДн в информационных системах, вне зависимости от организационно-правовой формы. Это касается любого бизнеса с базой клиентов.
Полезные документы и ссылки
- Текст 152-ФЗ в актуальной редакции — consultant.ru или pravo.gov.ru
- Постановление Правительства РФ от 01.11.2012 № 1119 — consultant.ru
- Приказ ФСТЭК России № 21 от 18.02.2013 (в актуальной редакции) — fstec.ru
- Приказ ФСБ России от 10.07.2014 № 378 — consultant.ru
- Форма уведомления РКН об операторе ПДн — pd.rkn.gov.ru
- Реестр операторов персональных данных — pd.rkn.gov.ru/operators-registry
- Реестр нарушителей (заблокированные ресурсы) — eais.rkn.gov.ru
- Разъяснения РКН по локализации — rkn.gov.ru (раздел «Персональные данные»)
- Перечень аккредитованных УЦ Минцифры России — mindigital.gov.ru
Часто задаваемые вопросы
Обязателен ли HTTPS по 152-ФЗ?
Прямого слова «HTTPS» в законе нет, но статья 19 152-ФЗ требует технических мер защиты при передаче данных. HTTPS — это реализация этого требования. Форма сбора ПДн, работающая по HTTP, при проверке может быть квалифицирована как нарушение мер защиты.
Можно ли хранить данные на AWS или Google Cloud?
Нельзя, если это первичная база данных с ПДн российских граждан. Размещение в зарубежных регионах AWS, Google Cloud и аналогичных провайдеров — нарушение ст. 18, ч. 5 152-ФЗ. Используйте российских провайдеров с ЦОД в РФ.
Что грозит за нарушение требований к серверам?
По состоянию на дату публикации: штраф до 6 млн рублей за первичное нарушение, до 18 млн рублей за повторное (ст. 13.11, ч. 8 КоАП РФ). Плюс возможная блокировка ресурса по решению суда. Актуальные размеры санкций уточните в КоАП РФ.
Достаточно ли бесплатного SSL от Let's Encrypt?
Для коммерческого сайта — да. Let's Encrypt создаёт полноценное TLS-соединение, браузеры ему доверяют. Если вы работаете с государственными информационными системами или в регулируемых отраслях — уточните требования к УЦ в применимых нормативных актах.
Нужно ли шифрование базы данных для обычного интернет-магазина?
Для УЗ-4 (типовой интернет-магазин) обязательного требования о шифровании БД Приказом ФСТЭК № 21 не установлено, однако шифрование рекомендуется как дополнительная мера. Для УЗ-3 и выше — обязательно. В любом случае резервные копии БД должны быть защищены от несанкционированного доступа.
Итог
Технические требования 152-ФЗ для сайта сводятся к трём обязательным вещам: сервер в России с документальным подтверждением, HTTPS на всём сайте с актуальным сертификатом, разграничение доступа и логирование на стороне сервера. Это минимум для УЗ-4 — он закрывает большинство коммерческих сайтов. Политика конфиденциальности и согласие пользователей — это организационная часть. При проверке РКН или ФСТЭК в первую очередь смотрят на технические меры.
Не уверены, всё ли в порядке на вашем сайте? Проверьте его бесплатно на ЧистомСайте — сервис автоматически проверит HTTPS, настройки сервера, сертификат и выдаст конкретный список того, что нужно исправить.