152-ФЗ о Персональных Данных: Полный Гайд для Бизнеса и Владельцев Сайтов

Получили письмо от Роскомнадзора? Увидели новость о штрафе за утечку данных? Или не уверены, как правильно оформить форму обратной связи на сайте?

По данным открытых материалов о правоприменительной практике и изменениях в законодательстве, с 30 мая 2025 г. административные штрафы за нарушения требований 152-ФЗ существенно возросли — компании могут получать многомиллионные штрафы за утечку персональных данных, а повторные нарушения в ряде случаев влекут оборотные штрафы в процентах от выручки. Это важно учитывать при организации обработки данных на сайте и в бизнес-процессах.

Важно: большинство нарушений можно предотвратить. Чтобы защитить бизнес, не обязательно быть юристом. В гайде мы разобрали, как соблюдать 152-ФЗ, какие документы нужны владельцам сайтов и как снизить риск претензий со стороны регулятора.

Что такое персональные данные и зачем нужен 152-ФЗ

Персональные данные — это не только имя и фамилия человека. Это любая информация, которая прямо или косвенно относится к конкретному человеку.

Определение персональных данных (ПДн)

Согласно статье 3 Федерального закона № 152-ФЗ, персональные данные (ПДн) — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу.

К персональным данным относятся, в частности:

• Базовые данные: ФИО, дата рождения, место рождения
• Контактные данные: номер телефона, email, адрес проживания
• Документы: серия и номер паспорта, ИНН, СНИЛС, водительское удостоверение
• Цифровые следы: IP-адрес, cookies, данные геолокации и история посещений сайта — если они позволяют идентифицировать пользователя
• Фото и видео: изображения, на которых можно идентифицировать человека
• Финансовые данные: номер банковской карты, размер зарплаты, кредитная история

Даже сбор имени и email через форму подписки считается обработкой персональных данных. В этом случае на вас распространяются требования 152-ФЗ.

Какой закон защищает персональные данные в России

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» является основным нормативным актом, регулирующим обработку персональных данных в России.

Закон был принят в 2006 году, вступил в силу 26 января 2007 года. С момента принятия закон неоднократно изменялся и дополнялся, последние существенные изменения были внесены в 2025 году.

Причины принятия закона

В начале 2000-х Россия активно развивала торговлю с Европой, где уже действовали строгие требования по защите данных. В рамках сближения с международными стандартами защиты данных Россия в 2005 году ратифицировала Конвенцию Совета Европы, а в 2006 году приняла собственный закон о персональных данных.

Цели и область действия 152-ФЗ

Закон устанавливает следующие цели:

• Защитить права граждан на неприкосновенность частной жизни и личную тайну
• Установить правила для тех, кто собирает и использует персональные данные
• Предотвратить утечки и незаконное использование личной информации

Закон применяется к:

• Коммерческим организациям (ООО, АО)
• Индивидуальным предпринимателям (ИП)
• Государственным и муниципальным органам
• Некоммерческим организациям
• Физическим лицам, которые обрабатывают данные в коммерческих целях

Закон не применяется, если вы:

• Ведёте личный дневник или храните контакты друзей для личных или семейных нужд
• Храните семейный фотоальбом
• Работаете с государственной тайной (там другие законы)

Кто обязан соблюдать закон о персональных данных

Возникает вопрос, распространяется ли закон на вашу деятельность? Для этого важно понять, кто такие операторы и субъекты персональных данных.

Кто такой оператор персональных данных

Оператор персональных данных — это организация или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку персональных данных.

Примеры операторов:

• Интернет-магазин собирает ФИО, телефон, адрес доставки клиентов
• Салон красоты ведет базу клиентов с телефонами для напоминаний о записи
• Блогер собирает email подписчиков через форму на сайте
• HR-отдел компании обрабатывает данные сотрудников и кандидатов
• Владелец сайта, на котором есть форма обратной связи

Даже небольшой бизнес может подпадать под требования закона. Сам по себе размер компании не освобождает от требований закона. Если у вас есть даже простой лендинг с кнопкой «Оставить заявку», вы считаетесь оператором персональных данных.

Кто такой субъект персональных данных

Субъект персональных данных — это физическое лицо, чьи персональные данные обрабатываются. Проще говоря, это клиент, посетитель сайта, сотрудник или подписчик.

У субъекта есть права:

• Знать, какие его данные собираются и для чего
• Получить копию своих данных
• Требовать исправления неточных данных
• Отозвать согласие на обработку
• Требовать удаления своих данных
• Пожаловаться в Роскомнадзор

Важно: субъект может в любой момент отозвать согласие. Вы обязаны прекратить обработку его данных в установленные законом сроки, за исключением случаев, когда их хранение требуется по закону.

Кто имеет право на обработку персональных данных

Закон предусматривает несколько оснований для обработки персональных данных. Ниже приведены наиболее распространённые из них:

В большинстве случаев малому бизнесу достаточно получить согласие субъекта персональных данных.

Категории персональных данных

Закон выделяет несколько категорий персональных данных с разным уровнем правовой защиты.

Общие персональные данные

Это базовая информация, которую большинство компаний собирает ежедневно:

• ФИО
• Дата и место рождения
• Адрес
• Телефон, email
• Образование, профессия
• Семейное положение

Для обработки общих персональных данных действуют базовые требования закона - нужно получить согласие и обеспечить базовую защиту.

Специальные персональные данные

Это чувствительная информация, которую закон защищает особенно строго (статья 10 закона №152-ФЗ):

• Расовая и национальная принадлежность
• Политические взгляды
• Религиозные убеждения
• Состояние здоровья
• Интимная жизнь
• Судимости

Обработка специальных данных запрещена, кроме случаев:

• Письменное согласие субъекта
• Требование закона (например, медицинские учреждения)
• Защита жизни и здоровья

Если деятельность бизнеса не связана с медициной, страхованием или правоохранительной сферой, сбор таких данных, как правило, не требуется.

Биометрические персональные данные

Это физиологические и биологические характеристики человека:

• Отпечатки пальцев
• Радужная оболочка глаза
• Рисунок вен
• ДНК
• Фотография для распознавания лица
• Запись голоса для идентификации

С 2023 года в России действует централизованная Единая биометрическая система (ЕБС). Для работы с биометрией нужны специальные лицензии и оборудование, сертифицированное ФСТЭК России.

В большинстве случаев обычному бизнесу работа с биометрическими данными не требуется. Но будьте внимательны: если вы используете систему распознавания лиц в офисе или магазине - это уже обработка биометрических данных.

Уровни защищенности персональных данных

Перейдём к технической стороне вопроса — требованиям к защите персональных данных и тому, как определить необходимый уровень защищённости.

Что такое ИСПДн (информационная система персональных данных)

Информационная система персональных данных (ИСПДн) — это любая система, в которой осуществляется хранение и обработка персональных данных.

К ИСПДн относятся, в том числе:

• CRM-система с базой клиентов
• 1С:Зарплата и управление персоналом
• сайт с формой обратной связи и базой данных
• Excel-таблица с контактами
• сервис email-рассылок с базой подписчиков

Даже простая таблица в Google Sheets с именами и телефонами считается ИСПДн, и к ней применяются требования законодательства о защите персональных данных.

Уровни защищённости персональных данных

Постановление Правительства РФ № 1119 от 01.11.2012 устанавливает четыре уровня защищённости персональных данных — с 1-го по 4-й.
Чем ниже номер уровня, тем более строгие требования к защите информации.

Для большинства малого и среднего бизнеса применяется уровень защищённости 4 (УЗ-4) — при обработке обычных персональных данных (например, имя, телефон, email) ограниченного круга клиентов.

Базовые требования для УЗ-4

Для ИСПДн с уровнем защищённости 4, как правило, требуется:

• антивирусная защита
• регулярное обновление программного обеспечения
• использование надёжных паролей
• разграничение прав доступа сотрудников
• резервное копирование данных

Эти меры не предполагают внедрения дорогостоящих систем информационной безопасности и подходят для большинства сайтов и сервисов малого бизнеса.

Как определить уровень защищённости для вашей системы

Определение уровня защищённости можно выполнить по следующему алгоритму.

Шаг 1. Определите категорию данных

• Общие персональные данные (ФИО, телефон, email) → переход к шагу 2
• Специальные или биометрические данные → УЗ-1 или УЗ-2

Шаг 2. Оцените количество субъектов персональных данных

• До 100 000 человек → УЗ-4
• Более 100 000 человек → УЗ-3

Шаг 3. Оцените условия обработки данных

• есть ли удалённый доступ к системе
• используются ли облачные сервисы
• работают ли сотрудники удалённо

При наличии таких факторов может потребоваться разработка модели угроз безопасности — документа, описывающего потенциальные риски и меры защиты.

Для малого бизнеса допускается использование типовых моделей угроз, разработанных ФСТЭК России, без необходимости разработки индивидуальных решений.

152-ФЗ для владельцев сайтов: пошаговая инструкция

А теперь самое важное для тех, кто управляет сайтом. Неважно, у вас интернет-магазин, корпоративный сайт или личный блог с формой подписки — если вы собираете данные посетителей, эта инструкция для вас.

Шаг 1. Определите, собираете ли вы персональные данные

Первый вопрос: есть ли на вашем сайте что-то из этого?

✅ Форма обратной связи (имя + email/телефон)
✅ Форма подписки на рассылку
✅ Форма заказа товаров или услуг
✅ Регистрация пользователей (личный кабинет)
✅ Чат с консультантом
✅ Форма заявки на обратный звонок
✅ Комментарии с возможностью указать имя и email
✅ Системы веб-аналитики (Google Analytics, Яндекс.Метрика)
✅ Cookies для отслеживания поведения

Если хотя бы один пункт про вас — вы обрабатываете персональные данные. Даже если собираете только email для рассылки.

Если у вас простой информационный сайт-визитка без форм и аналитики — можете выдохнуть. Закон на вас не распространяется.

Шаг 2. Создайте политику конфиденциальности

Политика конфиденциальности — это ваша страховка. Документ, который объясняет посетителям, какие данные вы собираете и что с ними делаете.

Обязательные разделы политики конфиденциальности

Ваша политика должна содержать:

1. Общие положения
Название компании (полное юридическое название)
ИНН, ОГРН, юридический адрес
Определение терминов (оператор, субъект, персональные данные)

2. Какие данные собираются
Конкретный список: ФИО, телефон, email, IP-адрес, cookies и т.д.
Способы сбора: через формы, аналитику, автоматически

3. Цели обработки данных
Для чего собираете: обработка заказов, отправка рассылки, улучшение сайта
Будьте конкретны. Формулировка «для улучшения качества обслуживания» слишком размыта.

4. Правовые основания
Согласие пользователя
Исполнение договора
Законные интересы (укажите конкретно какие)

5. Срок хранения данных
Сколько храните: 3 года, 5 лет, до отзыва согласия
Что происходит после: удаление или обезличивание

6. Передача данных третьим лицам
Кому передаете: платежные системы, службы доставки, email-сервисы
На каком основании: договор, согласие пользователя

7. Меры безопасности
SSL-шифрование
Защита от несанкционированного доступа
Резервное копирование

8. Права пользователя
Право на доступ к своим данным
Право на исправление
Право на удаление
Как реализовать эти права (email, форма обратной связи)

9. Cookies и аналитика
Какие cookies используются
Сервисы аналитики (Google Analytics, Яндекс.Метрика)
Как отключить cookies

10. Изменение политики
Право изменять политику
Как пользователи узнают об изменениях

11. Контактная информация
Email для вопросов по персональным данным
Телефон, почтовый адрес

Где разместить политику на сайте

Политика конфиденциальности должна быть:

✅ На отдельной HTML-странице
✅ Доступна по прямой ссылке (например, site.ru/privacy-policy)
✅ Размещена в футере сайта
✅ Указана рядом с каждой формой

Типичная ошибка: политика размещена в PDF-файле, который нужно скачивать. Это неудобно и не соответствует требованиям закона.

Шаг 3. Оформите согласие на обработку данных

Политика конфиденциальности — это ваши правила. Согласие на обработку — это подтверждение того, что пользователь с ними согласен.

Как выглядит корректный чек-бокс согласия

[Поле: Имя]

[Поле: Email]

[Поле: Телефон]

☐ Я согласен на обработку моих персональных данных в соответствии

с Политикой конфиденциальности (ссылка)

[Кнопка: Отправить]

Важно:

❌ Чек-бокс отмечен по умолчанию
✅ Пользователь ставит галочку сам

❌ Формулировка «отправляя форму, вы соглашаетесь»
✅ Явное действие пользователя

❌ «Согласен на всё»
✅ Конкретная формулировка со ссылкой на политику

Если чек-бокс не отмечен, форма не должна отправляться.

Полная формулировка согласия должна включать:

Кто дает согласие
Кому дается согласие (название компании, ИНН, адрес)
Какие данные обрабатываются
Какие действия совершаются с данными
Цели обработки
Срок действия согласия
Способ отзыва согласия

Полный текст согласия лучше вынести на отдельную страницу, а в форме оставить краткую версию со ссылкой.

Шаг 4. Обеспечьте техническую защиту

Документы важны, но закон требует и технических мер защиты.

SSL-сертификат и шифрование данных

SSL-сертификат (HTTPS) — минимальное требование для любого сайта, который собирает персональные данные.

Что дает SSL:

● шифрует передачу данных

● защищает от перехвата

● повышает доверие пользователей

● положительно влияет на SEO

Если сайт открывается по http:// — SSL отсутствует.

В 2026 году отсутствие SSL — прямой риск штрафа.

Cookies и системы аналитики

Использование Google Analytics, Яндекс.Метрики и рекламных cookies — это обработка персональных данных.

Что необходимо:

1. Уведомление о cookies

2. Описание cookies в политике конфиденциальности

3. Анонимизация IP-адресов

Типичная ошибка — не указать системы аналитики как третьи стороны.

Шаг 5. Частые ошибки владельцев сайтов

Чек-лист Соответствия 152-ФЗ для Сайта

Используйте этот чек-лист, чтобы проверить свой сайт:

Документы:

☐ Политика конфиденциальности создана и размещена на отдельной странице

☐ Ссылка на политику есть в футере каждой страницы

☐ Политика содержит все обязательные разделы

☐ Указаны актуальные контакты компании (ИНН, ОГРН, адрес, email)

Формы на сайте:

☐ У каждой формы есть чек-бокс согласия на обработку данных

☐ Чек-бокс НЕ отмечен по умолчанию (пустой при загрузке страницы)

☐ Есть ссылка на политику конфиденциальности рядом с чек-боксом

☐ Форма не отправляется без отметки чек-бокса

Техническая защита:

☐ SSL-сертификат установлен (сайт открывается по https://)

☐ База данных защищена паролем

☐ Доступ к админ-панели ограничен (только для авторизованных пользователей)

☐ Установлен антивирус на сервере/хостинге

Cookies и аналитика:

☐ Есть всплывающее уведомление о cookies при первом посещении

☐ Google Analytics/Яндекс.Метрика указаны в политике конфиденциальности

☐ Включена анонимизация IP-адресов в настройках аналитики

☐ Есть инструкция, как отключить cookies в браузере

Права пользователей:

☐ Указан email/форма для запросов на удаление данных

☐ Описана процедура отзыва согласия

☐ Указан срок ответа на запросы (рекомендуется 30 дней)

Если все пункты отмечены — сайт соответствует требованиям 152-ФЗ.

Обязательные документы и процедуры

Помимо политики конфиденциальности, есть ещё несколько важных документов и процедур. Разберёмся, что действительно нужно именно вам.

Уведомление Роскомнадзора: когда нужно и когда нет

Многие предприниматели паникуют: «Мне нужно регистрироваться в Роскомнадзоре?»

Важно: С 1 сентября 2022 года законодательство изменилось — большинство исключений из обязанности уведомлять Роскомнадзор были отменены Федеральным законом от 14.07.2022 N 266-ФЗ.

Уведомление НЕ требуется только в трёх случаях (ч.2 ст. 22 152-ФЗ в актуальной редакции):

✅ Обработка без автоматизации — вы работаете исключительно с бумажными документами, без компьютеров, баз данных и электронных систем

✅ Государственные информационные системы — данные включены в государственные ИС персональных данных, созданные для защиты безопасности государства и общественного порядка

✅ Транспортная безопасность — обработка данных в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса (специфические случаи для транспортных компаний)

Уведомление требуется практически всегда, если:

❌ Вы используете любую автоматизированную обработку: сайт с базой данных, CRM-систему, Excel-таблицы, 1С, email-рассылки

❌ У вас интернет-магазин или сайт с формами (обратной связи, заказа, подписки)

❌ Вы собираете данные для маркетинга, рассылок или рекламы

❌ Вы обрабатываете специальные или биометрические персональные данные

❌ Вы обрабатываете данные уволенных сотрудников (кадровый учёт действующих сотрудников формально тоже требует уведомления, но проверяют редко)

Распространённое заблуждение:

❗ «Если данные собираются для исполнения договора (доставка товара), уведомлять не нужно» — это устарело! Это исключение действовало до 1 сентября 2022 года и больше не применяется.

❗ «Если я обрабатываю только ФИО, уведомлять не нужно» — это тоже устарело! Исключение отменено с 1 сентября 2022 года.

Практическая ситуация в 2026 году:

Формально подавать уведомление обязаны практически все операторы, использующие компьютеры для обработки данных. Однако на практике:

• Роскомнадзор не проводит массовые проверки малого бизнеса только за отсутствие уведомления
• Проверки чаще всего происходят по жалобам пользователей или после утечек данных
• В первую очередь проверяют наличие политики конфиденциальности и согласий пользователей на сайте

Штрафы за непредставление уведомления в Роскомнадзор

(ч. 10 ст. 13.11 КоАП РФ, редакция действует с 30.05.2025):

Наша рекомендация:

Минимальный уровень защиты (если решили не подавать уведомление):

• Обязательно создайте политику конфиденциальности
• Добавьте чек-боксы согласия на всех формах
• Установите SSL-сертификат
• Оперативно отвечайте на запросы пользователей

Оптимальный уровень защиты (рекомендуем):

• Подайте уведомление в Роскомнадзор — это бесплатно, делается один раз через личный кабинет
• Полностью снимает риск штрафа в 100 000–300 000 ₽
• Даёт официальный статус в реестре операторов

Обязательно подавайте уведомление, если:

• У вас более 100 000 клиентов в базе
• Вы обрабатываете специальные категории данных (здоровье, биометрия)
• Ведёте активный email/SMS-маркетинг
• Продаёте или передаёте данные третьим лицам
• У вас был инцидент с данными или жалоба в Роскомнадзор

Как подать уведомление:

• Зарегистрируйтесь на сайте Роскомнадзора
• Заполните форму уведомления в личном кабинете
• Укажите категории данных, цели обработки и меры защиты
• Отправьте уведомление в электронном виде (с ЭЦП) или по почте
• Получите подтверждение о включении в реестр операторов

Срок рассмотрения: до 30 дней
Госпошлина: не взимается (бесплатно)

Согласие на обработку персональных данных

Мы уже говорили о чек-боксе на сайте. Однако в ряде случаев требуется письменное согласие.

Письменное согласие требуется для:

• сотрудников (при приёме на работу);
• обработки специальных категорий данных (здоровье, убеждения и т.п.);
• передачи данных в страны, не обеспечивающие адекватную защиту;
• обработки биометрических персональных данных.

Электронное согласие (через сайт) подходит для:

• клиентов интернет-магазина;
• подписчиков рассылки;
• посетителей, заполняющих формы на сайте.

Важно: согласие должно храниться весь период обработки данных и не менее 3 лет после её окончания.
Если пользователь через два года заявит, что не давал согласия, вы обязаны предоставить доказательства обратного.

Как хранить электронные согласия:

• фиксировать IP-адрес, дату и время принятия согласия;
• сохранять версию политики конфиденциальности, с которой пользователь согласился;
• хранить данные в системе с защитой от изменения;
• регулярно делать резервные копии.

Политика обработки персональных данных

Это внутренний документ компании, в отличие от политики конфиденциальности, которая предназначена для пользователей сайта.

Политика обработки персональных данных включает:

• общие положения о соблюдении 152-ФЗ;
• ответственных лиц (кто отвечает за защиту данных);
• категории обрабатываемых персональных данных;
• правовые основания и цели обработки;
• сроки обработки и хранения данных;
• организационные меры защиты (инструкции для сотрудников, разграничение доступа);
• технические меры защиты (СЗИ, шифрование, антивирусы);
• порядок реагирования на инциденты (утечки, взломы);
• меры по обучению персонала.

Политика утверждается приказом руководителя. С документом должны быть ознакомлены все сотрудники, имеющие доступ к персональным данным.

Нужна ли вам политика обработки персональных данных:

• если у вас ООО или АО — да, нужна;
• если у вас ИП и 1–2 сотрудника — формально нужна, но на практике штрафуют редко;
• если вы самозанятый без сотрудников — не требуется.

Ответственность за нарушение 152-ФЗ

Нарушения требований закона о персональных данных влекут административную, а в отдельных случаях — уголовную ответственность. Основные штрафы установлены статьёй 13.11 КоАП РФ и действуют в актуальной редакции на 2026 год.

Важно понимать: размер штрафа зависит от состава нарушения. Формальные ошибки (например, отсутствие политики конфиденциальности) и серьёзные нарушения (обработка без согласия, утечки данных) наказываются по-разному.

Основные штрафы по статье 13.11 КоАП РФ

Источник: статья 13.11 КоАП РФ (в ред. действующей на 2026 год), разъяснения Роскомнадзора и материалы КонсультантПлюс.

Обработка персональных данных без согласия субъекта (ч. 1 ст. 13.11 КоАП РФ)

Повторное нарушение обработки без согласия (ч. 1.1 ст. 13.11 КоАП РФ)

Обработка персональных данных без письменного согласия (в случаях, когда письменная форма обязательна: специальные категории, биометрия и т. п.) (ч. 2 ст. 13.11 КоАП РФ)

Повторное нарушение требований о письменном согласии (ч. 2.1 ст. 13.11 КоАП РФ)

Формальные нарушения (часто встречаются у владельцев сайтов)

Эти штрафы значительно ниже, чем санкции за обработку без согласия или утечки данных, но именно они чаще всего выявляются при проверках сайтов.

Штрафы за утечку персональных данных

С 2025 года ответственность за утечки персональных данных существенно ужесточена.

Для юридических лиц штрафы могут составлять:

• 300 000 – 700 000 ₽ — за факт утечки;
• до нескольких миллионов рублей — при повторных инцидентах;
• оборотные штрафы (в процентах от выручки) — при повторных утечках персональных данных в течение года.

Оборотные штрафы применяются в отношении крупных и системных нарушений и пока используются ограниченно, но норма уже действует и учитывается регулятором.

Уголовная ответственность

В отдельных случаях возможна уголовная ответственность по ст. 137 УК РФ:

• незаконное собирание или распространение сведений о частной жизни — штраф до 200 000 ₽ либо лишение свободы на срок до 2 лет (ст. 137 УК РФ).
• те же действия с использованием служебного положения — до 4 лет лишения свободы.

Уголовная ответственность применяется только при грубых и умышленных нарушениях (продажа баз, шантаж, преднамеренные утечки).

Важно помнить

• Штрафы могут накладываться за каждое нарушение отдельно
• Отсутствие политики, отсутствие согласия и утечка данных могут привести к нескольким штрафам одновременно
• Большинство рисков можно устранить заранее, выполнив базовые требования закона

Как избежать проверок Роскомнадзора

Роскомнадзор проводит проверки по трём основным основаниям:

• Плановые проверки — по утверждённому графику (как правило, раз в три года для крупных компаний)
• Внеплановые проверки — по жалобе пользователя или после инцидента
• Контрольные закупки — проверка сайтов путём отправки заявок и форм

Как снизить риск проверки

✅ Разместите политику конфиденциальности на сайте (это первое, что проверяют)
✅ Добавьте чек-бокс согласия во все формы
✅ Установите SSL-сертификат
✅ Оперативно реагируйте на запросы пользователей об удалении данных
✅ Не покупайте и не продавайте базы данных
✅ Не отправляйте email- и SMS-рассылки без согласия

Что проверяет Роскомнадзор на сайтах

• Наличие политики конфиденциальности
• Наличие чек-бокса согласия в формах
• Формулировку согласия (конкретная или размытая)
• Уведомление об использовании cookies
• Наличие SSL-сертификата
• Контактные данные для связи по вопросам персональных данных

Если вы выполнили чек-лист для владельцев сайтов, риск проверок и штрафов минимален.

Что делать, если пришла проверка

Получили уведомление о проверке — не паникуйте. Действуйте по шагам.

Шаг 1. Изучите документы

• Проверьте законность проверки (номер, подпись, печать)
• Уточните предмет проверки
• Обратите внимание на сроки (как правило, до 20 рабочих дней)

Шаг 2. Подготовьте документы

• Политику конфиденциальности
• Политику обработки персональных данных
• Приказ об утверждении политики
• Согласия пользователей (при наличии)
• Документы о технических мерах защиты (акты, сертификаты СЗИ)
• Уведомление в Роскомнадзор (если подавалось)

Шаг 3. Устраните нарушения

• Исправьте выявленные проблемы до визита проверяющих
• Добавьте недостающие документы
• Обновите политику конфиденциальности

Шаг 4. Во время проверки

• Назначьте ответственного сотрудника для общения с проверяющими
• Предоставляйте только запрашиваемые документы
• Фиксируйте все замечания письменно
• Подписывайте акты проверки с пометкой «с замечаниями», если не согласны

Шаг 5. После проверки

• Устраните нарушения в установленный срок
• Предоставьте отчёт об устранении
• При несогласии со штрафом — обжалуйте его в вышестоящем органе или суде

Важно: постановление о штрафе можно обжаловать в течение 10 дней. Если считаете штраф необоснованным, рекомендуется обратиться к юристу.

Мнение эксперта: Александр Апраксин о защите персональных данных

Александр Апраксин
Совладелец и генеральный директор digital-агентства MWI
ТОП-10 Рейтинга Рунета | Ведущий подкаста "Маркетологи" | 15+ лет опыта в digital и eCommerce

Сайт: https://mwi.me
YouTube: https://www.youtube.com/channel/UC-ae-UfyCb3TFIklL3uj_oA
Telegram: https://t.me/apraksin_digital

Реальные проблемы бизнеса с 152-ФЗ
Самая частая проблема — непонимание масштаба требований.
Предприниматели рассуждают так: «У меня маленький интернет-магазин, это не про меня». А потом получают штраф в 100 000 рублей за отсутствие политики конфиденциальности. Это всегда шок.

Вторая проблема — техническая. Многие не осознают, что использование Google Analytics означает передачу персональных данных третьей стороне. Это необходимо прямо указывать в политике конфиденциальности и получать согласие пользователя. С Яндекс.Метрикой ситуация аналогичная.

Третья распространённая ошибка — email-маркетинг.
Покупают базу email-адресов, запускают рассылку — и через месяц получают жалобы в Роскомнадзор. База «с согласием на рассылку» на практике часто оказывается без него. Проверить это невозможно, а ответственность всегда несёт бизнес.

Практические советы от эксперта

1. Не покупайте базы данных. Никогда.

Я видел десятки кейсов, когда компании получали штрафы за использование купленных баз. Даже если продавец уверяет, что «всё легально», — риски остаются на вас. Гораздо разумнее вложить эти деньги в контекстную рекламу и собрать собственную базу.

2. Автоматизируйте compliance-процессы

Используйте сервисы для автоматического создания политики конфиденциальности. Например, iubenda* или российские аналоги — генераторы политик на базе конструкторов сайтов (Tilda, uKit) и специализированные юридические сервисы. Они позволяют сформировать документ под конкретный сайт за 15–20 минут.

* iubenda — международный сервис генерации политик конфиденциальности.

3. Используйте double opt-in для email-рассылок

После подписки отправляйте пользователю письмо с подтверждением. Только после перехода по ссылке добавляйте его в базу. Это защищает от «фейковых» подписок и снижает риск жалоб.

4. Обучите менеджеров работе с запросами пользователей

У компании должен быть чёткий регламент действий при запросе на удаление персональных данных.
Типичная ошибка: клиент пишет «удалите меня из базы», а менеджер отвечает через неделю или не отвечает вовсе. В итоге — жалоба в Роскомнадзор.

Рекомендуемый регламент:

• ответ пользователю — в течение 24 часов;
• удаление данных — в течение 3 рабочих дней;
• отправка подтверждения об удалении.

5. SSL — не опция, а необходимость

В 2026 году сайт без HTTPS — это как магазин без замка на двери.
Поисковые системы понижают такие сайты в выдаче, пользователи им не доверяют, а Роскомнадзор может привлечь к ответственности. Настройка SSL занимает несколько минут и может быть бесплатной (например, через Let’s Encrypt).

6. Проводите аудит не реже одного раза в год

Законодательство меняется, бизнес растёт, появляются новые формы и сервисы сбора данных. Минимум раз в год проверяйте:

• актуальность политики конфиденциальности;
• корректность чек-боксов согласия;
• наличие и актуальность контактных данных.

Один час такого аудита может сэкономить сотни тысяч рублей на штрафах.

7. Если сомневаетесь — проконсультируйтесь

Консультация юриста по 152-ФЗ обычно стоит 5 000–10 000 рублей.
Вывод очевиден: проще и дешевле провести аудит заранее, чем устранять последствия проверки.

Часто задаваемые вопросы (FAQ)

Что такое персональные данные простыми словами?

Персональные данные (ПДн) — это любая информация, которая относится к конкретному человеку и позволяет его идентифицировать.
Примеры: ФИО, номер телефона, email, адрес проживания, паспортные данные, IP-адрес, фотография, данные банковской карты.

Даже если вы собираете только имя и email через форму подписки — это уже персональные данные. Значит, на вас распространяется действие закона № 152-ФЗ.

Нужно ли регистрироваться в Роскомнадзоре?

Не всегда. Уведомление в Роскомнадзор не требуется в случаях:

• Обработка без автоматизации — вы работаете исключительно с бумажными документами, без компьютеров, баз данных и электронных систем
• Государственные информационные системы — данные включены в государственные ИС персональных данных, созданные для защиты безопасности государства и общественного порядка
• Транспортная безопасность — обработка данных в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса (специфические случаи для транспортных компаний)

Если сомневаетесь — безопаснее подать уведомление. Процедура бесплатная и выполняется один раз.

Какой штраф за отсутствие политики конфиденциальности?

Штрафы предусмотрены статьёй 13.11 КоАП РФ (по состоянию на февраль 2026 года):

• для физических лиц — от 10 000 до 15 000 ₽;
• для должностных лиц — от 100 000 до 300 000 ₽;
• для ИП — от 300 000 до 500 000 ₽;
• для юридических лиц (ООО, АО) — ~300 000–700 000 ₽ .

Как долго можно хранить персональные данные?

Срок хранения зависит от целей обработки и требований законодательства:

• данные клиентов — до достижения целей обработки или отзыва согласия
  (обычно 3–5 лет после последнего взаимодействия);
• данные сотрудников — до 75 лет
  (требование архивного законодательства для кадровых документов);
• бухгалтерские данные — 4–5 лет
  (требования налогового законодательства);
• данные для email-рассылок — до момента отписки пользователя.

После истечения сроков персональные данные должны быть удалены или обезличены
(удалены все идентификаторы личности).

Важно: конкретные сроки хранения необходимо прямо указать в политике конфиденциальности. Формулировки вроде «храним бессрочно» или «храним, пока пользователь не попросит удалить» считаются недостаточно конкретными.

Что делать, если произошла утечка данных?

Если произошла утечка персональных данных (взлом, кража базы, случайная публикация), действовать нужно немедленно.

Шаг 1. Устраните уязвимость (первые 24 часа)

• заблокируйте доступ к скомпрометированной системе;
• смените пароли и ключи доступа;
• проверьте журналы доступа (кто и когда получал данные);
• при необходимости привлеките специалиста по информационной безопасности.

Шаг 2. Уведомите Роскомнадзор (в течение 24–72 часов)

• подайте уведомление об инциденте;
• укажите, что произошло, какие данные утекли и сколько субъектов затронуто;
• опишите меры, принятые для устранения последствий.

Шаг 3. Уведомите пострадавших (в течение 3 дней)

• направьте уведомление по email или SMS;
• честно опишите ситуацию и возможные риски;
• дайте рекомендации (смена паролей, контроль операций).

Шаг 4. Проведите внутреннее расследование

• установите причину утечки;
• устраните системные проблемы, а не только последствия;
• обновите меры защиты и внутренние регламенты.

Штраф за утечку персональных данных для компаний может составлять 300 000–700 000 ₽, однако оперативная реакция и сотрудничество с регулятором могут смягчить ответственность.

Заключение

152-ФЗ о персональных данных - это не препятствие для бизнеса, а свод правил, которые защищают права людей и требуют ответственного обращения с данными.

Что нужно запомнить:

Закон касается всех. Даже если у вас простой сайт с формой обратной связи - вы оператор персональных данных.

Минимальный набор для сайта: политика конфиденциальности, чек-бокс согласия, SSL-сертификат, уведомление о cookies. При наличии разработчика базовую настройку можно выполнить за несколько дней.

Уведомление в Роскомнадзор не всегда обязательно. Если вы обрабатываете данные для исполнения договора (доставка, оказание услуги) - уведомлять не нужно.

Штрафы серьезные. От 30 000 до 1 500 000 рублей для компаний. Но их легко избежать, если соблюдать базовые требования.

Техническая защита не обязательно дорогая. Для большинства малого бизнеса достаточно УЗ-4: антивирус, SSL, парольная защита, резервное копирование.

Не покупайте базы данных. Никогда. Это прямой путь к штрафам и жалобам.

Быстро реагируйте на запросы. Если клиент просит удалить его данные - сделайте это в течение 3 дней и отправьте подтверждение.

Проводите аудит раз в год. Закон меняется, ваш бизнес растет - держите документы актуальными.

Следующие шаги:

✅ Используйте чек-лист из раздела "152-ФЗ для владельцев сайтов" и проверьте свой сайт прямо сейчас

✅ Если обнаружили пробелы - исправьте в течение недели

✅ Если сомневаетесь - проконсультируйтесь с юристом (это дешевле штрафа)

✅ Добавьте в календарь напоминание: проверка соответствия 152-ФЗ раз в год

Соблюдение 152-ФЗ защищает не только от штрафов, но и укрепляет доверие клиентов к вашей компании.

---

Статья регулярно обновляется в соответствии с последними изменениями законодательства

Актуальность: Последняя редакция 152-ФЗ от 29.12.2022 №572-ФЗ

Источники:

• Консультант Плюс - текст 152-ФЗ
• Роскомнадзор - методические рекомендации
• ФСТЭК России - требования к защите информации

Категория вопроса

Что мы можем предложить?