Написать в Telegram
Закон о персональных данных

152-ФЗ: Всё о законе о персональных данных для владельцев сайтов

Обновлено: Февраль 2026 10 мин чтения

Что такое 152-ФЗ?

Федеральный закон № 152-ФЗ «О персональных данных» определяет правила работы с информацией о физических лицах в России. Действует с 2006 года, последние крупные поправки — 2024.

Под действие закона попадает любой сайт с формой обратной связи, корзиной, личным кабинетом или даже просто с Яндекс.Метрикой — если есть сбор данных пользователя, есть и обязанности по 152-ФЗ.

Ключевой принцип: Закон защищает права граждан РФ, а не компании. Поэтому он распространяется на любые сайты, работающие с данными россиян — неважно, где зарегистрирован бизнес.

Что относится к персональным данным?

Персональные данные (ПДн) — любая информация, по которой можно определить конкретного человека. Закон выделяет несколько категорий:

Общие персональные данные

  • ФИО, дата рождения, адрес
  • Телефон, email, ссылки на соцсети
  • Паспортные данные, ИНН, СНИЛС
  • Номер банковской карты

Специальные категории (ст. 10) — повышенные требования

  • Расовая и национальная принадлежность
  • Политические и религиозные взгляды
  • Состояние здоровья, диагнозы
  • Сведения об интимной жизни

Обработка специальных категорий требует отдельного письменного согласия и допускается только в установленных законом случаях.

Биометрические данные (ст. 11)

  • Фотографии (если используются для идентификации)
  • Отпечатки пальцев, сетчатка глаза
  • Образцы голоса, ДНК

Данные, которые часто забывают

  • IP-адрес — да, это тоже ПДн
  • Cookie-файлы — если позволяют идентифицировать пользователя
  • Геолокация — координаты с точностью до дома
  • История покупок — в связке с другими данными

Основные требования к сайтам

Чек-лист соответствия 152-ФЗ
  • Политика конфиденциальности — документ с перечнем собираемых данных, целями, сроками хранения и правами пользователя
  • Согласие на обработку — чекбокс без предустановленной галочки + ссылка на политику
  • Cookie-баннер — информирование + возможность отказаться от необязательных cookie
  • HTTPS — шифрование данных при передаче (обязательно для форм)
  • Уведомление РКН — подача в реестр операторов персональных данных
  • Локализация данных — хранение ПДн россиян на серверах в РФ
  • Ответственный за ПДн — назначенное лицо для организаций

Уведомление Роскомнадзора (ст. 22)

До начала обработки персональных данных оператор обязан уведомить Роскомнадзор. Исключения: обработка только данных сотрудников, данных для исполнения договора без передачи третьим лицам, общедоступных данных.

Как подать уведомление:

  1. Зарегистрируйтесь на pd.rkn.gov.ru
  2. Заполните форму уведомления (цели обработки, категории данных, меры защиты)
  3. Подпишите ЭЦП или отправьте бумажную версию
  4. Дождитесь включения в реестр (до 30 дней)

Проверьте, есть ли вы в реестре операторов

Мгновенная проверка по ИНН

Проверить в реестре РКН

Локализация данных (ст. 18)

Персональные данные граждан РФ при первичном сборе должны храниться на серверах, физически расположенных в России. По разъяснениям Роскомнадзора, требование касается баз данных (первичных записей), а не кэша и резервных копий.

На практике: Риск нарушения возникает, если при сборе ПДн первичная база/запись фактически находится за рубежом (например, сайт и формы работают на зарубежной инфраструктуре). Типичный выход: обеспечить базу на территории РФ для первичного сбора и корректно оформить трансграничную передачу, если используете зарубежные сервисы.

Права пользователей (субъектов ПДн)

Закон даёт пользователям конкретные права, а вам — обязанность их обеспечить:

  • Право на информацию — узнать, какие данные вы храните и зачем
  • Право на доступ — получить копию своих данных
  • Право на исправление — потребовать актуализации данных
  • Право на удаление — отозвать согласие и потребовать уничтожения
  • Право на ограничение обработки — приостановить использование данных

Срок ответа на запрос: 10 рабочих дней (ст. 20 152-ФЗ). На удаление данных после отзыва согласия — 30 дней (или 3 рабочих дня при требовании прекратить распространение — ч. 14 ст. 10.1 152-ФЗ).

Штрафы за нарушение 152-ФЗ (КоАП ст. 13.11)

Роскомнадзор проводит плановые и внеплановые проверки. Поводом для внеплановой может стать жалоба пользователя или утечка данных.

Нарушение Должностные лица ИП Юрлица
Обработка без письменного согласия (когда требуется) 100 000 – 300 000 ₽ как ДЛ* 300 000 – 700 000 ₽
Нет политики ПДн на сайте 6 000 – 12 000 ₽ 10 000 – 20 000 ₽ 30 000 – 60 000 ₽
Нарушение локализации (хранение за рубежом) 100 000 – 200 000 ₽ 1 000 000 – 6 000 000 ₽ 1 000 000 – 6 000 000 ₽
Повторное нарушение локализации 500 000 – 800 000 ₽ 6 000 000 – 18 000 000 ₽ 6 000 000 – 18 000 000 ₽
Утечка данных (1 000–10 000 субъектов) 200 000 – 400 000 ₽ 3 000 000 – 5 000 000 ₽ 3 000 000 – 5 000 000 ₽
Утечка данных (10 000–100 000 субъектов) 300 000 – 500 000 ₽ 5 000 000 – 10 000 000 ₽ 5 000 000 – 10 000 000 ₽
Утечка данных (более 100 000 субъектов) 400 000 – 600 000 ₽ 10 000 000 – 15 000 000 ₽ 10 000 000 – 15 000 000 ₽
Утечка спецкатегорий данных 1 000 000 – 1 300 000 ₽ 10 000 000 – 15 000 000 ₽ 10 000 000 – 15 000 000 ₽
Повторная утечка (оборотный штраф) 800 000 – 1 200 000 ₽ 1–3% выручки (мин. 20–25 млн ₽, макс. 500 млн ₽) 1–3% выручки (мин. 20–25 млн ₽, макс. 500 млн ₽)

* ИП привлекаются как должностные лица (ДЛ), если для ИП не указан отдельный размер штрафа.

Внимание: Оборотные штрафы (процент от выручки) введены Федеральным законом от 30.11.2024 № 420-ФЗ. При выявлении нарушений РКН, как правило, выдаёт предписание об устранении; ответственность определяется по конкретному составу КоАП РФ.

Как проверить сайт на соответствие 152-ФЗ?

Проверка сайта включает технический и юридический аудит. QuickAudit автоматизирует техническую часть проверки:

  1. HTTPS и SSL-сертификат — проверка защищённого соединения
  2. Политика конфиденциальности — поиск и анализ документа
  3. Формы сбора данных — наличие чекбоксов согласия
  4. Cookie-баннер — уведомление о файлах cookie
  5. Метаданные и счётчики — анализ сторонних сервисов

Проверьте свой сайт бесплатно

Мгновенный аудит на соответствие основным требованиям 152-ФЗ

Начать проверку

Как правильно оформить согласие на сайте

Минимальные требования к чекбоксу:

  • Галочка не должна быть предустановлена
  • Текст должен содержать ссылку на политику конфиденциальности
  • Пользователь должен совершить активное действие (поставить галочку)
  • Форма не должна отправляться без согласия

Пример формулировки:
☐ Даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности

Что должно быть в политике конфиденциальности (минимум):

  1. Наименование оператора, адрес, контакты
  2. Какие данные собираются
  3. Цели обработки (для чего собираете)
  4. Правовые основания обработки
  5. Сроки хранения данных
  6. Кому передаются данные (третьи лица, страны)
  7. Права субъекта и как их реализовать
  8. Меры по защите данных

Что делать при утечке данных

  1. В течение 24 часов — уведомить Роскомнадзор об инциденте (ч. 3.1 ст. 21 152-ФЗ)
  2. В течение 72 часов — провести внутреннее расследование и направить результаты в РКН (ч. 3.1 ст. 21 152-ФЗ)
  3. Уведомить пострадавших субъектов (если есть риск для их прав)
  4. Принять меры по устранению последствий
  5. Задокументировать инцидент и предпринятые действия

Часто задаваемые вопросы

Достаточно ли просто добавить политику конфиденциальности?

Нет. Политика — это информирование. Дополнительно нужно: получать согласие через чекбоксы, подать уведомление в РКН, обеспечить хранение данных в РФ, назначить ответственного, настроить процедуру обработки запросов пользователей.

Распространяется ли закон на небольшие сайты и ИП?

Да. 152-ФЗ не зависит от масштаба бизнеса. Лендинг фрилансера с формой «Оставьте заявку» подпадает под те же требования, что и корпоративный портал.

Нужно ли подавать уведомление в Роскомнадзор?

В большинстве случаев — да. Исключения: вы обрабатываете только данные своих сотрудников, или данные нужны исключительно для исполнения договора без передачи третьим лицам. Интернет-магазин, SaaS-сервис, сайт с подпиской — всё требует уведомления.

Можно ли хранить данные на зарубежном хостинге?

Первичная база ПДн должна быть в России. Можно использовать зарубежные сервисы для аналитики или рассылок, если основное хранение — в РФ. На практике безопаснее использовать российский хостинг и отечественные сервисы.

Чем отличается оператор от обработчика ПДн?

Оператор — определяет цели и средства обработки (это вы, владелец сайта). Обработчик — действует по поручению оператора (например, хостинг-провайдер или сервис рассылок). С обработчиком нужно заключить договор поручения.

Сколько хранить персональные данные?

Не дольше, чем требуется для целей обработки. Конкретные сроки закон не устанавливает — определите сами и укажите в политике. Ориентир: бухгалтерские документы — 5 лет, данные для маркетинга — до отзыва согласия.

Что будет, если не соблюдать закон?

Предписание об устранении нарушений, административная ответственность по ст. 13.11 КоАП РФ (размер зависит от состава и обстоятельств), а также репутационные риски при публичных инцидентах.

Полезные ссылки

Как проверить сайт на безопасность Трансграничная передача персональных данных Бесплатная проверка сайта на 152-ФЗ Почему ChatGPT не заменит аудит сайта