Что такое 152-ФЗ
152-ФЗ — это Федеральный закон «О персональных данных». Он регулирует, как бизнес может собирать, хранить, использовать и передавать данные людей.
Персональные данные — это не только паспорт или ФИО. Это любая информация, по которой можно прямо или косвенно определить человека: имя, телефон, email, адрес, IP-адрес, cookie, данные из формы заявки, история заказов, геолокация, идентификаторы пользователя в аналитике и рекламе.
Считать, что 152-ФЗ касается только крупных компаний. На практике даже небольшой лендинг с формой «Оставьте заявку» уже попадает под требования закона.
Что должно быть на сайте
1. Политика обработки персональных данных
На сайте должна быть политика обработки персональных данных. Важно: она должна описывать реальные процессы вашего сайта, а не быть скачанным шаблоном «на всякий случай».
В политике нужно указать:
- кто является оператором персональных данных;
- какие данные собираются и с какой целью;
- на каком основании данные обрабатываются;
- кому они могут передаваться (подрядчики, сторонние сервисы);
- есть ли трансграничная передача;
- как долго данные хранятся;
- как пользователь может отозвать согласие или запросить удаление;
- какие меры защиты применяются.
2. Согласие на обработку данных
Если пользователь оставляет данные через форму, рядом с ней должен быть чекбокс согласия. Он не должен быть отмечен заранее — пользователь должен сам поставить галочку.
Рядом с чекбоксом должна быть ссылка на политику обработки персональных данных. Форма не должна отправляться без согласия.
«Даю согласие на обработку персональных данных в соответствии с Политикой обработки персональных данных».
3. Cookie и аналитика
Cookie, аналитика и рекламные пиксели тоже создают риск по 152-ФЗ, если позволяют идентифицировать пользователя или передают данные третьим лицам.
На сайте нужно проверить:
- есть ли cookie-баннер;
- можно ли отказаться от необязательных cookie;
- не запускается ли аналитика и не устанавливаются ли пиксели до согласия пользователя;
- есть ли иностранные трекеры (Google Analytics, Meta Pixel и др.);
- указаны ли cookie и аналитика в политике персональных данных.
Баннер на сайте есть, но аналитика и рекламные пиксели начинают работать сразу, ещё до того как пользователь нажал «Принять».
4. Уведомление Роскомнадзора
Во многих случаях оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала такой обработки (ст. 22 152-ФЗ). Это особенно актуально, если сайт собирает заявки, ведёт клиентскую базу, использует CRM, отправляет рассылки или передаёт данные подрядчикам.
Если данные меняются — например, появились новые цели обработки или новые сервисы — уведомление нужно актуализировать не позднее 15-го числа следующего месяца.
5. Локализация данных в России
При сборе персональных данных граждан РФ запись, систематизация, накопление, хранение и обработка должны выполняться с использованием баз данных, находящихся на территории России (локализация данных, ст. 18 152-ФЗ).
Риск возникает, если сайт размещён на зарубежном хостинге, заявки уходят в иностранную CRM, или данные хранятся за рубежом без соблюдения требований локализации.
Штрафы и ответственность
За нарушения 152-ФЗ предусмотрена ответственность по статье 13.11 КоАП РФ. После принятия поправок (Федеральный закон № 420-ФЗ, действуют с 30 мая 2025 года) штрафы были существенно усилены.
| Нарушение | Штраф для юрлица | Повторно |
|---|---|---|
| Нет политики персональных данных на сайте | до 60 000 ₽ | — |
| Обработка данных без согласия пользователя | до 300 000 ₽ | до 500 000 ₽ |
| Не подано уведомление в РКН о намерении обрабатывать ПДн | 100 000 — 300 000 ₽ | — |
| Нарушение требований трансграничной передачи | 1 — 6 млн ₽ | — |
| Нарушение локализации данных (хранение за рубежом) | 1 — 6 млн ₽ | 6 — 18 млн ₽ |
| Нарушение обязанности уведомить об утечке данных | 1 — 3 млн ₽ | — |
Большинство сайтов сталкиваются прежде всего с первыми тремя составами: нет политики, нет согласия рядом с формой, не подано уведомление в РКН. Миллионные штрафы относятся к более серьёзным нарушениям — нарушению требований локализации или трансграничной передачи.
Самые частые ошибки на сайтах
- политики персональных данных нет вообще;
- политика есть, но скачана из интернета и не соответствует сайту;
- формы собирают телефон и email без чекбокса согласия;
- чекбокс согласия уже отмечен заранее;
- рядом с формой нет ссылки на политику;
- cookie-баннер есть, но трекеры и аналитика запускаются до согласия;
- сайт использует иностранные сервисы, но это не отражено в документах;
- заявки уходят в зарубежную CRM без оформления трансграничной передачи;
- уведомление в Роскомнадзор не подано;
- владелец не знает, какие скрипты и сервисы реально работают на сайте.
Короткий чек-лист для владельца сайта
- есть ли политика обработки персональных данных;
- соответствует ли политика реальной работе сайта (аналитика, CRM, пиксели);
- есть ли чекбокс согласия рядом с каждой формой;
- не стоит ли галочка согласия заранее;
- есть ли cookie-баннер и можно ли отказаться от необязательных cookie;
- не запускаются ли трекеры и аналитика до согласия;
- используется ли HTTPS;
- куда уходят заявки с сайта (российская или зарубежная CRM);
- подано ли уведомление в Роскомнадзор;
- есть ли признаки риска трансграничной передачи.
Частые вопросы
Частые вопросы
Источники
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
- Статья 13.11 КоАП РФ «Нарушение законодательства в области персональных данных»
- Федеральный закон от 24.07.2023 № 420-ФЗ (усиление ответственности, действует с 30 мая 2025 года)