Распространяется ли 152-ФЗ на мой небольшой сайт?

Да, если на сайте есть любая форма с именем, email или телефоном — даже простая «Связаться с нами» или подписка на рассылку. Закон не делает исключений для малого бизнеса, ИП или самозанятых.

У меня уже есть политика конфиденциальности. Этого достаточно?

Не всегда. Роскомнадзор проверяет не только наличие политики, но и её содержание. Документ должен включать 17 обязательных пунктов (статья 18.1 152-ФЗ) и соответствовать тому, что вы указали в реестре операторов. Если политика — это шаблон из интернета без ваших реквизитов и без описания всех собираемых данных, штраф возможен.

Использую Яндекс Метрику — это нарушение?

Яндекс Метрика — российский сервис, использовать можно. Но её нужно задекларировать в политике и в cookie-уведомлении на сайте. Google Analytics и Meta Pixel передают данные за рубеж — для них нужно отдельное согласие пользователя и заявление в Роскомнадзор о передаче данных за границу. Дешевле и проще убрать Google Analytics и поставить Яндекс Метрику.

Какие сейчас штрафы за нарушения 152-ФЗ?

С 30 мая 2025 года штрафы выросли в 10 раз. Для ИП и для ООО суммы одинаковые: первичное нарушение — 300 000 – 700 000 ₽, повторное — 1 000 000 – 1 500 000 ₽. За утечку 1–10 тысяч записей — 3–5 миллионов ₽. За отсутствие уведомления в Роскомнадзор — 100 000 – 300 000 ₽. Точные суммы по каждому нарушению — в нашем отчёте.

Что такое «автоматический сканер РКН» и при чём тут я?

С ноября 2025 года Роскомнадзор запустил автоматическую проверку сайтов. Бот заходит на сайт, ищет формы, политику, согласие, иностранные счётчики — и если что-то не так, выписывает предписание. После предписания у вас 10 рабочих дней на исправление, иначе штраф. Наша проверка работает по той же логике — вы узнаете о проблемах раньше Роскомнадзора.

Проверяете ли соответствие закону о русском языке (168-ФЗ)?

Да. С 1 марта 2026 года вся потребительская информация на сайте должна быть на русском языке (ФЗ-168). Мы находим иностранные слова без русского перевода рядом — например кнопки «Sale», «Buy», «Checkout» — сверяясь со словарями РАН и отсеивая зарегистрированные бренды и общепринятые термины. Результат — сигнал к проверке с указанием штрафов по ст. 14.8 КоАП (5 000–10 000 ₽ для юрлиц, 500–1 000 ₽ для ИП).

Нужно ли подавать заявление (уведомление) в Роскомнадзор?

Если на сайте есть форма с персональными данными (имя, email, телефон) — да, нужно. Подаётся через Госуслуги бесплатно, занимает 20-30 минут. Без подачи — штраф 100 000 – 300 000 ₽. После заявления вас включают в реестр операторов персональных данных.

Что я получу в платном тарифе кроме отчёта?

В тарифе «Базовый отчёт» (290 ₽): подробный PDF с анализом каждого нарушения, политика конфиденциальности и согласие на обработку персональных данных под ваши реквизиты, cookie-уведомление с готовым кодом для вставки, инструкции по установке для Tilda, WordPress, Webasyst, Битрикс, Wix, OpenCart, MODX. Всё на email после оплаты.

Что входит в тариф «Под ключ» за 9 900 ₽?

Всё что в «Базовом» плюс мы сами поставим cookie-уведомление и политику на ваш сайт по SSH (или вы дадите доступ в админку). Дополнительно: договор оказания услуг через электронный документооборот, счёт, акт выполненных работ. Подходит если вы ИП или ООО и хотите чтобы за вас всё сделали.

Что такое мониторинг и зачем он мне?

Сразу после оплаты 990 ₽/мес вы получаете полный пакет документов под ваш сайт — как в тарифе «Базовый» (политика, согласие, cookie-баннер, инструкции, PDF-отчёт). Дальше раз в 7 дней мы перепроверяем сайт и присылаем diff на email: что добавилось из нарушений, что исправилось. Критичные — с приоритетным заголовком. Отмена в любой момент.

Как вы получаете данные о сайте? Это безопасно?

Мы заходим на сайт как обычный посетитель и смотрим публичные страницы (главная, политика, форма контактов). К базе данных, админке или коду на сервере мы не подключаемся. Никаких логинов и паролей не нужно. Это полностью безопасно — то же самое делает любой посетитель сайта.

Закон о персональных данных (152-ФЗ) простыми словами для микро-бизнеса

«У меня вообще-то сайт-визитка, какие там персональные данные?» — этот вопрос слышу постоянно. И почти всегда оказывается, что данные есть. Любая форма «Связаться с нами», подписка на рассылку, заказ — это уже обработка персональных данных, и закон 152-ФЗ к вам применяется.

Дальше — без юридических кружев. Что говорит закон, какие у вас обязанности как у предпринимателя или ООО, и какой минимум нужно сделать чтобы не получить штраф.

Содержание

Зачем вообще этот закон
Что такое персональные данные
Кто такой оператор и кто субъект
Главные обязанности оператора
Принципы обработки — на что РКН смотрит в первую очередь
Согласие — самая важная штука
Штрафы коротко
Минимум для микро-бизнеса
Частые вопросы
Об авторе

Зачем вообще этот закон

Краткий ответ. 152-ФЗ — это российский закон, который защищает права обычных людей в части того, как с их данными обращаются компании. Грубо: ты не можешь просто взять чужой email и куда-то его передать без причины.

Концепция защиты персональных данных

История проста. До 2000-х годов в России никто особо не задумывался куда уходят данные с форм на сайтах, из анкет, из CRM. Базы продавались, спам шёл потоком, мошенники работали по украденным спискам. В 2006 году приняли закон 152-ФЗ — именно для того чтобы навести порядок.

Закон говорит примерно следующее:

— Если ты собираешь чужие данные — ты несёшь за них ответственность. — Собирать можно только то, что человек разрешил, и только для понятной ему цели. — Хранить нужно с защитой, не передавать кому попало. — Человек может в любой момент попросить удалить его данные. — Государство (Роскомнадзор) проверяет как ты выполняешь правила.

Под закон попадает почти любой бизнес — потому что почти любой бизнес собирает чужие данные.

Что такое персональные данные

Краткий ответ. Это любая информация, по которой можно опознать конкретного человека. Имя — да. Email — да. IP-адрес — последняя практика говорит что тоже да.

Закон даёт расплывчатое определение: «любая информация, относящаяся к прямо или косвенно определённому физическому лицу». То есть если по этим данным можно понять кто это — данные персональные.

На практике сюда попадает:

— Имя и фамилия — да, очевидно — Email — да, потому что обычно email привязан к человеку — Номер телефона — да — Адрес доставки — да — ИНН физлица — да — Паспортные данные — да, и это «специальные» персональные данные с повышенной защитой — Дата рождения — да — Фотография — да (по ней можно узнать человека) — IP-адрес — спорно, но в свежей судебной практике РФ считается ПДн — Cookies — спорно, но если по ним можно идентифицировать пользователя — тоже ПДн

Что точно не персональные данные:

— Полностью обезличенные статистические сводки («женщин 25-35 лет — 150 человек») — Технические идентификаторы оборудования без привязки к человеку — Реквизиты юридического лица (ИНН, ОГРН, адрес ООО — это не ПДн, потому что ООО не «физическое лицо»)

Парадокс с ИНН ИП. ИНН индивидуального предпринимателя — это и реквизит ИП, и одновременно номер физлица. Технически — персональные данные. На практике РКН смотрит на это сквозь пальцы, потому что ИНН ИП и так публичен в реестре ФНС.

Сводка — что относится к персональным данным:

Данные	ПДн?	Комментарий
Имя, фамилия	Да	Базовый идентификатор
Email	Да	Привязан к человеку
Телефон	Да	—
Адрес доставки	Да	—
Паспортные данные	Да	Специальные ПДн, повышенная защита
Фотография	Да	По ней узнаётся человек
IP-адрес	Спорно → да	Свежая судебная практика РФ
Cookies	Спорно → да	Если позволяют идентифицировать
Обезличенная статистика	Нет	«Женщин 25-35 — 150 чел.»
Реквизиты ООО (ИНН, ОГРН)	Нет	ООО не физлицо

Кто такой оператор и кто субъект

Краткий ответ. Оператор — это вы (организация или ИП, которая собирает данные). Субъект — это человек, чьи данные собрали (клиент, посетитель сайта, подписчик).

Эти два термина в законе встречаются постоянно, в политике и согласиях — тоже. Поэтому полезно один раз понять разницу.

Оператор. Тот, кто принимает решение собирать данные и решает что с ними делать. Это юридическое лицо, ИП или иногда физическое лицо. Оператор несёт всю ответственность по закону. Оператор обязан зарегистрироваться в реестре операторов на pd.rkn.gov.ru — об этом отдельная наша статья про реестр.

Субъект персональных данных. Тот, чьи данные обрабатываются. Обычно это клиент, посетитель сайта, кандидат на работу, контрагент. Главное право субъекта — знать что с его данными делают, и в любой момент потребовать удалить их или прекратить обработку.

Обработчик персональных данных (бывает упомянут). Это другая компания, которой оператор поручил часть работы. Например, ваш ИП — оператор, а CRM (Битрикс24) — обработчик, потому что хранит данные клиентов по вашему поручению. Между оператором и обработчиком должен быть договор, и в политике это должно быть отражено.

В малом бизнесе обычно: вы — оператор, ваши клиенты — субъекты, ваша CRM/email-сервис/курьерская служба — обработчики. Все три роли указываются в политике конфиденциальности.

Главные обязанности оператора

Краткий ответ. Получить согласие, рассказать что с данными делаете (политика), защищать, регистрироваться в РКН, удалять по запросу. Это базовый минимум, дальше детали.

Закон даёт длинный список обязанностей. Для микро-бизнеса важны эти:

Информировать субъекта. Любой человек, чьи данные вы собираете, должен иметь возможность узнать: что вы собираете, зачем, как храните, кому передаёте, как удалить. Для этого делается «политика конфиденциальности» — обычно в подвале сайта.

Получить согласие. До того как взять данные, нужно получить согласие. На сайте это галочка под формой «согласен на обработку персональных данных в соответствии с политикой». Активная не по умолчанию — пользователь должен сам её поставить. Без галочки — данные собирать нельзя.

Подать уведомление в РКН. До начала обработки нужно сообщить Роскомнадзору о том что вы оператор. Это бесплатное уведомление через Госуслуги, занимает 20-30 минут. Подробности в статье про реестр операторов.

Защищать данные. Технические и организационные меры: пароли, антивирус, разграничение доступа, бэкапы. Для микро-бизнеса минимум — пароль на CRM, антивирус на компьютере, никаких клиентских баз в публичных Excel-файлах.

Не собирать лишнего. Принцип «минимальной достаточности». Если для отправки заявки достаточно имени и email — не запрашивайте паспортные данные. Каждое поле в форме должно иметь объяснение зачем оно вам.

Удалять по запросу. Если субъект пишет «удалите меня из базы» — обязаны удалить. И уведомить если данные были переданы другим (обработчикам).

Хранить локально (в РФ). Базы клиентов должны храниться на серверах в России. Это часть закона о локализации. Облачные сервисы — только российские, или с подтверждением что данные хранятся в РФ.

Сообщать об инцидентах. Если произошла утечка — в течение 24 часов уведомить РКН, в течение 72 часов — отчёт о расследовании. Скрытая утечка = двойной штраф.

Принципы обработки — на что РКН смотрит в первую очередь

Это самая «практическая» часть закона. РКН и сканер РКН (автоматическая проверка с ноября 2025) смотрят на сайт через эти принципы.

Законность. Есть ли вообще основание собирать эти данные. Стандартные основания: согласие субъекта, исполнение договора, требование закона. Без основания — нельзя.

Целевая обработка. Цель обработки должна быть конкретной и заявленной до начала. «Связаться с клиентом» — конкретная. «Улучшить сервис» — слишком размытая, может быть отклонена.

Соответствие цели. Если собрали для одного — нельзя использовать для другого. Подписал на рассылку про новости — нельзя продавать кому-то другому без отдельного согласия.

Минимизация. Собирайте только то что реально нужно. Лишние поля в форме = риск штрафа.

Точность. Если данные устарели — нужно либо обновить, либо удалить.

Срок хранения. Должен быть конкретный. «Хранится до достижения целей обработки» — норм. «Хранится бессрочно» — нарушение.

Безопасность. Меры защиты должны соответствовать рискам. Чем больше базы — тем серьёзнее защита.

Согласие — самая важная штука

Краткий ответ. Без согласия пользователя обрабатывать его данные нельзя. Согласие должно быть конкретным, информированным, добровольным. Просто фраза «продолжая, вы соглашаетесь» — обычно недостаточно.

Согласие на обработку персональных данных в форме

Закон требует чтобы согласие было:

— Конкретным. Согласен на что именно. Не «на всё что угодно», а «на обработку имени и email для целей связи с клиентом и рассылки уведомлений». — Информированным. Субъект должен понимать что подписывает. Должна быть ссылка на политику конфиденциальности, где всё расписано. — Добровольным. Если без согласия услуга не оказывается — это уже не добровольно. На обычной форме обратной связи это норм, но на рассылку — нужно отдельное согласие. — Однозначным. Активные действия пользователя (поставил галочку, нажал отдельную кнопку). Просто «продолжая использование сайта вы соглашаетесь» — Роскомнадзор не считает согласием.

Технически на сайте это выглядит так. Под кнопкой «Отправить» есть галочка (чекбокс), активная не по умолчанию. Рядом текст: «Я соглашаюсь на обработку моих персональных данных в соответствии с политикой конфиденциальности» (ссылка на политику). Без галочки кнопка либо не работает, либо после нажатия выдаёт «нужно согласиться с политикой».

Образец текста согласия и пример как это интегрировать в Tilda / WordPress — в наших отдельных статьях.

Штрафы коротко

Краткий ответ. С 30 мая 2025 года штрафы выросли в 10 раз. Первое нарушение — от 300 тысяч. Утечка — от 3 миллионов. ИП и ООО штрафуют одинаково.

Базовые цифры на 2026 год:

— Обработка без согласия — 300 000–700 000 ₽ (ИП и ООО одинаково) — Нет политики или она не соответствует требованиям — 30 000–100 000 ₽ — Не подал уведомление в РКН — 100 000–300 000 ₽ — Утечка 1–10 тыс. записей — 3–5 миллионов ₽ — Утечка более 100 тыс. записей — 10–15 миллионов ₽ — Уголовная ответственность (ст. 272.1 УК) — до 10 лет лишения свободы за продажу баз и использование служебного положения

Полную таблицу всех штрафов с распределением по статьям КоАП — смотрите в нашей статье про штрафы 152-ФЗ 2026.

Минимум для микро-бизнеса

Краткий ответ. Шесть пунктов: подать уведомление в РКН, сделать политику, добавить согласие в формы, поставить cookie-уведомление, убрать иностранные счётчики, регулярно проверять. По моим наблюдениям этого хватает в 80% случаев.

Если у вас сайт с формой и нет ни одного из этих пунктов — вы под штрафом прямо сейчас. Если все шесть закрыты — вы практически полностью соответствуете 152-ФЗ как микро-бизнес.

1. Подать уведомление в Роскомнадзор. Через Госуслуги, бесплатно. После — вы в реестре операторов, регистрационный номер указываете в политике.

2. Сделать политику конфиденциальности под ваш сайт. Не шаблон из интернета с пустыми полями, а документ с реальными вашими реквизитами, описанием ваших форм, вашими инструментами аналитики. 17 обязательных пунктов по статье 18.1 152-ФЗ.

3. Под каждой формой — согласие. Галочка, активная не по умолчанию, рядом с кнопкой «Отправить». Текст со ссылкой на политику.

4. Поставить cookie-уведомление. Полоска внизу при первом заходе. Две кнопки одинаково заметные — «Принять» и «Отказаться». Запоминает выбор. Если пользователь отказался — иностранные счётчики не подгружаются.

5. Убрать Google Analytics или подать уведомление о трансграничной передаче. Первое проще. Замените на Яндекс Метрику.

6. Регулярно проверять сайт. Любая правка может что-то сломать. Подрядчик добавил Hotjar для теста — забыл выключить. Маркетолог поменял форму — слетела галочка с согласием.

Бесплатная автоматическая проверка по этим критериям — pdaudit.ru. 30 секунд, без регистрации.

Частые вопросы

А что если у меня сайт-визитка без форм?

Если нет ни одной формы где вы собираете чьи-то данные — теоретически вы не оператор и под 152-ФЗ не попадаете. На практике почти всегда что-то есть: email в подвале (пользователи пишут), Метрика (собирает IP и cookies), кнопки соцсетей.

Я работаю только через WhatsApp / Telegram. Мне тоже нужно?

Да. Любая обработка чужих данных делает вас оператором. Не зависит от наличия сайта.

Я фриланс-разработчик. Я обрабатываю данные клиентов своих заказчиков. Кто оператор — я или они?

Зависит от роли. Если вы решаете что и как делать с данными — вы оператор. Если только техническое исполнение по поручению заказчика — он оператор, вы обработчик. Это должно быть прописано в договоре.

Можно использовать иностранную CRM (Salesforce, Notion)?

Технически — да, но это «трансграничная передача» и требует отдельного уведомления в РКН + отдельного согласия пользователя. На практике дешевле и проще использовать российские аналоги: Битрикс24, AmoCRM.

Если я обрабатываю данные сотрудников — это тоже под 152-ФЗ?

Да. Сотрудники — тоже субъекты ПДн. Для них нужна отдельная политика обработки (обычно идёт частью кадровой документации) и отдельное согласие при приёме на работу.

Что делать с уже накопленной базой клиентов?

Если данные собраны давно без должного согласия — формально вы их обрабатываете нелегально. На практике: подаёте уведомление в РКН, ставите политику и согласия на сайт, новые данные собираете правильно, старые — продолжаете использовать в рамках текущей цели (например, исполнение договоров). Удалять старую базу не обязательно, но новые требования соблюдать.

Закон распространяется на самозанятых?

Да. Никаких послаблений. Если самозанятый собирает данные клиентов — он оператор.

Что делать дальше

Если ничего из шести пунктов «минимума» не закрыто — начните с проверки. Бесплатно за 30 секунд покажем все нарушения и точные штрафы для вашей формы собственности.

Если закрыто частично — посмотрите детально:

— Реестр операторов РКН — про регистрацию — Штрафы по 152-ФЗ 2026 — все суммы с разбивкой ИП/ООО — Cookie-уведомление по ФЗ-420 — как сделать правильно

Об авторе

Дмитрий Синица. ИП с 2013 года, в разработке с 2010-го.

Направления: сайты (от лендингов до магазинов), чат-боты с ИИ и без, автоматизация процессов в малом бизнесе.

PdAudit.ru сделал, зная боли своих клиентов: кто-то где-то услышал про 152-ФЗ, подумал «потом разберусь», и через год сайт всё ещё без политики и согласия. Сервис за минуту находит проблемы и собирает готовые документы под конкретный сайт.

ИНН 502716306004, ОГРНИП 313502708000051. Запись в реестре операторов ПДн №77-25-358038 от 23.06.2025.

Источники

— Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» — Реестр операторов на pd.rkn.gov.ru — Кодекс об административных правонарушениях, статья 13.11

Актуализация: 19 мая 2026.