Распространяется ли 152-ФЗ на мой небольшой сайт?

Да, если на сайте есть любая форма с именем, email или телефоном — даже простая «Связаться с нами» или подписка на рассылку. Закон не делает исключений для малого бизнеса, ИП или самозанятых.

У меня уже есть политика конфиденциальности. Этого достаточно?

Не всегда. Роскомнадзор проверяет не только наличие политики, но и её содержание. Документ должен включать 17 обязательных пунктов (статья 18.1 152-ФЗ) и соответствовать тому, что вы указали в реестре операторов. Если политика — это шаблон из интернета без ваших реквизитов и без описания всех собираемых данных, штраф возможен.

Использую Яндекс Метрику — это нарушение?

Яндекс Метрика — российский сервис, использовать можно. Но её нужно задекларировать в политике и в cookie-уведомлении на сайте. Google Analytics и Meta Pixel передают данные за рубеж — для них нужно отдельное согласие пользователя и заявление в Роскомнадзор о передаче данных за границу. Дешевле и проще убрать Google Analytics и поставить Яндекс Метрику.

Какие сейчас штрафы за нарушения 152-ФЗ?

С 30 мая 2025 года штрафы выросли в 10 раз. Для ИП и для ООО суммы одинаковые: первичное нарушение — 300 000 – 700 000 ₽, повторное — 1 000 000 – 1 500 000 ₽. За утечку 1–10 тысяч записей — 3–5 миллионов ₽. За отсутствие уведомления в Роскомнадзор — 100 000 – 300 000 ₽. Точные суммы по каждому нарушению — в нашем отчёте.

Что такое «автоматический сканер РКН» и при чём тут я?

С ноября 2025 года Роскомнадзор запустил автоматическую проверку сайтов. Бот заходит на сайт, ищет формы, политику, согласие, иностранные счётчики — и если что-то не так, выписывает предписание. После предписания у вас 10 рабочих дней на исправление, иначе штраф. Наша проверка работает по той же логике — вы узнаете о проблемах раньше Роскомнадзора.

Проверяете ли соответствие закону о русском языке (168-ФЗ)?

Да. С 1 марта 2026 года вся потребительская информация на сайте должна быть на русском языке (ФЗ-168). Мы находим иностранные слова без русского перевода рядом — например кнопки «Sale», «Buy», «Checkout» — сверяясь со словарями РАН и отсеивая зарегистрированные бренды и общепринятые термины. Результат — сигнал к проверке с указанием штрафов по ст. 14.8 КоАП (5 000–10 000 ₽ для юрлиц, 500–1 000 ₽ для ИП).

Нужно ли подавать заявление (уведомление) в Роскомнадзор?

Если на сайте есть форма с персональными данными (имя, email, телефон) — да, нужно. Подаётся через Госуслуги бесплатно, занимает 20-30 минут. Без подачи — штраф 100 000 – 300 000 ₽. После заявления вас включают в реестр операторов персональных данных.

Что я получу в платном тарифе кроме отчёта?

В тарифе «Полный пакет» (490 ₽): подробный PDF с анализом каждого нарушения, политика конфиденциальности и согласие на обработку персональных данных под ваши реквизиты, cookie-уведомление с готовым кодом для вставки, инструкции по установке для Tilda, WordPress, Webasyst, Битрикс, Wix, OpenCart, MODX. Всё на email после оплаты.

Что входит в тариф «Под ключ» за 9 900 ₽?

Всё что в «Базовом» плюс мы сами поставим cookie-уведомление и политику на ваш сайт по SSH (или вы дадите доступ в админку). Дополнительно: договор оказания услуг через электронный документооборот, счёт, акт выполненных работ. Подходит если вы ИП или ООО и хотите чтобы за вас всё сделали.

Что такое мониторинг и зачем он мне?

Сразу после оплаты 990 ₽/мес вы получаете полный пакет документов под ваш сайт — как в тарифе «Базовый» (политика, согласие, cookie-баннер, инструкции, PDF-отчёт). Дальше раз в 7 дней мы перепроверяем сайт и присылаем diff на email: что добавилось из нарушений, что исправилось. Критичные — с приоритетным заголовком. Отмена в любой момент.

Как вы получаете данные о сайте? Это безопасно?

Мы заходим на сайт как обычный посетитель и смотрим публичные страницы (главная, политика, форма контактов). К базе данных, админке или коду на сервере мы не подключаемся. Никаких логинов и паролей не нужно. Это полностью безопасно — то же самое делает любой посетитель сайта.

Нейроюрист собирает сайт по 152-ФЗ для российского предпринимателя

Нейросеть и 152-ФЗ — что выдумает ChatGPT в политике, и как привести сайт в порядок без сюрпризов

Q: А почему нельзя просто попросить ChatGPT написать политику?

Можно. Но в результате будут перлы вроде упоминаний DPO, GDPR, калифорнийских клиентов и отменённого Privacy Shield. Если очень захотеть, можно довести до приемлемого состояния — пара часов диалога, по каждому абзацу объяснить «это убери, это перепиши». Дешевле и быстрее — взять готовое.

Q: А что если нейросеть всё равно вставит GDPR?

Скажите ей прямым текстом: удали все упоминания GDPR, CCPA, DPO, Privacy Shield, Калифорнии — это российский сайт, закон 152-ФЗ. Перечислите по именам что выкинуть. Так работает лучше чем «сделай по-русски» — она послушает конкретное.

Представьте: вы попросили ChatGPT написать политику конфиденциальности для своего сайта. Через минуту у вас на экране красивый документ. Заголовок — «Privacy Policy». Внутри какие-то «европейские права пользователя», ссылка на калифорнийских клиентов, «специальный ответственный» с почтой dpo@example.com. Подпись — «© 2018, ваша компания».

И вот вы сидите такой: ИП Петров, шиномонтаж в Воронеже, лендинг на два экрана. Никаких калифорнийцев у вас отродясь не было, только клиенты из соседних деревень. А Роскомнадзор уже стучится: штрафы за «не такую» политику с 2026 года начинаются от 60 000 ₽ для ИП и от 300 000 ₽ для юрлица. И это за каждое нарушение.

Разберём что нейросети любят сочинять в документах для российского сайта, почему так получается, и как сделать чтобы Cursor, Claude Code или Bolt.new собрали вам сайт сразу по закону — а не «потом доделаем».

Содержание

Что нейросеть напишет в вашу политику
Что нейросеть сломает в формах и cookie-баннере
Почему так получается
Решение: документы готовим мы, устанавливает кто угодно
Если ставите сами
Если ставит нейросеть — даём готовый промт
Где нейросеть полезна, а где — нет
Что обязательно проверить после установки
Реальный кейс: фрилансер закрыл вопрос за 15 минут
Частые вопросы
Что в итоге
Об авторе

Что нейросеть напишет в вашу политику

Если коротко: возьмёт европейский шаблон, переведёт на русский и точечно вставит слова «152-ФЗ» и «Роскомнадзор». Костяк документа останется западным — со всеми последствиями.

Нейросеть штампует политику с DPO, GDPR и Калифорнией — российский юрист делает фейспалм

Самые типичные перлы:

1. «Свяжитесь с нашим специальным ответственным за защиту данных».
Это калька с европейского закона. В Европе действительно есть отдельная должность — Data Protection Officer. У нашего закона такого требования нет. В вашей маленькой компании на четыре человека её, скорее всего, тоже нет. Но в политике уже значится чей-то выдуманный адрес.

2. «Мы соблюдаем GDPR».
GDPR — это европейский регламент. Россия в Евросоюз не входит. Когда Роскомнадзор проверит вашу политику и не найдёт упоминания 152-ФЗ — а найдёт GDPR — это будет неприятный разговор.

3. «Клиенты из Калифорнии имеют дополнительные права».
Привет, Сан-Хосе. У вас прачечная в Балашихе. Откуда там калифорнийцы — никто не знает. Но абзац висит.

4. «Дата вступления в силу: [DATE]».
Нейросеть оставила «заглушку» — и никто её не заменил. Документ формально не вступил в силу никогда.

5. «Наша компания, ИНН 1234567890».
Самое опасное. Нейросеть не хочет оставлять пустое поле, поэтому вставляет случайные десять цифр. И теперь в вашей политике чужой ИНН. Кто-то реальный по этому номеру живёт.

6. «Federal Law No. 152-FZ on Personal Data of July 27, 2006».
На английском. Транслитом. В русскоязычной политике. Так не пишут даже в посольствах.

7. «Вы имеете право на портативность данных».
Это право из европейского закона. В нашем 152-ФЗ его нет. Но если в политике обещано — пользователь придёт и потребует, а вы по закону ничего такого делать не обязаны. Лишние ожидания на пустом месте.

8. «Мы используем Google Analytics на основании соглашения Privacy Shield».
Это соглашение отменено европейским судом ещё в 2020 году. Нейросеть училась на текстах, написанных до этого, и продолжает ссылаться на мёртвый документ. Юридически — то же самое что ссылаться на закон, который уже отменили.

9. «Срок хранения: разумное время».
«Разумное время» — это не срок. По нашему закону срок нужно написать конкретно: «3 года», «1 год», «до отзыва согласия». Если у вас «разумное время» — формально пользователь не знает когда его данные удалят. Это нарушение.

10. «Уведомление в Роскомнадзор подано».
Самый сильный перл — нейросеть просто сама заявляет, что вы подали уведомление. Без вашего участия. Если проверка спросит «покажите расписку» — а её нет, потому что никто никуда ничего не подавал.

Любой из этих десяти пунктов в живой политике — это минимум 60 000 ₽ штрафа. А они обычно идут пакетом.

Что нейросеть сломает в формах и cookie-баннере

Форму захвата нейросеть сделает быстро и красиво. Только:

Забудет чекбокс согласия. По закону нельзя собирать имя и телефон без согласия пользователя. Без галочки — это нарушение.
Поставит галочку «по умолчанию». «Я согласен» уже отмечено. Роскомнадзор считает это отсутствием согласия, потому что пользователь ничего сам не подтвердил.
Объединит два разных согласия в одно. «Согласен на обработку данных и подписку на рассылку» — это две разные вещи, должны быть два чекбокса.
Напишет «I accept the terms». На английском. В русской форме. Тут уже нарушение и закона о персональных данных, и нового закона о русском языке (с марта 2026).

Cookie-баннер тоже:

Метрику вставит сразу в шапку сайта. До любого согласия пользователя. С 2025 года cookies приравнены к персональным данным — и счётчик «до согласия» это нарушение.
Не сделает кнопку «Настройки cookies» в подвале сайта. А по закону пользователь должен иметь возможность в любой момент отозвать согласие.

Всё это технические мелочи, которые в сумме дают первый штраф РКН на 200-500 тысяч.

Почему так получается

Не потому что нейросети глупые. Они хорошо учились. Просто учились в основном на западных текстах: американские шаблоны политик, европейский GDPR, инструкции от лондонских юрфирм. Этого в их библиотеке тонны.

Российских политик по 152-ФЗ в их обучающих материалах — на порядки меньше. И часто они устаревшие — от 2014–2018 годов, до серьёзных обновлений закона в 2022–2025.

Поэтому когда вы просите Claude «сделай политику для российского сайта», он достаёт усреднённый европейский шаблон, который видел сотни тысяч раз, и точечно добавляет к нему несколько маркеров: «152-ФЗ», «Роскомнадзор», «персональные данные». Костяк остаётся западным.

Это объясняет и DPO, и Privacy Shield, и Калифорнию — это всё «костяк», который модель не вычистила.

Ещё одна тонкость: нейросети «знают» мир до 2024 года. Новые правила 152-ФЗ от 2025-го — про cookies как персональные данные, про новые штрафы — до них просто не дошли. Спросите Claude «cookies это персональные данные в России?» — ответит «скорее нет». А с осени 2025 года — да. Прямо в законе.

Решение: документы готовим мы, устанавливает кто угодно

Слева — нейросеть без инструкции делает хаос, справа — нейросеть с готовыми файлами делает порядок

Логика простая. Юриспруденцию нейросеть знает на тройку. А копировать готовый текст в нужное место — на пятёрку. Значит надо держать её в зоне пятёрок: дать готовые документы, готовый виджет и инструкцию — и пусть просто разложит.

За 490 ₽ мы делаем под ваш сайт:

Политику конфиденциальности — заполнена вашими реквизитами, со всеми 17 обязательными пунктами нашего закона. Не шаблон из интернета.
Отдельный документ согласия на обработку данных. С сентября 2025 это требование стало строже — нужен именно отдельный документ, а не один с политикой.
Готовый cookie-баннер — три кнопки (согласен / отклонить / настроить), отложенная загрузка счётчиков, кнопка «Настройки cookies» в подвале для отзыва согласия.
Инструкция для нейросети — короткий текстовый файл с командами в духе «не пиши GDPR, не используй DPO, не выдумывай ИНН». Это блокирует фантазии прямо на входе.
Инструкция для человека — что куда положить, без жаргона.
Список проверок — что должно работать на сайте после установки. По нему можно отчитаться клиенту скриншотом.

Всё это придёт на email одним архивом за чашку кофе. Не нужны юристы и недели согласований.

Если ставите сами

В архиве есть пошаговый файл README на русском — без терминов. Открываете, смотрите куда положить какой файл, заменяете там, где нужно, ваш номер счётчика Метрики, готово.

На простой одностраничник — 30–60 минут. На сайт со сложными формами — час-полтора.

Если вы можете загрузить файл на сайт через админку (Tilda, WordPress, Webasyst) — справитесь. Если устанавливал сайт фрилансер — отправьте ему архив одним сообщением, он сделает.

Если ставит нейросеть — даём готовый промт

Это удобно, если ваш фрилансер работает в Cursor, или вы сами что-то пробуете в Bolt.new. Промт мы готовим сами — он лежит прямо в архиве. Скопировали — вставили в нейросеть — она сделает.

Выглядит он примерно так (этот текст вы сами подставлять не должны, он будет уже в архиве):

Прочитай файл AGENT.md.
Установи на сайт политику, согласие и cookie-баннер
по этой инструкции. Не выдумывай ничего своего —
если какого-то значения нет в файле, спроси меня.
Перенеси Яндекс.Метрику под кнопку согласия.
В каждую форму с email или телефоном добавь чекбокс
согласия. В конце сделай отчёт что получилось.

Cursor или Claude Code прочитают этот промт, разложат файлы, заменят кусочки, добавят чекбокс — за 5-10 минут.

Ключевая фраза в промте — «не выдумывай ничего своего». Это блокирует именно те косяки, которые мы разобрали в начале статьи. Нейросеть знает что её попросили только копировать готовое, а не сочинять.

Промт универсальный — кладём его в архив готовым файлом. Подходит любому современному AI-агенту: открыли файл, скопировали — вставили в чат — он сделает.

Где нейросеть полезна, а где — нет

Запомните это, оно вам пригодится не только с 152-ФЗ.

Нейросеть отлично умеет:

взять готовый файл и положить в нужное место на сайте
заменить кусочек текста на другой
добавить чекбокс в существующую форму
перенести строчку счётчика из одного места в другое
проверить что сайт открывается после изменений

Нейросеть плохо умеет:

придумать с нуля юридический документ
отличить действующий закон от отменённого
понять русские реалии (что у вас нет Калифорнии, нет DPO, и ИНН надо смотреть в Госуслугах а не выдумывать)
заметить что в её ответе что-то не так

Поэтому сценарий «мы готовим документы — она их ставит» работает хорошо. Сценарий «она и пишет, и ставит» — нет.

Что обязательно проверить после установки

Нейросеть отчитается «всё готово» с энтузиазмом отличника. Чтобы не было сюрпризов — пройдите эти простые проверки.

Откройте на сайте страницу политики — посмотрите, что там стоит ваш ИНН, ваше название компании, ваш адрес. Что нет слов «GDPR», «California», «DPO».
Откройте страницу согласия — это должен быть отдельный документ, не часть политики.
Откройте свой сайт в режиме инкогнито — должен показаться cookie-баннер. В подвале сайта должна быть ссылка «Настройки cookies».
Попробуйте отправить любую форму без галочки согласия — должна не отправляться.
Зайдите на pdaudit.ru, проверьте сайт ещё раз — те нарушения, которые были, должны исчезнуть.

Если что-то не сошлось — попросите ту же нейросеть исправить конкретный пункт. Не верьте «всё готово» на слово.

Реальный кейс: фрилансер закрыл вопрос за 15 минут

Фрилансер собрал клиенту лендинг через Cursor. Клиент — массажный салон в Краснодаре, простой одностраничник с формой заявки. На вопрос клиента «а как с законом о персональных данных?» Cursor предложил «давай добавим Privacy Policy».

В результате на лендинге появился документ под названием Privacy Policy — на английском, с упоминанием GDPR, с европейскими правами и подписью «© 2018». Клиент посмотрел и сказал «брат, мы вообще-то в Краснодаре, а не в Лондоне».

Что сделали:

Фрилансер зашёл на pdaudit.ru, сделал бесплатную проверку — нашлось 6 нарушений.
Заказал готовый пакет за 490 ₽. На email пришёл архив с документами под реквизиты клиента.
Cursor получил готовый промт «прочитай файл и сделай всё что в нём, ничего не выдумывай».
За 3 минуты Cursor разложил файлы, перенёс счётчик Метрики, добавил чекбокс в форму, в подвал положил ссылки. Английскую псевдо-политику стёр.
Повторная проверка на pdaudit.ru — все 6 нарушений закрыты.
Клиенту отправили скриншот зелёной проверки. Вопрос закрыт.

15 минут работы, 490 ₽ затрат у клиента. Альтернатива — звонок юристу: от 5 000 ₽ за политику и неделя ожидания.

Частые вопросы

А почему нельзя просто попросить ChatGPT написать политику?

Можно. Но в результате будут перлы из начала статьи. Если очень захотеть, можно довести до приемлемого состояния — пара часов диалога, по каждому абзацу объяснить «это убери, это перепиши». Дешевле и быстрее — взять готовое.

А что если нейросеть всё равно вставит GDPR?

Скажите ей прямым текстом: «удали все упоминания GDPR, CCPA, DPO, Privacy Shield, Калифорнии — это российский сайт, закон 152-ФЗ». Перечислите по именам что выкинуть. Так работает лучше чем «сделай по-русски» — она послушает конкретное.

Можно вообще без нейросети, руками?

Конечно. В архиве есть инструкция для человека на русском. Час на типовой сайт. Нейросеть просто ускоряет это до 10–15 минут.

А что с моими данными при отправке в нейросеть?

В инструкции для нейросети нет ничего секретного — название компании, ИНН (он и так в открытом реестре), адрес сайта. Никаких паролей, ключей и данных клиентов туда не попадает.

Что если у меня сайт на Tilda?

Подходит. У нас есть отдельная статья про Tilda — там расписано как добавить наши документы и баннер в конструктор. Cursor или Claude Code тут не нужны, всё через админку Tilda.

А вы не пытаетесь продать мне через страхи?

Штрафы реальные — открыты публикации Роскомнадзора за 2025–2026 год, посмотрите. Но мы не торгуем страхом — наш сервис стоит 490 ₽ за пакет документов и подписку 990 ₽ в месяц на мониторинг. Это не «защита от РКН» за десятки тысяч, как у юристов. Это просто инструмент, чтобы быстро закрыть техническую часть.

Что в итоге

Главное запомнить: нейросеть — отличный исполнитель, но плохой юрист. Дайте ей готовые документы и инструкцию — она за вечер настроит вам сайт по закону. Попросите написать политику с нуля — получите Калифорнию и Privacy Shield.

pdaudit.ru — бесплатная проверка за 30 секунд показывает что у вас не так. Полный пакет за 490 ₽ — готовый архив с документами, баннером и промтами для нейросетей. Работает с Cursor, Claude Code, Bolt.new — или ставится руками за час по инструкции.

Об авторе

Дмитрий Синица. ИП с 2013 года, в разработке с 2010-го.

Направления: сайты (от лендингов до магазинов), чат-боты с ИИ и без, автоматизация процессов в малом бизнесе.

PdAudit.ru сделал, зная боли своих клиентов: кто-то где-то услышал про 152-ФЗ, подумал «потом разберусь», и через год сайт всё ещё без политики и согласия. Сервис за минуту находит проблемы и собирает готовые документы под конкретный сайт.

ИНН 502716306004, ОГРНИП 313502708000051. Запись в реестре операторов ПДн №77-25-358038 от 23.06.2025.

Источники

Федеральный закон №152-ФЗ «О персональных данных»
Статья 18.1 152-ФЗ — обязательные пункты политики (КонсультантПлюс)
Кодекс об административных правонарушениях, ст. 13.11 (штрафы за нарушения)
Решение по делу Schrems II — отмена Privacy Shield 16.07.2020