Распространяется ли 152-ФЗ на мой небольшой сайт?

Да, если на сайте есть любая форма с именем, email или телефоном — даже простая «Связаться с нами» или подписка на рассылку. Закон не делает исключений для малого бизнеса, ИП или самозанятых.

У меня уже есть политика конфиденциальности. Этого достаточно?

Не всегда. Роскомнадзор проверяет не только наличие политики, но и её содержание. Документ должен включать 17 обязательных пунктов (статья 18.1 152-ФЗ) и соответствовать тому, что вы указали в реестре операторов. Если политика — это шаблон из интернета без ваших реквизитов и без описания всех собираемых данных, штраф возможен.

Использую Яндекс Метрику — это нарушение?

Яндекс Метрика — российский сервис, использовать можно. Но её нужно задекларировать в политике и в cookie-уведомлении на сайте. Google Analytics и Meta Pixel передают данные за рубеж — для них нужно отдельное согласие пользователя и заявление в Роскомнадзор о передаче данных за границу. Дешевле и проще убрать Google Analytics и поставить Яндекс Метрику.

Какие сейчас штрафы за нарушения 152-ФЗ?

С 30 мая 2025 года штрафы выросли в 10 раз. Для ИП и для ООО суммы одинаковые: первичное нарушение — 300 000 – 700 000 ₽, повторное — 1 000 000 – 1 500 000 ₽. За утечку 1–10 тысяч записей — 3–5 миллионов ₽. За отсутствие уведомления в Роскомнадзор — 100 000 – 300 000 ₽. Точные суммы по каждому нарушению — в нашем отчёте.

Что такое «автоматический сканер РКН» и при чём тут я?

С ноября 2025 года Роскомнадзор запустил автоматическую проверку сайтов. Бот заходит на сайт, ищет формы, политику, согласие, иностранные счётчики — и если что-то не так, выписывает предписание. После предписания у вас 10 рабочих дней на исправление, иначе штраф. Наша проверка работает по той же логике — вы узнаете о проблемах раньше Роскомнадзора.

Проверяете ли соответствие закону о русском языке (168-ФЗ)?

Да. С 1 марта 2026 года вся потребительская информация на сайте должна быть на русском языке (ФЗ-168). Мы находим иностранные слова без русского перевода рядом — например кнопки «Sale», «Buy», «Checkout» — сверяясь со словарями РАН и отсеивая зарегистрированные бренды и общепринятые термины. Результат — сигнал к проверке с указанием штрафов по ст. 14.8 КоАП (5 000–10 000 ₽ для юрлиц, 500–1 000 ₽ для ИП).

Нужно ли подавать заявление (уведомление) в Роскомнадзор?

Если на сайте есть форма с персональными данными (имя, email, телефон) — да, нужно. Подаётся через Госуслуги бесплатно, занимает 20-30 минут. Без подачи — штраф 100 000 – 300 000 ₽. После заявления вас включают в реестр операторов персональных данных.

Что я получу в платном тарифе кроме отчёта?

В тарифе «Базовый отчёт» (290 ₽): подробный PDF с анализом каждого нарушения, политика конфиденциальности и согласие на обработку персональных данных под ваши реквизиты, cookie-уведомление с готовым кодом для вставки, инструкции по установке для Tilda, WordPress, Webasyst, Битрикс, Wix, OpenCart, MODX. Всё на email после оплаты.

Что входит в тариф «Под ключ» за 9 900 ₽?

Всё что в «Базовом» плюс мы сами поставим cookie-уведомление и политику на ваш сайт по SSH (или вы дадите доступ в админку). Дополнительно: договор оказания услуг через электронный документооборот, счёт, акт выполненных работ. Подходит если вы ИП или ООО и хотите чтобы за вас всё сделали.

Что такое мониторинг и зачем он мне?

Сразу после оплаты 990 ₽/мес вы получаете полный пакет документов под ваш сайт — как в тарифе «Базовый» (политика, согласие, cookie-баннер, инструкции, PDF-отчёт). Дальше раз в 7 дней мы перепроверяем сайт и присылаем diff на email: что добавилось из нарушений, что исправилось. Критичные — с приоритетным заголовком. Отмена в любой момент.

Как вы получаете данные о сайте? Это безопасно?

Мы заходим на сайт как обычный посетитель и смотрим публичные страницы (главная, политика, форма контактов). К базе данных, админке или коду на сервере мы не подключаемся. Никаких логинов и паролей не нужно. Это полностью безопасно — то же самое делает любой посетитель сайта.

Оператор персональных данных — кто это и какие у него обязанности

«Оператор персональных данных» — это юридический термин из 152-ФЗ. На практике он означает почти каждый бизнес с сайтом. И с этим статусом приходят 12 конкретных обязанностей. Дальше — кто попадает в эту категорию, что обязан делать, и какие штрафы за неисполнение.

Содержание

Кто такой оператор ПДн
Чем оператор отличается от обработчика
Когда вы становитесь оператором
12 обязанностей оператора
Права субъекта, которые должен соблюдать оператор
Ответственность за нарушения
Частые вопросы
Об авторе

Кто такой оператор ПДн

Краткий ответ. Оператор персональных данных — это любая организация или физическое лицо, которое самостоятельно или совместно с другими решает: собирать ли данные, какие, как использовать, где хранить. По закону 152-ФЗ статья 3.

В простом переводе на бизнес-язык: если вы решаете «давайте поставим форму на сайте чтобы клиенты оставляли заявки» — вы уже оператор. Решение принимаете вы, ответственность тоже на вас.

Кто конкретно может быть оператором:

— Юридическое лицо (ООО, АО, некоммерческая организация) — Индивидуальный предприниматель (ИП) — Самозанятый — Физическое лицо (но только если ведёт деятельность связанную со сбором данных — например, частный психолог с базой клиентов) — Государственный орган — Муниципальное учреждение

Обычные пользователи в быту операторами не считаются. Если у вас в записной книжке записаны контакты друзей — это «обработка для личных нужд», под 152-ФЗ не подпадает.

Чем оператор отличается от обработчика

Эту разницу путают часто, а она важна — обязанности у этих двух ролей разные.

Оператор принимает решения. Какие данные собирать, для каких целей, кому передавать.

Обработчик выполняет работу по поручению оператора. Не принимает самостоятельных решений, что с данными делать.

Пример. У вас интернет-магазин (вы — оператор). Вы используете Битрикс24 (он — обработчик, хранит вашу базу клиентов). Доставку делает СДЭК (он — обработчик, доставляет заказы по вашим инструкциям). Платежи через ЮКассу (она — обработчик, принимает деньги).

Кто за что отвечает:

— Оператор отвечает за весь цикл (получение согласия, политика, защита, удаление по запросу). — Обработчик — только за то, что ему поручили. Не может использовать данные для собственных целей.

Между оператором и обработчиком должен быть договор. В нём явно описано: какие данные передаются, для каких целей, на какой срок, как защищены. Без договора — нарушение и для оператора, и для обработчика.

В политике оператор обязан перечислить всех обработчиков. Поэтому если у вас Tilda + ЮКасса + СДЭК + Яндекс Метрика — всех четверых указываете в политике как третьих лиц.

Параметр	Оператор	Обработчик	Субъект
Кто это	Тот, кто решает зачем и как обрабатывать данные	Тот, кто обрабатывает по поручению оператора	Человек, чьи данные обрабатывают
Пример	Интернет-магазин (вы)	Битрикс24, СДЭК, ЮКасса	Покупатель
Принимает решения	Да	Нет	—
Нужно согласие собирать	Получает у субъекта	Нет (работает по договору с оператором)	Даёт согласие
Подаёт уведомление в РКН	Да	Нет	—
Отвечает перед РКН	За весь цикл	Только за порученное	—

Когда вы становитесь оператором

Краткий ответ. В момент когда вы решили собрать данные. Не когда подали уведомление в РКН — этот момент позже. Уведомление — это обязанность оператора, а не способ им стать.

Цепочка оператор-обработчик-субъект

Типичный сценарий малого бизнеса:

Понедельник. Запускаете сайт-визитку с формой обратной связи. Уже в этот момент вы — оператор. Закон вас обязывает.
Вторник. Получаете первую заявку через форму. Уже обрабатываете данные субъекта. Обязанность оператора активна.
Среда. Видите статью про штрафы и подаёте уведомление в Роскомнадзор через Госуслуги. Это выполнение обязанности оператора (статья 22 152-ФЗ), а не «получение статуса».
Четверг. РКН вносит вас в реестр операторов. Теперь любой может проверить.

То есть вы становитесь оператором по факту — в момент когда впервые собрали данные. Уведомление и регистрация в реестре — это уже обязательное продолжение, чтобы быть «легальным» оператором.

Если на сайте есть форма и вы не в реестре — формально вы «оператор-нарушитель», штраф 100-300 тысяч за отсутствие уведомления.

12 обязанностей оператора

Статьи 18-22 152-ФЗ устанавливают конкретные обязанности. Перечисляю с пояснением что это значит на практике.

1. Подать уведомление в РКН перед началом обработки. Бесплатно через Госуслуги. Подробнее в статье про реестр.

2. Опубликовать политику в общедоступном месте (на сайте). 17 обязательных пунктов по статье 18.1. Подробнее в статье про политику.

3. Получать согласие перед сбором данных. Активное (галочка), не предустановленное. Подробнее про согласие.

4. Собирать только то, что необходимо. Принцип минимальной достаточности. Лишние поля в форме — риск штрафа.

5. Использовать только для заявленных целей. Если собрали для отправки заказа — нельзя использовать для маркетинга без отдельного согласия.

6. Хранить локально в РФ. Базы клиентов на серверах в России. CRM, почтовый сервер, аналитика — российские или с локализацией.

7. Защищать. Технические меры (пароли, HTTPS, антивирус) + организационные (разграничение доступа, регулярное копирование).

8. Уведомлять об инцидентах. Утечка → в течение 24 часов сообщить РКН, 72 часа — отчёт о расследовании.

9. Удалять по запросу субъекта. В течение 30 дней после получения запроса.

10. Назначить ответственного за обработку. Не обязательно отдельный сотрудник — может быть сам директор или ИП.

11. Отвечать на запросы РКН. При проверках, жалобах, предписаниях — отвечать в установленные сроки (обычно 10-30 дней).

12. Обновлять документы. При изменении реквизитов, целей, состава данных — обновлять политику и уведомление в РКН.

Невыполнение каждой обязанности — отдельное нарушение со своим штрафом. Можно одновременно получить 3-4 штрафа за разные пункты.

Права субъекта, которые должен соблюдать оператор

Субъект (тот, чьи данные обрабатываются) имеет права. Оператор обязан их соблюдать.

— Право знать. Запросить у оператора: какие данные собрали, для чего, кому передали. Оператор отвечает в течение 30 дней.

— Право требовать уточнения, блокирования или удаления. Если данные неточные, устаревшие или собраны без оснований — субъект может потребовать исправить или удалить.

— Право отзыва согласия. В любой момент. После отзыва — обработка прекращается.

— Право на возмещение убытков. Если ваша утечка причинила вред субъекту — он может потребовать возмещение через суд.

— Право жалобы в РКН. Если оператор не соблюдает требования — субъект жалуется, РКН проверяет.

Каждая обязанность оператора — это отражение какого-то права субъекта. Закон работает в эту логику: операторы обязаны то, что субъекты имеют право требовать.

Ответственность за нарушения

Краткий ответ. Штрафы по КоАП (от 30 тысяч до 15 миллионов) и уголовная ответственность по статье 272.1 УК (до 10 лет лишения свободы за продажу баз и использование служебного положения).

Базовые штрафы на 2026:

— Обработка без согласия — 300-700 тысяч — Нет политики — 30-100 тысяч — Нет уведомления в РКН — 100-300 тысяч — Утечка от 1000 субъектов — от 3 миллионов — Уголовка за продажу баз — до 10 лет

Полная таблица — в статье про штрафы 152-ФЗ.

Частые вопросы

Я физлицо без ИП — могу быть оператором?

Можете, если ведёте деятельность по сбору данных. Например, частный психолог с базой клиентов, репетитор с базой учеников. Тогда применяются те же правила. Если просто пишете личный блог без сбора данных — нет.

Если я работаю по агентскому договору — кто оператор, я или принципал?

Зависит от того, кто принимает решения о сборе данных. Если принципал говорит «собирайте такие-то данные таким-то способом» — он оператор, вы обработчик. Если решения принимаете вы — оператор вы.

Если у меня сайт на бесплатном хостинге (например, narod.ru) — я тоже оператор?

Да. Платный хостинг или бесплатный — не имеет значения. Главное: собираете ли данные пользователей.

Несколько ИП работают совместно на одном сайте — кто оператор?

Возможно «совместное оперирование». Все участники — операторы, должны быть в реестре, делить ответственность. На практике лучше один из ИП регистрируется как основной оператор, остальные — обработчики по договору.

Могу ли я делегировать обязанности оператора на сторонний сервис?

Технически можно нанять «офицера по защите ПДн» (DPO), но юридическая ответственность всё равно на операторе. Нанятый специалист отвечает только перед вами по договору, а не перед РКН.

Что если я обработчик, но мне передали данные без договора?

Это нарушение обеих сторон. Лучше требовать договор от оператора до начала работы. Без договора вы юридически — никто, ответственность размытая.

Если мой оператор-клиент попадёт под санкции, я как обработчик тоже?

Если докажете что действовали строго по поручению — нет. Если выполняли что-то по своему усмотрению — да, разделите ответственность.

Что делать дальше

Если у вас сайт и вы ещё не оформились как оператор — начните с подачи уведомления в РКН. Бесплатно, через Госуслуги, 20-30 минут. Пошагово в нашей статье.

Параллельно — поставьте политику (образец) и согласие в формах (образец).

Бесплатная проверка вашего сайта. 30 секунд, покажем все нарушения.

Об авторе

Дмитрий Синица. ИП с 2013 года, в разработке с 2010-го.

Направления: сайты (от лендингов до магазинов), чат-боты с ИИ и без, автоматизация процессов в малом бизнесе.

PdAudit.ru сделал, зная боли своих клиентов: кто-то где-то услышал про 152-ФЗ, подумал «потом разберусь», и через год сайт всё ещё без политики и согласия. Сервис за минуту находит проблемы и собирает готовые документы под конкретный сайт.

ИНН 502716306004, ОГРНИП 313502708000051. Запись в реестре операторов ПДн №77-25-358038 от 23.06.2025.

Источники

— 152-ФЗ, статьи 3, 18-22 — Реестр операторов

Актуализация: 19 мая 2026.