Распространяется ли 152-ФЗ на мой небольшой сайт?

Да, если на сайте есть любая форма с именем, email или телефоном — даже простая «Связаться с нами» или подписка на рассылку. Закон не делает исключений для малого бизнеса, ИП или самозанятых.

У меня уже есть политика конфиденциальности. Этого достаточно?

Не всегда. Роскомнадзор проверяет не только наличие политики, но и её содержание. Документ должен включать 17 обязательных пунктов (статья 18.1 152-ФЗ) и соответствовать тому, что вы указали в реестре операторов. Если политика — это шаблон из интернета без ваших реквизитов и без описания всех собираемых данных, штраф возможен.

Использую Яндекс Метрику — это нарушение?

Яндекс Метрика — российский сервис, использовать можно. Но её нужно задекларировать в политике и в cookie-уведомлении на сайте. Google Analytics и Meta Pixel передают данные за рубеж — для них нужно отдельное согласие пользователя и заявление в Роскомнадзор о передаче данных за границу. Дешевле и проще убрать Google Analytics и поставить Яндекс Метрику.

Какие сейчас штрафы за нарушения 152-ФЗ?

С 30 мая 2025 года штрафы выросли в 10 раз. Для ИП и для ООО суммы одинаковые: первичное нарушение — 300 000 – 700 000 ₽, повторное — 1 000 000 – 1 500 000 ₽. За утечку 1–10 тысяч записей — 3–5 миллионов ₽. За отсутствие уведомления в Роскомнадзор — 100 000 – 300 000 ₽. Точные суммы по каждому нарушению — в нашем отчёте.

Что такое «автоматический сканер РКН» и при чём тут я?

С ноября 2025 года Роскомнадзор запустил автоматическую проверку сайтов. Бот заходит на сайт, ищет формы, политику, согласие, иностранные счётчики — и если что-то не так, выписывает предписание. После предписания у вас 10 рабочих дней на исправление, иначе штраф. Наша проверка работает по той же логике — вы узнаете о проблемах раньше Роскомнадзора.

Проверяете ли соответствие закону о русском языке (168-ФЗ)?

Да. С 1 марта 2026 года вся потребительская информация на сайте должна быть на русском языке (ФЗ-168). Мы находим иностранные слова без русского перевода рядом — например кнопки «Sale», «Buy», «Checkout» — сверяясь со словарями РАН и отсеивая зарегистрированные бренды и общепринятые термины. Результат — сигнал к проверке с указанием штрафов по ст. 14.8 КоАП (5 000–10 000 ₽ для юрлиц, 500–1 000 ₽ для ИП).

Нужно ли подавать заявление (уведомление) в Роскомнадзор?

Если на сайте есть форма с персональными данными (имя, email, телефон) — да, нужно. Подаётся через Госуслуги бесплатно, занимает 20-30 минут. Без подачи — штраф 100 000 – 300 000 ₽. После заявления вас включают в реестр операторов персональных данных.

Что я получу в платном тарифе кроме отчёта?

В тарифе «Базовый отчёт» (290 ₽): подробный PDF с анализом каждого нарушения, политика конфиденциальности и согласие на обработку персональных данных под ваши реквизиты, cookie-уведомление с готовым кодом для вставки, инструкции по установке для Tilda, WordPress, Webasyst, Битрикс, Wix, OpenCart, MODX. Всё на email после оплаты.

Что входит в тариф «Под ключ» за 9 900 ₽?

Всё что в «Базовом» плюс мы сами поставим cookie-уведомление и политику на ваш сайт по SSH (или вы дадите доступ в админку). Дополнительно: договор оказания услуг через электронный документооборот, счёт, акт выполненных работ. Подходит если вы ИП или ООО и хотите чтобы за вас всё сделали.

Что такое мониторинг и зачем он мне?

Сразу после оплаты 990 ₽/мес вы получаете полный пакет документов под ваш сайт — как в тарифе «Базовый» (политика, согласие, cookie-баннер, инструкции, PDF-отчёт). Дальше раз в 7 дней мы перепроверяем сайт и присылаем diff на email: что добавилось из нарушений, что исправилось. Критичные — с приоритетным заголовком. Отмена в любой момент.

Как вы получаете данные о сайте? Это безопасно?

Мы заходим на сайт как обычный посетитель и смотрим публичные страницы (главная, политика, форма контактов). К базе данных, админке или коду на сервере мы не подключаемся. Никаких логинов и паролей не нужно. Это полностью безопасно — то же самое делает любой посетитель сайта.

Политика конфиденциальности — образец 2026 со всеми 17 пунктами по 152-ФЗ

Скачать шаблон политики «как у всех» — самый частый совет в интернете. Самый частый штраф — за такую политику. Роскомнадзор сейчас проверяет не наличие документа, а его содержание. Шаблон без подстановки реквизитов и без описания именно вашего сайта — формальное нарушение.

Дальше — все 17 обязательных пунктов с пояснениями, что писать в каждом.

Зачем нужна политика

Краткий ответ. Политика конфиденциальности — это публичный документ, в котором вы как оператор рассказываете что собираете, зачем, как храните, с кем делитесь и как удалить. Без неё — штраф 30-100 тысяч ₽ + риск не пройти проверку РКН.

Документ политики конфиденциальности на столе

По статье 18.1 152-ФЗ оператор персональных данных обязан опубликовать «политику в отношении обработки персональных данных» в публично доступном месте. Для сайта — это страница на этом сайте, обычно /policy или /privacy, с ссылкой в подвале.

Политика выполняет три функции:

— Информирует пользователей — что вы с их данными делаете. Это правовая прозрачность. — Защищает вас — на случай проверки или жалобы вы можете показать «вот, в политике всё написано». — Задаёт рамки обработки — обрабатывать данные можно только так, как заявлено в политике. Шире — нарушение.

Без политики или с шаблонной — формальное нарушение. Размер штрафа за «несоответствие требованиям к опубликованию политики»: 60-100 тысяч для ООО, 30-60 тысяч для ИП.

Где разместить и как назвать

— URL страницы: /policy, /privacy, /politika-konfidencialnosti — любой вариант — Ссылка в подвале на каждой странице сайта — Заголовок документа: «Политика обработки персональных данных» или «Политика конфиденциальности» — Доступ: публичный, без авторизации, без капчи

Документ должен открываться напрямую по прямой ссылке. Если для просмотра нужно зарегистрироваться или нажать «согласиться» — это формально нарушает требование «публично доступной» политики.

Все 17 пунктов — образец

По статье 18.1 152-ФЗ в политике должно быть 17 обязательных пунктов. Перечисляю с пояснением что писать в каждом.

№	Пункт политики	Чаще всего пропускают
1	Сведения об операторе (ИНН, ОГРН, адрес)	—
2	Цель обработки	—
3	Правовое основание	⚠️ часто нет
4	Категории субъектов	⚠️ часто нет
5	Перечень обрабатываемых ПДн	—
6	Способы обработки	—
7	Сроки хранения	⚠️ часто нет
8	Передача третьим лицам	⚠️ забывают платформу (Tilda/Webasyst)
9	Меры безопасности	—
10	Трансграничная передача	⚠️ критично при Google Analytics
11	Контакты ответственного	—
12	Порядок запросов субъектов	—
13	Порядок уничтожения данных	⚠️ часто нет
14	Дата актуализации	⚠️ забывают обновлять
15	Порядок внесения изменений	—
16	Обезличивание	—
17	Автоматизированная обработка	⚠️ часто нет

1. Сведения об операторе (наименование, адрес, ИНН, ОГРН). Полные ваши реквизиты как ИП или ООО + email и телефон ответственного за обработку. Если есть запись в реестре РКН — указать её номер.

2. Цель обработки персональных данных. Конкретно зачем собираете. «Связь с клиентом по обращениям», «Оформление и доставка заказа», «Отправка маркетинговой рассылки» и т.д.

3. Правовое основание обработки. Согласие субъекта (статья 6 ч.1 п.1) — для большинства случаев на сайте. Исполнение договора (п.5) — для интернет-магазина при оформлении заказа.

4. Категории и перечень субъектов ПДн. Кто это люди, чьи данные обрабатываете. Обычно: «посетители сайта», «клиенты», «контрагенты», «сотрудники».

5. Перечень обрабатываемых ПДн. Что конкретно собираете. «Имя, email, телефон, адрес доставки (для магазина), IP-адрес, cookies». Перечислять только то что реально собирается.

6. Способы обработки. «Сбор через формы на сайте», «хранение в базе данных», «передача в курьерскую службу для доставки», «передача в платёжный сервис для приёма платежа».

7. Сроки обработки и хранения. Сколько храните. «До достижения целей обработки», «3 года после последнего контакта», «5 лет после оплаты в соответствии с НК РФ».

8. Передача данных третьим лицам. Кому передаёте: курьерская служба, платёжный сервис, email-рассылка, CRM. Перечислить с указанием для какой цели. Не забыть Tilda / Webasyst / WordPress — платформы тоже считаются обработчиками.

9. Меры по обеспечению безопасности. «Парольная защита, антивирус, шифрование передачи (HTTPS), регулярное резервное копирование, разграничение доступа сотрудников».

10. Сведения о трансграничной передаче. Если используете Google Analytics, Hotjar, Meta Pixel — да, передаёте за границу. Указать страны и сервисы. Без этого — нарушение.

11. Контакты ответственного за обработку. ФИО, email, телефон. В микро-бизнесе обычно сам ИП или директор.

12. Порядок реагирования на запросы субъектов. Как и куда писать чтобы запросить данные или удалить. «По email [...]@[domain] в свободной форме».

13. Порядок уничтожения данных. Что делаете когда срок хранения истёк или субъект попросил удалить. «Удаление из БД с подтверждением, удаление физических копий».

14. Дата актуализации. Когда документ был последний раз обновлён. Должна быть актуальная.

15. Порядок внесения изменений. Как информируете о изменении политики. «Публикация новой версии на этой странице с уведомлением через email подписчиков».

16. Реализация требований к обезличиванию. Применяете ли вы обезличивание данных (например, для аналитики). Если нет — указать «Обезличивание не применяется».

17. Сведения об автоматизированной обработке. Используются ли автоматические решения, влияющие на права субъекта. Для обычного сайта малого бизнеса — «Автоматическое принятие юридически значимых решений на основе обработки ПДн не осуществляется».

Готовый текст для микро-бизнеса

Приводим короткий шаблон-каркас. Замените всё в квадратных скобках своими данными.

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
[Название сайта или ИП/ООО]

Дата актуализации: [DD.MM.2026]

1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Политика обработки персональных данных составлена в соответствии
с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

Оператор: [ИП/ООО НАЗВАНИЕ], ИНН [XXX], ОГРН [XXX], юридический адрес [XXX].
Запись в реестре операторов Роскомнадзора: № [XX-XX-XXXXXXX].
Контактный email ответственного за обработку: [email]

2. ЦЕЛИ ОБРАБОТКИ
[Список: связь с клиентом, выполнение договоров, отправка рассылки и т.п.]

3. ПРАВОВОЕ ОСНОВАНИЕ
- Согласие субъекта (для форм обратной связи и подписки на рассылку)
- Исполнение договора (для интернет-магазина при оформлении заказа)
- Требование закона (для бухгалтерской отчётности)

4. КАТЕГОРИИ СУБЪЕКТОВ
- Посетители сайта
- Клиенты, оставившие заявку или сделавшие заказ
- Контрагенты

5. ПЕРЕЧЕНЬ ДАННЫХ
[Список конкретных полей, что собирают ваши формы]

6. СПОСОБЫ ОБРАБОТКИ
Сбор, систематизация, накопление, хранение, уточнение, использование,
передача (включая трансграничную), обезличивание, блокирование,
удаление, уничтожение.

7. СРОКИ ХРАНЕНИЯ
До достижения целей обработки или до отзыва согласия, но не более:
- для маркетинговых данных — 3 года
- для финансовой документации — 5 лет (требование НК РФ)

8. ПЕРЕДАЧА ТРЕТЬИМ ЛИЦАМ
Передача данных осуществляется следующим третьим лицам:
- [Платформа сайта] — для хранения базы данных сайта (Российская Федерация)
- [Платёжный сервис] — для приёма платежей
- [Курьерская служба] — для доставки заказов
- [Email-сервис] — для отправки уведомлений
- ООО «Яндекс» (через сервис Яндекс Метрика) — для аналитики

9. БЕЗОПАСНОСТЬ
Технические меры: парольная защита, HTTPS, антивирус.
Организационные меры: разграничение доступа сотрудников, регулярное копирование.

10. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА
[Если есть Google Analytics, Hotjar, Meta Pixel — описать.
Если нет — указать "Трансграничная передача не осуществляется"]

11. КОНТАКТ ОТВЕТСТВЕННОГО
[ФИО], email: [...]

12. ЗАПРОСЫ СУБЪЕКТОВ
Запросы об обработке, изменении или удалении данных принимаются по
email: [...]. Срок ответа — 30 дней.

13. УНИЧТОЖЕНИЕ ДАННЫХ
По истечении срока хранения или по запросу субъекта данные удаляются
из всех систем оператора с подтверждением.

14. ИЗМЕНЕНИЯ В ПОЛИТИКЕ
Изменения публикуются на этой странице. Дата актуализации указывается
в начале документа.

15. ОБЕЗЛИЧИВАНИЕ
Обезличивание данных применяется при формировании статистических
отчётов / Обезличивание не применяется.

16. АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА
Автоматическое принятие юридически значимых решений на основе
обработки ПДн не осуществляется.

17. ОТВЕТСТВЕННОСТЬ
[Стандартная фраза о ответственности оператора по 152-ФЗ]

Готовая политика с заполненными 17 пунктами под ваш сайт и реквизиты, без необходимости разбираться в законе — за 290 ₽ в тарифе Базовый.

Главные ошибки в политиках

1. Шаблон «ООО Ромашка» без замены реквизитов. Самая частая. РКН видит, что в политике другая организация — формально вы не оператор данной политики.

2. Не указан перечень данных. «Мы собираем ваши персональные данные» без перечисления каких. Нарушение.

3. Не указаны цели. Общие фразы «для улучшения сервиса» без конкретики.

4. Нет третьих лиц. Используете Google Analytics, JivoSite, ЮКассу — а в политике нет. Нарушение.

5. Не указана трансграничная передача. Самая «дорогая» ошибка — за GA без декларации можно получить 300 тысяч–6 миллионов.

6. Нет номера записи в реестре операторов. Должен быть после подачи уведомления в РКН.

7. Дата актуализации годовалой давности. Если последний раз обновляли «2024-03-15» — РКН воспринимает как устаревший документ.

8. Политика только в footer, не открывается по прямой ссылке. Должна быть открыта прямой ссылкой, без модалок или регистрации.

Как часто обновлять

Минимум раз в год — менять дату актуализации даже если содержание не поменялось. Это показывает что вы следите за документом.

Обязательно обновлять когда:

— Сменили платформу (был Webasyst → стал Tilda) — Добавили / убрали инструменты аналитики — Сменили платёжный сервис — Изменились ваши реквизиты — Изменилось законодательство (например, новые поправки в 152-ФЗ)

При каждом обновлении — менять dateModified в JSON-LD на сайте + желательно отправлять уведомление подписчикам (если есть рассылка).

Частые вопросы

Можно использовать одну политику для двух разных сайтов?

Технически можно, но рискованно. Лучше для каждого сайта отдельная политика — с описанием именно его форм и инструментов.

Если у меня политика на 2 страницах — это нарушение?

Нет, объём не регламентируется. Главное — все 17 пунктов и доступность.

Можно сделать политику в PDF, скачиваемую с сайта?

Не рекомендуется. Политика должна быть «публично доступной» — это значит легко читаемой без скачивания. HTML-страница лучше.

Нужно ли политику переводить на английский, если сайт двуязычный?

Если есть английская версия сайта — желательно. Для русскоязычных клиентов достаточно русской политики.

Можно ли в политике указать «может изменяться без предварительного уведомления»?

Можно, и стандартно так и делают. Но желательно уведомлять подписчиков по email о существенных изменениях.

Если я работаю с детьми — что-то меняется в политике?

Да, для обработки данных детей до 14 лет нужно согласие родителей. Это отдельный пункт в политике. Если ваш сайт ориентирован на взрослых — добавьте «не предназначен для лиц младше 18 лет».

Согласие в политике и галочка под формой — это одно и то же?

Нет. Политика — это документ-описание. Согласие — это активное действие пользователя (галочка). Нужны оба.

Что делать дальше

Если политики на сайте нет — нужно сделать срочно. Размер штрафа от 30 до 100 тысяч.

Если политика есть, но шаблонная — проверьте по списку 17 пунктов выше. Хотя бы один не закрыт — формально не соответствует 152-ФЗ.

Бесплатная проверка вашего сайта на политику и согласие. 30 секунд, без регистрации.

Готовая политика под ваш сайт с заполненными реквизитами — в тарифе Базовый за 290 ₽.

Об авторе

Дмитрий Синица. ИП с 2013 года, в разработке с 2010-го.

Направления: сайты (от лендингов до магазинов), чат-боты с ИИ и без, автоматизация процессов в малом бизнесе.

PdAudit.ru сделал, зная боли своих клиентов: кто-то где-то услышал про 152-ФЗ, подумал «потом разберусь», и через год сайт всё ещё без политики и согласия. Сервис за минуту находит проблемы и собирает готовые документы под конкретный сайт.

ИНН 502716306004, ОГРНИП 313502708000051. Запись в реестре операторов ПДн №77-25-358038 от 23.06.2025.

Источники

— 152-ФЗ статья 18.1 — Реестр операторов ПДн

Актуализация: 19 мая 2026.