Распространяется ли 152-ФЗ на мой небольшой сайт?

Да, если на сайте есть любая форма с именем, email или телефоном — даже простая «Связаться с нами» или подписка на рассылку. Закон не делает исключений для малого бизнеса, ИП или самозанятых.

У меня уже есть политика конфиденциальности. Этого достаточно?

Не всегда. Роскомнадзор проверяет не только наличие политики, но и её содержание. Документ должен включать 17 обязательных пунктов (статья 18.1 152-ФЗ) и соответствовать тому, что вы указали в реестре операторов. Если политика — это шаблон из интернета без ваших реквизитов и без описания всех собираемых данных, штраф возможен.

Использую Яндекс Метрику — это нарушение?

Яндекс Метрика — российский сервис, использовать можно. Но её нужно задекларировать в политике и в cookie-уведомлении на сайте. Google Analytics и Meta Pixel передают данные за рубеж — для них нужно отдельное согласие пользователя и заявление в Роскомнадзор о передаче данных за границу. Дешевле и проще убрать Google Analytics и поставить Яндекс Метрику.

Какие сейчас штрафы за нарушения 152-ФЗ?

С 30 мая 2025 года штрафы выросли в 10 раз. Для ИП и для ООО суммы одинаковые: первичное нарушение — 300 000 – 700 000 ₽, повторное — 1 000 000 – 1 500 000 ₽. За утечку 1–10 тысяч записей — 3–5 миллионов ₽. За отсутствие уведомления в Роскомнадзор — 100 000 – 300 000 ₽. Точные суммы по каждому нарушению — в нашем отчёте.

Что такое «автоматический сканер РКН» и при чём тут я?

С ноября 2025 года Роскомнадзор запустил автоматическую проверку сайтов. Бот заходит на сайт, ищет формы, политику, согласие, иностранные счётчики — и если что-то не так, выписывает предписание. После предписания у вас 10 рабочих дней на исправление, иначе штраф. Наша проверка работает по той же логике — вы узнаете о проблемах раньше Роскомнадзора.

Проверяете ли соответствие закону о русском языке (168-ФЗ)?

Да. С 1 марта 2026 года вся потребительская информация на сайте должна быть на русском языке (ФЗ-168). Мы находим иностранные слова без русского перевода рядом — например кнопки «Sale», «Buy», «Checkout» — сверяясь со словарями РАН и отсеивая зарегистрированные бренды и общепринятые термины. Результат — сигнал к проверке с указанием штрафов по ст. 14.8 КоАП (5 000–10 000 ₽ для юрлиц, 500–1 000 ₽ для ИП).

Нужно ли подавать заявление (уведомление) в Роскомнадзор?

Если на сайте есть форма с персональными данными (имя, email, телефон) — да, нужно. Подаётся через Госуслуги бесплатно, занимает 20-30 минут. Без подачи — штраф 100 000 – 300 000 ₽. После заявления вас включают в реестр операторов персональных данных.

Что я получу в платном тарифе кроме отчёта?

В тарифе «Базовый отчёт» (290 ₽): подробный PDF с анализом каждого нарушения, политика конфиденциальности и согласие на обработку персональных данных под ваши реквизиты, cookie-уведомление с готовым кодом для вставки, инструкции по установке для Tilda, WordPress, Webasyst, Битрикс, Wix, OpenCart, MODX. Всё на email после оплаты.

Что входит в тариф «Под ключ» за 9 900 ₽?

Всё что в «Базовом» плюс мы сами поставим cookie-уведомление и политику на ваш сайт по SSH (или вы дадите доступ в админку). Дополнительно: договор оказания услуг через электронный документооборот, счёт, акт выполненных работ. Подходит если вы ИП или ООО и хотите чтобы за вас всё сделали.

Что такое мониторинг и зачем он мне?

Сразу после оплаты 990 ₽/мес вы получаете полный пакет документов под ваш сайт — как в тарифе «Базовый» (политика, согласие, cookie-баннер, инструкции, PDF-отчёт). Дальше раз в 7 дней мы перепроверяем сайт и присылаем diff на email: что добавилось из нарушений, что исправилось. Критичные — с приоритетным заголовком. Отмена в любой момент.

Как вы получаете данные о сайте? Это безопасно?

Мы заходим на сайт как обычный посетитель и смотрим публичные страницы (главная, политика, форма контактов). К базе данных, админке или коду на сервере мы не подключаемся. Никаких логинов и паролей не нужно. Это полностью безопасно — то же самое делает любой посетитель сайта.

Куда вписать регистрационный номер в политику конфиденциальности?

В блок Сведения об операторе в начале политики, рядом с реквизитами. Формулировка: Оператор зарегистрирован в реестре операторов ПДн Роскомнадзора, запись № ХХ-ХХ-ХХХХХХ.

А если у меня нет сайта, но я обрабатываю клиентов через мессенджеры?

Обязанность всё равно есть. Любая обработка ПДн делает вас оператором независимо от наличия сайта.

Реестр операторов персональных данных Роскомнадзора — что это и нужно ли там быть

Один из самых частых вопросов, которые задают предприниматели с сайтом: «А мне точно нужно подавать какое-то уведомление в Роскомнадзор?» Ответ короткий — почти всегда да. Если на сайте есть форма с email или телефоном, вы оператор персональных данных. И вас должны видеть в реестре на сайте РКН.

Дальше — что такое этот реестр, как туда попасть, как проверить, что вас там нет, и что будет если ничего не делать.

Что такое реестр операторов ПДн

Краткий ответ. Реестр операторов персональных данных — это публичная база на сайте Роскомнадзора (pd.rkn.gov.ru) со всеми компаниями и ИП, которые официально объявили о том, что обрабатывают чьи-то персональные данные. Включение в реестр обязательно по 152-ФЗ, если вы под этот закон попадаете.

Реестр операторов ПДн на сайте Роскомнадзора

Простая логика: вы как организация или ИП собираете чужие данные (имена, телефоны, email). Закон считает это «обработкой персональных данных». А если вы кого-то «обрабатываете», вы должны об этом сообщить — это и есть уведомление в РКН. После уведомления вас вносят в реестр, и любой человек может найти вас там по ИНН и понять кто, какие данные, в каких целях.

Реестр выполняет три функции:

— Учёт. РКН знает кто чем занимается. Если что-то идёт не так — у них есть ваши контакты. — Прозрачность для субъекта. Любой человек может проверить, кому он доверяет свой email, какие данные тот собирает. — Сигнал для проверок. При жалобе или плановой проверке проверяющий смотрит в реестр и видит, что вы заявили. Если на сайте обрабатываете больше чем заявили — это нарушение.

Кто обязан подавать уведомление

Краткий ответ. Любая организация и ИП, которые собирают на сайте или в работе хотя бы один тип персональных данных (имя, email, телефон, адрес). Самозанятые тоже. Микро-бизнес — без исключений.

По закону «оператор персональных данных» — это любое юридическое лицо, ИП или физическое лицо, которое самостоятельно или совместно с другими организует и (или) осуществляет обработку персональных данных.

Что значит «обрабатывает»: собирает, хранит, использует, передаёт, удаляет. Любое действие с чужими данными — обработка.

Когда обязанность точно есть:

— На сайте есть форма обратной связи с полем «имя» или «email» — Сайт принимает заказы и сохраняет в базу клиентов (имя + телефон + адрес) — Есть подписка на email-рассылку — Используется онлайн-чат, который запрашивает имя посетителя — Ведёте Excel-таблицу клиентов с реальными контактами — Есть CRM (Битрикс24, AmoCRM, своя) — а там клиенты с реальными данными

Когда обязанность скорее всего тоже есть:

— На сайте нет форм, но в подвале указан email-адрес и пользователи иногда пишут — Принимаете заказы через Telegram-бот (он собирает chat_id и имя) — Есть аккаунт в ВК где клиенты пишут в личные сообщения

Когда обязанности нет:

— Сайт чисто визитный, без форм, без email, без чата — только текст и фото — Никаких регистраций, заказов, подписок

На практике сайтов без форм почти не бывает. Поэтому 99% бизнесов с сайтом — операторы по закону, должны быть в реестре.

Как проверить себя в реестре

Краткий ответ. Зайдите на pd.rkn.gov.ru/operators-registry/operators-list/, в поле поиска введите ИНН организации или ИП. Если запись нашлась — вы в реестре. Если нет — нужно подавать уведомление.

Несколько важных мелочей про проверку:

— Поиск работает по точному совпадению ИНН. Опечатка — ничего не найдёт. — Реестр обновляется не сразу. После подачи уведомления проходит 10 рабочих дней, прежде чем запись появится. — Запись могут «выкинуть» если вы не обновили уведомление после смены реквизитов или адреса. Лучше время от времени проверять что вы там. — Реестр публичный. То же самое можно найти через любой поисковик, по запросу «ИНН XXX оператор ПДн» — иногда попадает в индекс Яндекса.

Если в реестре вашей записи нет, а на сайте у вас есть формы — у вас формально есть нарушение прямо сейчас. Размер штрафа за отсутствие уведомления — от 100 000 до 300 000 рублей, одинаково для ИП и ООО. Подробности про штрафы — в нашей статье про штрафы 152-ФЗ.

Как подать уведомление — пошагово

Краткий ответ. Через Госуслуги, бесплатно, занимает 20-30 минут. Нужна подтверждённая учётная запись Госуслуг и реквизиты вашей организации.

Подача уведомления в Роскомнадзор через Госуслуги

Подача занимает один сеанс, если вы заранее знаете что писать. Расскажу по шагам.

Шаг 1. Зайдите на gosuslugi.ru, войдите под своей учётной записью. Для ИП и ООО — можно входить как физлицо, при подаче укажете что подаёте от имени организации.

Шаг 2. В поиске услуг наберите «Уведомление об обработке персональных данных» или «Уведомление об осуществлении обработки». Выберите услугу.

Шаг 3. В форме укажите: вашу роль (ИП / ООО), реквизиты, контактные данные ответственного за обработку.

Шаг 4. Дальше будет длинная анкета — на что отвечать, разбираем в следующем разделе. Это самое долгое (30-40 минут если делаете внимательно).

Шаг 5. Подаёте. Подпись — обычная электронная (через Госуслуги), не нужна квалифицированная.

Шаг 6. В течение 10 рабочих дней Роскомнадзор проверяет уведомление и вносит вас в реестр. Иногда быстрее — за 2-3 дня. На контакт-email приходит подтверждение и регистрационный номер.

Шаг 7. Этот номер потом указывается в вашей политике конфиденциальности — как сведения об операторе. Так пользователь видит что вы зарегистрированы.

Какие данные нужны при подаче

Самая частая ошибка — заполнять анкету «как-нибудь». Через полгода РКН проверит сайт и увидит что вы собираете больше чем заявили — это нарушение даже при наличии регистрации.

Перед подачей подготовьте список:

— Реквизиты. Полное наименование, ИНН, ОГРН, юридический адрес, контактный телефон, email. — Ответственный за обработку ПДн. Имя, телефон, email. Для микро-бизнеса это сам ИП или директор. — Категории субъектов — чьи данные обрабатываете. Обычно: клиенты, посетители сайта, контрагенты, сотрудники. — Категории данных — что именно собираете. Имя, email, телефон, адрес доставки, фото, IP, cookies. Перечислите всё что реально собирается на сайте и в работе. — Цели обработки. Например: «оказание услуг», «выполнение договоров», «маркетинговая рассылка», «улучшение работы сайта через аналитику». — Способы обработки. Сбор через формы, хранение в CRM/Excel, передача в курьерскую службу, удаление по запросу. — Меры защиты. Базовые: парольная защита, антивирус, регулярное резервное копирование, разграничение доступа сотрудников. — Передаёте ли данные за границу. Если используете Google Analytics, Meta Pixel, Hotjar — да, передаёте. Это придётся отдельно описать.

Совет на старте. Лучше указать больше категорий и целей с запасом, чем меньше. Изменить состав обработки в реестре можно потом — это бесплатно и тоже через Госуслуги. А вот штраф за обработку «без основания» (то есть собирали то, чего не было в уведомлении) — большой, от 300 тысяч.

Если в политике конфиденциальности на сайте чего-то нет — этого не должно быть и в уведомлении. И наоборот. Документы должны совпадать.

Что будет если не подать

Краткий ответ. Штраф 100-300 тысяч ₽ при первой проверке. С ноября 2025 РКН проверяет сайты автоматически — заходит на сайт, видит формы, лезет в реестр, не находит записи — оформляет нарушение.

С автоматическими проверками РКН узнаёт о нарушении быстрее любых жалоб. Логика бота: открыл сайт, нашёл форму обратной связи, проверил есть ли у владельца сайта запись в реестре по ИНН (он есть в политике или в подвале сайта), не нашёл — оформил предписание. На исправление дают 10 рабочих дней.

Если за 10 дней успели подать уведомление через Госуслуги и попасть в реестр — нарушение закрыто без штрафа. Если не успели — постановление о штрафе. Размер от 100 до 300 тысяч, на усмотрение проверяющего. Обычно за первое нарушение берут ближе к нижней границе.

К штрафу за отсутствие уведомления может добавиться второй штраф — за отсутствие политики или несоответствие согласия в формах. Это другие статьи 152-ФЗ, и они складываются. Подробности в нашей статье про штрафы 152-ФЗ.

Когда уведомление можно НЕ подавать

Закон даёт несколько исключений. На практике для бизнеса с сайтом они почти не применимы, но знать их полезно.

— Обработка только для собственных нужд без передачи третьим лицам. Например, у вас личный сайт-визитка с email-формой, через которую только вы получаете письма, и нигде эти контакты не хранятся. Спорная категория — РКН на практике не верит что данные «никому не передаются» если есть хоть какие-то логи на сервере.

— Обработка только сотрудников. Если вы — физлицо без сотрудников, не работаете с клиентами через сайт — формально можно. Но и тогда лучше уведомление подать, потому что граница «обработки» расплывчатая.

— Обработка по договору, где субъект — сторона договора. Например, ИП-репетитор работает только с теми, с кем подписал договор. Формально может не подавать. На практике подавать всё равно проще.

— Обработка для журналистской/литературной/научной деятельности. Если вы СМИ или академический исследователь — другая статья закона, отдельные правила.

В реальности 99% сайтов малого бизнеса под исключения не подпадают, потому что: 1) собираем данные потенциальных клиентов (не сторон договора), 2) храним в CRM, 3) используем аналитику. Лучше подать.

Ситуация	Подавать уведомление?
Сайт с формой заявки / обратной связи	Да
Интернет-магазин, CRM, рассылка	Да
Аналитика (Метрика, счётчики) на сайте	Да
Только данные своих сотрудников	Можно не подавать (но лучше подать)
Данные только сторон договора (репетитор по договору)	Можно не подавать
СМИ, научная, литературная деятельность	Отдельные правила
Сайт-визитка вообще без форм и аналитики	Не требуется

После включения в реестр — что дальше

Регистрация — это только начало. Дальше нужно поддерживать соответствие тому что вы заявили.

Обновляйте уведомление. Если поменялись реквизиты, адрес, цели обработки или категории данных — подайте обновлённое уведомление через Госуслуги. Бесплатно, та же процедура. РКН за это не штрафует, наоборот — благодарит за актуализацию.

Укажите номер записи в политике конфиденциальности. Это обязательно. Пользователь должен видеть что вы официально зарегистрированы. Обычно блок с этим номером ставится в первом разделе политики, рядом с реквизитами оператора.

Раз в год проверяйте свою запись. Через тот же pd.rkn.gov.ru. Если запись пропала или РКН её приостановил — узнаете заранее, успеете исправить.

Не собирайте больше чем заявили. Если в уведомлении нет «фото» среди категорий данных, а на сайте сделали загрузку аватара — нужно обновить уведомление. Иначе формально это «обработка без законного основания», штраф 300-700 тысяч.

Если у вас на сайте есть какой-то новый инструмент (Hotjar, Meta Pixel, Google Analytics, чат-бот) — проверьте, что в уведомлении и в политике он упомянут. Подробнее про инструменты — в наших статьях про Google Analytics в 2026 и Cookie-уведомления по ФЗ-420.

Частые вопросы

Сколько стоит регистрация в реестре?

Бесплатно. Уведомление подаётся через Госуслуги без госпошлин. Если кто-то предлагает «оформить» за деньги — это посредник, не имеющий отношения к РКН.

Можно ли подать уведомление за чужую организацию?

Можно, если у вас есть доверенность или если вы — официальный представитель организации. На Госуслугах для этого есть отдельная процедура. На практике почти всегда подаёт сам директор/ИП.

Что если ИП закрылся — нужно «выписаться» из реестра?

Да, желательно подать заявление об исключении из реестра. Иначе формально вы продолжаете числиться оператором. Заявление подаётся через те же Госуслуги.

Реестр публикуется на главной странице РКН?

Нет, реестр — отдельный раздел: pd.rkn.gov.ru/operators-registry/. С главной РКН на него нет прямой ссылки в шапке, но через поиск находится за минуту.

Если я подал уведомление, но обрабатываю не всё что указал — это нарушение?

Нет. Подача «с запасом» — нормальная практика. Нарушение наоборот: если обрабатываете больше чем указано.

Куда конкретно вписать регистрационный номер в политику?

В блок «Сведения об операторе» в начале политики. Стандартная формулировка: «Оператор зарегистрирован в реестре операторов персональных данных Роскомнадзора, запись № ХХ-ХХ-ХХХХХХ». Где взять номер — в личном кабинете Госуслуг после подачи уведомления.

А если у меня нет сайта, но я обрабатываю клиентов через WhatsApp или Telegram?

Обязанность всё равно есть. Любая обработка ПДн = вы оператор. Подача уведомления не зависит от наличия сайта.

Как обновить уведомление если что-то изменилось?

Через те же Госуслуги — найдите услугу «Внесение изменений в сведения об операторе» (или похожую). Заполняете обновлённую форму. Подтверждается за 10 рабочих дней.

Что делать дальше

Если ещё не в реестре — подайте уведомление через Госуслуги сегодня. Это бесплатно и снимает один из самых частых рисков по 152-ФЗ.

Если уже в реестре — проверьте что политика на вашем сайте содержит ваш регистрационный номер. И что состав обработки в политике совпадает с тем что вы заявили в РКН.

Если у вас полная картина непонятная — сделайте бесплатную проверку сайта на 152-ФЗ. За 30 секунд покажем, всё ли соответствует требованиям или есть нарушения.

Об авторе

Дмитрий Синица. ИП с 2013 года, в разработке с 2010-го.

Направления: сайты (от лендингов до магазинов), чат-боты с ИИ и без, автоматизация процессов в малом бизнесе.

PdAudit.ru сделал, зная боли своих клиентов: кто-то где-то услышал про 152-ФЗ, подумал «потом разберусь», и через год сайт всё ещё без политики и согласия. Сервис за минуту находит проблемы и собирает готовые документы под конкретный сайт.

ИНН 502716306004, ОГРНИП 313502708000051. Запись в реестре операторов ПДн №77-25-358038 от 23.06.2025.

Источники

— Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных», статья 22 — Реестр операторов на pd.rkn.gov.ru — Услуга «Уведомление об обработке ПДн» на Госуслугах — Кодекс об административных правонарушениях, статья 19.7

Актуализация статьи: 19 мая 2026.