Распространяется ли 152-ФЗ на мой небольшой сайт?

Да, если на сайте есть любая форма с именем, email или телефоном — даже простая «Связаться с нами» или подписка на рассылку. Закон не делает исключений для малого бизнеса, ИП или самозанятых.

У меня уже есть политика конфиденциальности. Этого достаточно?

Не всегда. Роскомнадзор проверяет не только наличие политики, но и её содержание. Документ должен включать 17 обязательных пунктов (статья 18.1 152-ФЗ) и соответствовать тому, что вы указали в реестре операторов. Если политика — это шаблон из интернета без ваших реквизитов и без описания всех собираемых данных, штраф возможен.

Использую Яндекс Метрику — это нарушение?

Яндекс Метрика — российский сервис, использовать можно. Но её нужно задекларировать в политике и в cookie-уведомлении на сайте. Google Analytics и Meta Pixel передают данные за рубеж — для них нужно отдельное согласие пользователя и заявление в Роскомнадзор о передаче данных за границу. Дешевле и проще убрать Google Analytics и поставить Яндекс Метрику.

Какие сейчас штрафы за нарушения 152-ФЗ?

С 30 мая 2025 года штрафы выросли в 10 раз. Для ИП и для ООО суммы одинаковые: первичное нарушение — 300 000 – 700 000 ₽, повторное — 1 000 000 – 1 500 000 ₽. За утечку 1–10 тысяч записей — 3–5 миллионов ₽. За отсутствие уведомления в Роскомнадзор — 100 000 – 300 000 ₽. Точные суммы по каждому нарушению — в нашем отчёте.

Что такое «автоматический сканер РКН» и при чём тут я?

С ноября 2025 года Роскомнадзор запустил автоматическую проверку сайтов. Бот заходит на сайт, ищет формы, политику, согласие, иностранные счётчики — и если что-то не так, выписывает предписание. После предписания у вас 10 рабочих дней на исправление, иначе штраф. Наша проверка работает по той же логике — вы узнаете о проблемах раньше Роскомнадзора.

Проверяете ли соответствие закону о русском языке (168-ФЗ)?

Да. С 1 марта 2026 года вся потребительская информация на сайте должна быть на русском языке (ФЗ-168). Мы находим иностранные слова без русского перевода рядом — например кнопки «Sale», «Buy», «Checkout» — сверяясь со словарями РАН и отсеивая зарегистрированные бренды и общепринятые термины. Результат — сигнал к проверке с указанием штрафов по ст. 14.8 КоАП (5 000–10 000 ₽ для юрлиц, 500–1 000 ₽ для ИП).

Нужно ли подавать заявление (уведомление) в Роскомнадзор?

Если на сайте есть форма с персональными данными (имя, email, телефон) — да, нужно. Подаётся через Госуслуги бесплатно, занимает 20-30 минут. Без подачи — штраф 100 000 – 300 000 ₽. После заявления вас включают в реестр операторов персональных данных.

Что я получу в платном тарифе кроме отчёта?

В тарифе «Базовый отчёт» (290 ₽): подробный PDF с анализом каждого нарушения, политика конфиденциальности и согласие на обработку персональных данных под ваши реквизиты, cookie-уведомление с готовым кодом для вставки, инструкции по установке для Tilda, WordPress, Webasyst, Битрикс, Wix, OpenCart, MODX. Всё на email после оплаты.

Что входит в тариф «Под ключ» за 9 900 ₽?

Всё что в «Базовом» плюс мы сами поставим cookie-уведомление и политику на ваш сайт по SSH (или вы дадите доступ в админку). Дополнительно: договор оказания услуг через электронный документооборот, счёт, акт выполненных работ. Подходит если вы ИП или ООО и хотите чтобы за вас всё сделали.

Что такое мониторинг и зачем он мне?

Сразу после оплаты 990 ₽/мес вы получаете полный пакет документов под ваш сайт — как в тарифе «Базовый» (политика, согласие, cookie-баннер, инструкции, PDF-отчёт). Дальше раз в 7 дней мы перепроверяем сайт и присылаем diff на email: что добавилось из нарушений, что исправилось. Критичные — с приоритетным заголовком. Отмена в любой момент.

Как вы получаете данные о сайте? Это безопасно?

Мы заходим на сайт как обычный посетитель и смотрим публичные страницы (главная, политика, форма контактов). К базе данных, админке или коду на сервере мы не подключаемся. Никаких логинов и паролей не нужно. Это полностью безопасно — то же самое делает любой посетитель сайта.

Шаблон политики из Tilda или Битрикса считается?

Не считается. Стандартный блок политики из любого конструктора — это общие формулировки, в которых не описаны конкретно ваши формы и реквизиты.

Документы и кружка кофе на столе — утренняя подготовка к проверке сайта по 152-ФЗ

Штрафы по 152-ФЗ в 2026 году — полный список для ИП и ООО

Если коротко — штрафы выросли. Не в полтора раза, а почти в десять. Старые статьи на эту тему, которые гуглятся в первой пятёрке, в основном устарели. Цифры там из 2023 года, когда максимум за обработку без согласия был 50 тысяч на ООО и 20 на ИП.

Сейчас вилка одна на всех — от 300 до 700 тысяч. Это первое нарушение. Повторное — до полутора миллионов. За утечку базы клиентов — от 3 до 15 миллионов. Это в 2026 году, и эти суммы продолжают действовать.

Дальше — что конкретно поменялось, сколько и за что штрафуют сейчас, и что с этим можно сделать. Без воды и юридических кружев.

Содержание

Что случилось 30 мая 2025-го
Главная таблица штрафов 2026
Сколько штраф за отсутствие политики на сайте
Что будет, если не подать уведомление в РКН
Штрафы за утечку персональных данных
Уголовная ответственность по ст. 272.1 УК
Можно ли использовать иностранные счётчики
Как Роскомнадзор узнаёт о нарушениях
Что делать чтобы не получить штраф
Частые вопросы
Об авторе

Что случилось 30 мая 2025-го

Краткий ответ. 30 мая 2025 года вступил в силу закон 420-ФЗ. Он внёс изменения в КоАП и УК — штрафы выросли в среднем в 10 раз, ИП и ООО теперь штрафуют одинаково, добавилась уголовная ответственность и отдельные крупные штрафы за утечки данных.

Лампа над раскрытым лавбуком с лупой — обновлённые правила 152-ФЗ

Главное:

— Штрафы по 152-ФЗ выросли в среднем в десять раз. — ИП и ООО штрафуют одинаково. Раньше предпринимателям делали скидку — теперь нет. — За утечку теперь отдельная статья. До этого штрафовали по общей «нарушение режима обработки», и суммы были смешные. — Появилась уголовка по ст. 272.1 УК — за продажу и незаконную передачу персональных данных.

И — что важнее цифр — Роскомнадзор с ноября 2025-го перешёл на автоматические проверки. Заходит на сайт, смотрит политику, формы, cookie-баннер, иностранные счётчики. Если что-то не так — присылает уведомление. На исправление 10 рабочих дней. Дальше — штраф.

Раньше у малого бизнеса было ощущение, что РКН пьют чай и до него никогда не дойдут. Сейчас этот аргумент не работает: бот не пьёт чай.

Главная таблица штрафов 2026

Краткий ответ. Первое нарушение — 300-700 тысяч рублей одинаково для ИП и ООО. Повторное — до 1,5 миллионов. Утечка от 1000 записей — от 3 миллионов. Не подал уведомление в РКН — отдельный штраф 100-300 тысяч. Все суммы — из действующего КоАП РФ.

Нарушение	ИП	ООО	Статья
Обработка без согласия (первое)	300 000 – 700 000 ₽	300 000 – 700 000 ₽	ст. 13.11 ч. 1 КоАП
Повторное нарушение	1 000 000 – 1 500 000 ₽	1 000 000 – 1 500 000 ₽	ст. 13.11 ч. 1.1
Несоответствие согласия требованиям закона	300 000 – 700 000 ₽	300 000 – 700 000 ₽	ст. 13.11 ч. 2
Нет политики обработки ПДн / нет ссылки на неё	30 000 – 60 000 ₽	60 000 – 100 000 ₽	ст. 13.11 ч. 3
Нет уведомления в РКН (вы не в реестре операторов)	100 000 – 300 000 ₽	100 000 – 300 000 ₽	ст. 19.7
Утечка 1 000 – 10 000 человек	3 000 000 – 5 000 000 ₽	3 000 000 – 5 000 000 ₽	ст. 13.11 ч. 12
Утечка 10 000 – 100 000 человек	5 000 000 – 10 000 000 ₽	5 000 000 – 10 000 000 ₽	ст. 13.11 ч. 13
Утечка свыше 100 000 человек	10 000 000 – 15 000 000 ₽	10 000 000 – 15 000 000 ₽	ст. 13.11 ч. 14
Не сообщили РКН об утечке	1 000 000 – 3 000 000 ₽	1 000 000 – 3 000 000 ₽	ст. 13.11 ч. 11
Передача данных за рубеж без согласия	100 000 – 200 000 ₽	300 000 – 6 000 000 ₽	ст. 13.11 ч. 9
Незаконная передача со служебным положением	штраф до 800 000 ₽ или срок до 5 лет	—	ст. 272.1 УК

Источник: Кодекс об административных правонарушениях РФ, Уголовный кодекс ст. 272.1. Размеры в таблице — это вилки из закона. Конкретную сумму определяет суд или сам Роскомнадзор. На практике для первого нарушения обычно берут минимум, для повторного — ближе к верхней границе. Но это не правило, это наблюдение.

Сколько штраф за отсутствие политики на сайте

Краткий ответ. Для ИП — 30 000-60 000 ₽, для ООО — 60 000-100 000 ₽. Штрафуют не только за отсутствие политики, но и за то, что она шаблонная или не описывает реальные формы вашего сайта.

Пустой лист с красным карандашом — отсутствие политики конфиденциальности

Если посмотреть, по какой статье РКН выписывает большинство предписаний малому бизнесу — это будет именно «отсутствие политики или несоответствие её требованиям». По моим наблюдениям — это 30-40% сайтов микро- и малого бизнеса. Может больше.

И штраф тут самый «доступный» — для ИП 30-60 тысяч, для ООО 60-100 тысяч. Не миллионы, но и не копейки. И главное — это нарушение видно автоматическому сканеру РКН за секунду, никаких поводов искать его не надо.

Когда срабатывает: нет политики вообще, или она есть, но в подвале, а ссылки рядом с формой нет. Или политика есть, но это шаблон с реквизитами «ООО Ромашка» — то есть очевидно скачан с какого-то форума и не вычитан. Или политика своя, но в ней нет 17 обязательных пунктов по статье 18.1.

Семнадцать пунктов — это много. Шаблонные «генераторы политики» из интернета обычно дают пять-семь. И там, как правило, общие формулировки в духе «мы не передаём ваши данные третьим лицам», хотя в реальности на сайте стоит Google Analytics и эти данные летят в США каждую секунду.

Что должно быть в политике, если совсем коротко: ваши реквизиты, цели обработки, перечень данных, способы, сроки, перечень третьих лиц (если передаёте — например, в Метрику), порядок работы с запросами от субъектов, порядок уничтожения данных. И так далее, все 17 пунктов.

Шаблонная политика из Tilda, WordPress или конструктора сайта — обычно не доходит даже до десяти пунктов. И это нарушение, формально подтверждённое автоматическим сканером.

Что будет, если не подать уведомление в РКН

Краткий ответ. Штраф 100 000-300 000 ₽, одинаковый для ИП и ООО. Подаётся бесплатно через Госуслуги за 20-30 минут. После подачи вас включают в реестр операторов на pd.rkn.gov.ru.

Самая забываемая обязанность. Многие предприниматели думают: я небольшой ИП, какая ещё регистрация. А это не регистрация — это уведомление. Бесплатное, подаётся через Госуслуги, занимает полчаса. И если его нет — отдельный штраф от 100 до 300 тысяч.

Эта статья срабатывает независимо от наличия политики на сайте. Можно сделать идеальную политику и всё равно получить штраф — просто потому что вы не в реестре операторов на сайте РКН.

Проверить, есть ли вы там: pd.rkn.gov.ru, поиск по ИНН. Если нашли — отлично. Не нашли — идите на Госуслуги, найдите услугу «Уведомление об осуществлении обработки персональных данных», заполните форму. В течение 10 рабочих дней включат в реестр и выдадут номер. Этот номер потом указывается в вашей политике.

Кстати, наличие в реестре — это полноценный фактор доверия. Видно в Яндексе при поиске по ИНН.

Штрафы за утечку персональных данных

Краткий ответ. Прогрессивная шкала по количеству пострадавших: 1-10 тысяч записей — 3-5 миллионов, 10-100 тысяч — 5-10 миллионов, свыше 100 тысяч — 10-15 миллионов. Плюс отдельный штраф 1-3 миллиона за то, что не сообщили РКН в течение 24 часов.

Папка с документами растворяется в синих пиксельных частицах — концепция утечки данных

Это то, что появилось именно в 2025-м и чего не было раньше. Раньше за утечку штрафовали как за «нарушение режима обработки» — те же 30-50 тысяч. Сейчас:

— Утечка от 1 до 10 тысяч записей — от 3 до 5 миллионов. — От 10 до 100 тысяч — от 5 до 10 миллионов. — Свыше 100 тысяч — от 10 до 15 миллионов. — Повторная утечка — до 3% годовой выручки, но не меньше 15 миллионов.

И плюс отдельный штраф за то, что не сообщили РКН — от 1 до 3 миллионов. По закону у вас 24 часа на уведомление с момента, когда вы узнали об утечке. И 72 часа на отчёт о результатах расследования.

Звучит жёстко, но логика понятная: пытаешься замять — получаешь двойной удар. Сообщил вовремя — есть шанс на минимальный размер.

К малому бизнесу это применимо? Утечка может произойти у кого угодно. У ИП с базой в 5 тысяч клиентов — это уже минимум 3 миллиона штрафа. У интернет-магазина с десятью тысячами заказов — до 10 миллионов. Поэтому хранить базу клиентов на личной почте бухгалтера или в Excel-файле на расшаренном диске — теперь сильно опаснее, чем было.

Уголовная ответственность по ст. 272.1 УК

Краткий ответ. Появилась в 2024-м. До 10 лет лишения свободы за продажу баз, незаконную передачу данных или использование служебного положения. За первые 6 месяцев применения возбудили около 600 дел.

В 2024-м в Уголовный кодекс добавили статью 272.1 — «Незаконные использование и (или) передача персональных данных». То есть теперь некоторые истории заканчиваются не штрафом, а реальным сроком.

За что: — Незаконно получил персональные данные (купил базу у бывшего сотрудника). — Незаконно передал или продал персональные данные. — Использовал служебное положение, чтобы данные получить (бухгалтер скопировал базу клиентов). — Передача данных, которая привела к тяжким последствиям.

Сроки: — Базовый состав — штраф до 300 тысяч или лишение свободы до 4 лет. — Со служебным положением — до 5 лет. — Группой по сговору — до 6 лет. — С тяжкими последствиями — до 8 лет. — В отношении специальных категорий (медданные, биометрия и так далее) — до 10 лет.

Прокуратура отчиталась за первые полгода применения статьи: возбудили около 600 уголовных дел. Большая часть — против сотрудников банков и операторов call-центров, которые продавали клиентские базы. К малому бизнесу прямо применяется редко — но если бывший сотрудник скопировал вашу базу и кому-то продал, он попадёт под 272.1. А вы как работодатель попадёте под административный штраф за отсутствие мер защиты.

Можно ли использовать иностранные счётчики

Краткий ответ. Технически можно, но это считается «трансграничной передачей» данных. Нужно: подать отдельное уведомление в РКН + получить отдельное согласие пользователя + описать передачу в политике. На практике проще убрать Google Analytics, Hotjar, Meta Pixel и заменить на российские аналоги.

Глобус с потоками данных, пересекающими границы — трансграничная передача персональных данных

Google Analytics, Meta Pixel, Hotjar, Mixpanel, Amplitude, FullStory — все эти сервисы передают данные посетителей вашего сайта за рубеж. С точки зрения 152-ФЗ это «трансграничная передача персональных данных», и она требует:

— отдельного уведомления в Роскомнадзор о такой передаче, — отдельного согласия каждого посетителя (не просто галочка под формой), — описания этой передачи в политике конфиденциальности, — страны получателя должны быть в списке «адекватной защиты данных» (США в этом списке нет).

Штрафы за нарушение — для ИП 100-200 тысяч, для ООО 300 тысяч — 6 миллионов. Шесть миллионов — это потолок, обычно начинают с минимума.

На практике почти никто этого не делает. Просто ставят Google Analytics, потому что «он бесплатный и удобный», и всё. РКН это видит. Сейчас всё чаще выписывают именно по этой статье.

Что делать. Самое простое — снести GA и поставить Яндекс Метрику. Российский сервис, данные не покидают РФ, никаких отдельных согласий не нужно. Hotjar заменить на Carrot Quest или OneZero. Meta Pixel — на VK Pixel или myTarget. Долгая дискуссия «но Метрика хуже» обычно стоит дешевле, чем 300 тысяч штрафа.

Как Роскомнадзор узнаёт о нарушениях

Краткий ответ. С ноября 2025-го РКН использует автоматический сканер. Бот сам ходит по сайтам, проверяет политику, cookie-баннер, формы, иностранные счётчики. Жалоба не нужна. Если найдёт — присылает уведомление через Госуслуги, 10 рабочих дней на исправление.

Раньше — только по жалобам. Сейчас — по результатам автоматического сканирования. И это надо повторить, потому что многие до сих пор живут в старой реальности.

Сканер РКН ходит по сайтам и анализирует, в произвольном порядке:

— Есть ли политика конфиденциальности и ссылка на неё с главной. — Соответствует ли политика 17 пунктам ст. 18.1. — Есть ли cookie-уведомление и какие у него настройки. — Какие иностранные счётчики использует сайт. — Какие формы стоят на сайте и какие согласия рядом с ними. — Доступны ли контактные данные оператора.

Когда находит нарушение, формируется акт. Вам приходит уведомление через Госуслуги. На исправление 10 рабочих дней — если уложились, штрафа нет. Не уложились — штраф и постановление.

И вот что важно: алгоритм этого сканера известен. Он описан в регламентах РКН, и по нему сделано несколько публичных сервисов. Наш в том числе. Если наш сервис говорит «у вас всё чисто» — это значит и сканер РКН пройдёт мимо. Логика та же.

Что делать чтобы не получить штраф

Краткий ответ. 6 шагов: подать уведомление в РКН, сделать политику под ваш сайт, добавить согласие в каждую форму, поставить cookie-уведомление, убрать иностранные счётчики, регулярно проверять. По моим наблюдениям этого хватает в 80% случаев малого бизнеса.

Блокнот с пометками и кружка кофе — чек-лист действий для соответствия 152-ФЗ

Шаг 1. Подать уведомление в Роскомнадзор. Через Госуслуги, бесплатно, занимает полчаса. Получите номер записи в реестре операторов, потом этот номер указывается в политике.

Шаг 2. Сделать политику конфиденциальности под ваш сайт. Не шаблон с пустыми полями, а документ с реальными вашими реквизитами, реальным перечнем форм и реальным описанием инструментов аналитики. Если на сайте стоит Метрика — она должна быть в политике. Если Tilda — её формы тоже.

Шаг 3. Под каждой формой — согласие на обработку. Конкретно: галочка, активная не по умолчанию, рядом с кнопкой «Отправить». Текст согласия — со ссылкой на политику. Без галочки данные собирать нельзя.

Шаг 4. Поставить cookie-уведомление. Полоска внизу при первом заходе. С кнопкой «Принять» и кнопкой «Отказаться» — одинаково заметными. Запоминает выбор пользователя. Если пользователь отказался — иностранные счётчики не подгружаются.

Шаг 5. Убрать Google Analytics и подобное — или подать отдельное уведомление о трансграничной передаче. Первое проще.

Шаг 6. Регулярно проверять. Любая правка сайта может что-то сломать. Подрядчик добавил Hotjar для теста — забыл выключить. Маркетолог поменял форму — слетела галочка с согласием. Хорошо, если заметите сами. Хорошо, если есть мониторинг.

Бесплатная автоматическая проверка по этим критериям — на pdaudit.ru, занимает 30 секунд. Если найдёт нарушения, дальше уже думайте сами: делать самим, нанять подрядчика или купить готовый пакет документов за 290 рублей.

Частые вопросы

Самозанятые тоже попадают под 152-ФЗ?

Да. Закон не делает разницы между ИП, самозанятыми и ООО. Если на сайте есть форма обратной связи — обязанности у самозанятого такие же, как у крупной компании.

Я только зарегистрировал ИП — мне сразу штрафы?

Не сразу. Сразу после регистрации просто подайте уведомление в РКН, поставьте политику, добавьте согласия. Срок между запуском сайта и проверкой РКН обычно несколько месяцев. Лучше успеть.

IP-адрес — это персональные данные?

В последней судебной практике — да. Если IP можно сопоставить с конкретным человеком (через провайдера или через данные на сайте), это персональные данные. Логи на сервере, аналитика по IP — всё это формально попадает под закон. На практике штрафуют редко именно за IP, но это серая зона.

Яндекс Метрику использовать можно?

Можно. Метрика — российский сервис, данные не уходят за границу. Но её использование надо задекларировать в политике и в cookie-уведомлении. Без декларации — то же нарушение, что и с Google Analytics, только с меньшими штрафами по статье «отсутствие политики».

Сколько времени даётся на исправление после уведомления?

10 рабочих дней с момента, когда вы получили уведомление через Госуслуги или заказным письмом. Не успели — постановление о штрафе. Можно попросить отсрочку, иногда дают ещё 10 дней.

Можно ли отделаться предупреждением, если впервые нарушил?

По 152-ФЗ — нет. В законе нет специальной нормы «первое нарушение прощаем». Минимум из вилки — это и есть «скидка» для первого случая. Но при повторном суд минимум уже не даст.

Шаблон политики из Tilda или Битрикса — это считается?

Не считается. Стандартный блок политики из любого конструктора (Tilda, Битрикс, WordPress, Webasyst) — это общие формулировки, в которых не описаны конкретно ваши формы и реквизиты. Может служить основой, но обязательно нужно править под себя.

Получил уведомление от РКН — что делать прямо сейчас?

Не паниковать. У вас 10 рабочих дней. Внимательно прочитайте, какие нарушения указаны. Устраните каждое по списку. Отправьте ответ в РКН через Госуслуги с подтверждением. Если не успеваете — попросите отсрочку.

Если нужна срочная помощь, чтобы за вас сделали политику, согласие, cookie-уведомление и помогли поставить на сайт — у нас есть тариф «Под ключ» за 9 900 ₽. Договор, акт, счёт через ЭДО Контур.Диадок. Срок — 1-3 рабочих дня.

Дальше

Бесплатно проверьте свой сайт на pdaudit.ru. 30 секунд, без регистрации. Покажем конкретные нарушения и точные суммы штрафов для вашей формы собственности. Если у вас всё в порядке — отлично, никаких действий не нужно. Если что-то не так — решайте: исправлять самим, нанимать подрядчика или взять у нас готовые документы.

И на всякий случай ещё раз: размеры штрафов в этой статье — реальные суммы из действующих редакций КоАП и УК. Источники в конце. Применение к каждому конкретному случаю определяет суд или Роскомнадзор. Статья — обзорная, не юридическая консультация. По спорным ситуациям лучше консультироваться с юристом.

Об авторе

Дмитрий Синица. ИП с 2013 года, в разработке с 2010-го.

Направления: сайты (от лендингов до магазинов), чат-боты с ИИ и без, автоматизация процессов в малом бизнесе.

PdAudit.ru сделал, зная боли своих клиентов: кто-то где-то услышал про 152-ФЗ, подумал «потом разберусь», и через год сайт всё ещё без политики и согласия. Сервис за минуту находит проблемы и собирает готовые документы под конкретный сайт.

ИНН 502716306004, ОГРНИП 313502708000051. Запись в реестре операторов ПДн №77-25-358038 от 23.06.2025.

Источники

— Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» — Федеральный закон от 30.05.2025 №420-ФЗ (поправки в КоАП и УК) — Кодекс об административных правонарушениях РФ, статьи 13.11 и 19.7 — Уголовный кодекс РФ, статья 272.1 — Статья 18.1 152-ФЗ (требования к политике) — Реестр операторов на pd.rkn.gov.ru

Актуализация статьи: 19 мая 2026.