Распространяется ли 152-ФЗ на мой небольшой сайт?

Да, если на сайте есть любая форма с именем, email или телефоном — даже простая «Связаться с нами» или подписка на рассылку. Закон не делает исключений для малого бизнеса, ИП или самозанятых.

У меня уже есть политика конфиденциальности. Этого достаточно?

Не всегда. Роскомнадзор проверяет не только наличие политики, но и её содержание. Документ должен включать 17 обязательных пунктов (статья 18.1 152-ФЗ) и соответствовать тому, что вы указали в реестре операторов. Если политика — это шаблон из интернета без ваших реквизитов и без описания всех собираемых данных, штраф возможен.

Использую Яндекс Метрику — это нарушение?

Яндекс Метрика — российский сервис, использовать можно. Но её нужно задекларировать в политике и в cookie-уведомлении на сайте. Google Analytics и Meta Pixel передают данные за рубеж — для них нужно отдельное согласие пользователя и заявление в Роскомнадзор о передаче данных за границу. Дешевле и проще убрать Google Analytics и поставить Яндекс Метрику.

Какие сейчас штрафы за нарушения 152-ФЗ?

С 30 мая 2025 года штрафы выросли в 10 раз. Для ИП и для ООО суммы одинаковые: первичное нарушение — 300 000 – 700 000 ₽, повторное — 1 000 000 – 1 500 000 ₽. За утечку 1–10 тысяч записей — 3–5 миллионов ₽. За отсутствие уведомления в Роскомнадзор — 100 000 – 300 000 ₽. Точные суммы по каждому нарушению — в нашем отчёте.

Что такое «автоматический сканер РКН» и при чём тут я?

С ноября 2025 года Роскомнадзор запустил автоматическую проверку сайтов. Бот заходит на сайт, ищет формы, политику, согласие, иностранные счётчики — и если что-то не так, выписывает предписание. После предписания у вас 10 рабочих дней на исправление, иначе штраф. Наша проверка работает по той же логике — вы узнаете о проблемах раньше Роскомнадзора.

Проверяете ли соответствие закону о русском языке (168-ФЗ)?

Да. С 1 марта 2026 года вся потребительская информация на сайте должна быть на русском языке (ФЗ-168). Мы находим иностранные слова без русского перевода рядом — например кнопки «Sale», «Buy», «Checkout» — сверяясь со словарями РАН и отсеивая зарегистрированные бренды и общепринятые термины. Результат — сигнал к проверке с указанием штрафов по ст. 14.8 КоАП (5 000–10 000 ₽ для юрлиц, 500–1 000 ₽ для ИП).

Нужно ли подавать заявление (уведомление) в Роскомнадзор?

Если на сайте есть форма с персональными данными (имя, email, телефон) — да, нужно. Подаётся через Госуслуги бесплатно, занимает 20-30 минут. Без подачи — штраф 100 000 – 300 000 ₽. После заявления вас включают в реестр операторов персональных данных.

Что я получу в платном тарифе кроме отчёта?

В тарифе «Базовый отчёт» (290 ₽): подробный PDF с анализом каждого нарушения, политика конфиденциальности и согласие на обработку персональных данных под ваши реквизиты, cookie-уведомление с готовым кодом для вставки, инструкции по установке для Tilda, WordPress, Webasyst, Битрикс, Wix, OpenCart, MODX. Всё на email после оплаты.

Что входит в тариф «Под ключ» за 9 900 ₽?

Всё что в «Базовом» плюс мы сами поставим cookie-уведомление и политику на ваш сайт по SSH (или вы дадите доступ в админку). Дополнительно: договор оказания услуг через электронный документооборот, счёт, акт выполненных работ. Подходит если вы ИП или ООО и хотите чтобы за вас всё сделали.

Что такое мониторинг и зачем он мне?

Сразу после оплаты 990 ₽/мес вы получаете полный пакет документов под ваш сайт — как в тарифе «Базовый» (политика, согласие, cookie-баннер, инструкции, PDF-отчёт). Дальше раз в 7 дней мы перепроверяем сайт и присылаем diff на email: что добавилось из нарушений, что исправилось. Критичные — с приоритетным заголовком. Отмена в любой момент.

Как вы получаете данные о сайте? Это безопасно?

Мы заходим на сайт как обычный посетитель и смотрим публичные страницы (главная, политика, форма контактов). К базе данных, админке или коду на сервере мы не подключаемся. Никаких логинов и паролей не нужно. Это полностью безопасно — то же самое делает любой посетитель сайта.

Трансграничная передача персональных данных — когда нужно отдельное согласие

Большинство владельцев сайтов даже не догадываются, что используя Google Analytics или Meta Pixel, они нарушают 152-ФЗ. С 2023 года передача данных за границу регулируется отдельной статьёй, и за её нарушение штраф для ООО — до 6 миллионов. В этой статье разбираемся что такое «трансграничная передача», когда нужно отдельное согласие и уведомление в РКН, и как пользоваться иностранными сервисами легально.

Содержание

Что такое трансграничная передача
Список «безопасных» и «опасных» сервисов
Когда передача разрешена без особых процедур
Что нужно для легального GA
Какие штрафы
Российские альтернативы
Частые вопросы
Об авторе

Что такое трансграничная передача

Краткий ответ. Любая передача персональных данных за пределы России — на сервер за границей. Не важно физически или через интернет. Установили Google Analytics — уже передаёте данные посетителей в США.

По статье 12 152-ФЗ «трансграничная передача» — это передача данных оператором или обработчиком на территорию иностранного государства. Способ передачи не важен: физический носитель, электронная почта, веб-сервис.

В реальной жизни на сайте трансграничная передача происходит через:

— Иностранные счётчики — Google Analytics, Hotjar, Mixpanel, Amplitude, FullStory — Иностранные рекламные пиксели — Meta Pixel (Facebook), TikTok Pixel, Twitter Ads — Иностранные CRM — Salesforce, HubSpot — Иностранные email-сервисы — Mailchimp, SendGrid — Иностранные облачные хранилища — Dropbox, Google Drive (если хранят базы клиентов) — Иностранные чаты — Intercom, Drift

Каждый раз когда посетитель заходит на сайт с GA — IP-адрес, cookies, поведение на странице моментально летят в Mountain View.

Список «безопасных» и «опасных» сервисов

Безопасные (передача внутри РФ, не требует особых процедур):

— Яндекс Метрика — myTarget (от VK) — VK Pixel — Roistat — Carrot Quest — OneZero — Битрикс24 — AmoCRM — UniSender (для рассылок) — RuSender — ЮKassa, CloudPayments, Tinkoff (платежи)

Опасные (трансграничная передача, требует отдельных согласий):

— Google Analytics (США) — Hotjar (Мальта, ЕС) — Mixpanel (США) — Amplitude (США) — FullStory (США) — Meta Pixel / Facebook Pixel (США) — TikTok Pixel (Китай / США) — LinkedIn Insight Tag (США) — Mailchimp (США) — SendGrid (США) — Intercom (США) — Salesforce (США) — HubSpot (США)

Если у вас на сайте есть хоть один сервис из второго списка — у вас трансграничная передача, и нужно соблюдать дополнительные требования.

Когда передача разрешена без особых процедур

Краткий ответ. Если страна получателя находится в специальном перечне «обеспечивающих адекватную защиту ПДн», утверждённом РКН. Большинство западных стран в этом списке не находятся.

В перечне РКН (документ 2008 года с обновлениями) находятся:

— Большинство стран ЕАЭС (Казахстан, Беларусь, Армения, Киргизия) — Большинство стран ЕС (Германия, Франция, Италия, Испания и т.д.) — Япония — Канада — Австралия — Аргентина

НЕТ в перечне:

— США (где основные серверы Google, Meta, большинства американских сервисов) — Великобритания — Израиль — Турция — Швейцария

То есть Google Analytics (серверы в США) — формально не подпадает под «упрощённый» режим. Нужны все требования к трансграничной передаче.

Что нужно для легального GA

Если хотите оставить Google Analytics или другой иностранный сервис на сайте — закон требует выполнить 4 пункта:

Шаги для легального использования Google Analytics

1. Отдельное уведомление в РКН о трансграничной передаче. Подаётся помимо основного уведомления оператора. В уведомлении указываются: страна получателя, наименование иностранного оператора, цель передачи.

2. Отдельное согласие субъекта на трансграничную передачу. Не общее «соглашаюсь с обработкой ПДн» — а конкретно «согласен на передачу данных за границу для целей аналитики через Google Analytics (США)». Чекбокс — активный не по умолчанию.

3. Описание в политике конфиденциальности. В разделе про передачу третьим лицам — явное указание стран и иностранных сервисов. Без декларации — нарушение.

4. Cookie-уведомление с управлением. Иностранный счётчик загружается только после явного согласия пользователя через cookie-уведомление. Если пользователь нажал «Отказаться» — счётчик не должен подгружаться.

Большинство малых бизнесов всего этого не делают. Поэтому у них формально нарушение и риск штрафа до 6 миллионов.

Какие штрафы

По части 9 статьи 13.11 КоАП за нарушение требований к трансграничной передаче:

— Для ИП: 100-200 тысяч ₽ — Для ООО: 300 тысяч – 6 миллионов ₽

Шесть миллионов — это потолок, обычно за первое нарушение берут ближе к нижней границе. Но даже минимум 300 тысяч для ООО — серьёзно для микро-бизнеса.

Помимо этого может добавиться штраф за отсутствие соответствующего согласия (статья 13.11 часть 2) — ещё 300-700 тысяч. И за политику без декларации (часть 3) — ещё 60-100 тысяч.

Итого за необъявленный Google Analytics на сайте можно одновременно получить три штрафа от разных частей 13.11.

Российские альтернативы

Самое практичное решение — заменить иностранные сервисы на российские. Список замен:

Иностранный	Российский аналог	Что делает
Google Analytics	Яндекс Метрика	Веб-аналитика, поведение
Hotjar	Carrot Quest / Vepricem	Тепловые карты, запись сессий
Mixpanel / Amplitude	Roistat	Продуктовая аналитика
Meta Pixel	VK Pixel / myTarget	Рекламные кампании
Mailchimp	UniSender / RuSender / SendPulse	Email-рассылка
Intercom	Carrot Quest / JivoSite	Онлайн-чат
Salesforce	Битрикс24 / AmoCRM	CRM
Stripe	ЮKassa / CloudPayments / Tinkoff	Платежи
Google Maps	Yandex Maps	Карты
ReCaptcha	Yandex SmartCaptcha	Защита от ботов
Dropbox	Yandex Disk / Mail.ru Cloud	Облачное хранение

Качество многих российских аналогов уже сопоставимо. Метрика во многих местах удобнее чем GA — для русскоязычной аудитории особенно. Carrot Quest имеет даже больше функций чем Intercom для российского рынка.

Замена решает проблему 100% — нет трансграничной передачи, нет требований, нет штрафа.

Частые вопросы

Если я не использую Google Analytics — у меня всё чисто?

Скорее всего да. Но проверьте: Meta Pixel? TikTok Pixel? Hotjar для тестов? Mailchimp для рассылки? Любая из этих штук — трансграничная передача.

Как проверить какие иностранные сервисы есть на моём сайте?

Самый простой способ — наша бесплатная проверка. Мы сканируем сайт и показываем список всех счётчиков с указанием страны передачи данных.

Если я просто фрилансер и не подавал ничего в РКН — есть ли смысл оформлять трансграничную передачу?

Сначала нужно подать основное уведомление как оператор. После этого можно отдельно подать уведомление о трансграничной передаче. По хронологии: основное → потом дополнительное (если оно вам нужно).

Передача в страны ЕАЭС (Казахстан, Беларусь) — это трансграничная передача?

Формально да, но эти страны в перечне «адекватной защиты», так что упрощённый режим. Не нужно отдельного уведомления, не нужно специального согласия. Но в политике лучше указать.

Если я использую ChatGPT для ответов клиентам — это передача данных?

Если в промпте упоминаете персональные данные клиентов — формально да, и это передача в OpenAI (США). Лучше использовать YandexGPT или Sber GigaChat для тех же задач.

Что если мой клиент — иностранец и сам зашёл на сайт?

Если он зашёл с иностранного IP, его IP технически может попасть в логи на российском сервере. Это не трансграничная передача (данные от него к вам). Передача — это от вас к ним.

Можно ли использовать VPN на сервере для скрытия страны получателя?

Технически — можно, но юридически — обход закона. Если установят что вы намеренно скрывали трансграничную передачу — штраф больше + потенциально статья 13.13 КоАП (заведомое нарушение).

Что делать дальше

Если на вашем сайте есть Google Analytics или другой иностранный счётчик — самое простое решение заменить на российский аналог (Метрика для аналитики, VK Pixel для рекламы и т.д.). Это убирает риск штрафа полностью.

Если иностранный сервис вам критически нужен — подать отдельное уведомление о трансграничной передаче, добавить отдельное согласие в формы, отразить в политике, настроить cookie-уведомление с управлением загрузкой.

Бесплатная проверка вашего сайта — покажем какие иностранные сервисы у вас есть и какие штрафы вам грозят.

Готовая политика и согласие, учитывающие трансграничную передачу — в тарифе Базовый за 290 ₽.

Об авторе

Дмитрий Синица. ИП с 2013 года, в разработке с 2010-го.

Направления: сайты (от лендингов до магазинов), чат-боты с ИИ и без, автоматизация процессов в малом бизнесе.

PdAudit.ru сделал, зная боли своих клиентов: кто-то где-то услышал про 152-ФЗ, подумал «потом разберусь», и через год сайт всё ещё без политики и согласия. Сервис за минуту находит проблемы и собирает готовые документы под конкретный сайт.

ИНН 502716306004, ОГРНИП 313502708000051. Запись в реестре операторов ПДн №77-25-358038 от 23.06.2025.

Источники

— 152-ФЗ статья 12 — Перечень иностранных государств с адекватной защитой (РКН) — КоАП статья 13.11 часть 9

Актуализация: 19 мая 2026.