Распространяется ли 152-ФЗ на мой небольшой сайт?

Да, если на сайте есть любая форма с именем, email или телефоном — даже простая «Связаться с нами» или подписка на рассылку. Закон не делает исключений для малого бизнеса, ИП или самозанятых.

У меня уже есть политика конфиденциальности. Этого достаточно?

Не всегда. Роскомнадзор проверяет не только наличие политики, но и её содержание. Документ должен включать 17 обязательных пунктов (статья 18.1 152-ФЗ) и соответствовать тому, что вы указали в реестре операторов. Если политика — это шаблон из интернета без ваших реквизитов и без описания всех собираемых данных, штраф возможен.

Использую Яндекс Метрику — это нарушение?

Яндекс Метрика — российский сервис, использовать можно. Но её нужно задекларировать в политике и в cookie-уведомлении на сайте. Google Analytics и Meta Pixel передают данные за рубеж — для них нужно отдельное согласие пользователя и заявление в Роскомнадзор о передаче данных за границу. Дешевле и проще убрать Google Analytics и поставить Яндекс Метрику.

Какие сейчас штрафы за нарушения 152-ФЗ?

С 30 мая 2025 года штрафы выросли в 10 раз. Для ИП и для ООО суммы одинаковые: первичное нарушение — 300 000 – 700 000 ₽, повторное — 1 000 000 – 1 500 000 ₽. За утечку 1–10 тысяч записей — 3–5 миллионов ₽. За отсутствие уведомления в Роскомнадзор — 100 000 – 300 000 ₽. Точные суммы по каждому нарушению — в нашем отчёте.

Что такое «автоматический сканер РКН» и при чём тут я?

С ноября 2025 года Роскомнадзор запустил автоматическую проверку сайтов. Бот заходит на сайт, ищет формы, политику, согласие, иностранные счётчики — и если что-то не так, выписывает предписание. После предписания у вас 10 рабочих дней на исправление, иначе штраф. Наша проверка работает по той же логике — вы узнаете о проблемах раньше Роскомнадзора.

Проверяете ли соответствие закону о русском языке (168-ФЗ)?

Да. С 1 марта 2026 года вся потребительская информация на сайте должна быть на русском языке (ФЗ-168). Мы находим иностранные слова без русского перевода рядом — например кнопки «Sale», «Buy», «Checkout» — сверяясь со словарями РАН и отсеивая зарегистрированные бренды и общепринятые термины. Результат — сигнал к проверке с указанием штрафов по ст. 14.8 КоАП (5 000–10 000 ₽ для юрлиц, 500–1 000 ₽ для ИП).

Нужно ли подавать заявление (уведомление) в Роскомнадзор?

Если на сайте есть форма с персональными данными (имя, email, телефон) — да, нужно. Подаётся через Госуслуги бесплатно, занимает 20-30 минут. Без подачи — штраф 100 000 – 300 000 ₽. После заявления вас включают в реестр операторов персональных данных.

Что я получу в платном тарифе кроме отчёта?

В тарифе «Базовый отчёт» (290 ₽): подробный PDF с анализом каждого нарушения, политика конфиденциальности и согласие на обработку персональных данных под ваши реквизиты, cookie-уведомление с готовым кодом для вставки, инструкции по установке для Tilda, WordPress, Webasyst, Битрикс, Wix, OpenCart, MODX. Всё на email после оплаты.

Что входит в тариф «Под ключ» за 9 900 ₽?

Всё что в «Базовом» плюс мы сами поставим cookie-уведомление и политику на ваш сайт по SSH (или вы дадите доступ в админку). Дополнительно: договор оказания услуг через электронный документооборот, счёт, акт выполненных работ. Подходит если вы ИП или ООО и хотите чтобы за вас всё сделали.

Что такое мониторинг и зачем он мне?

Сразу после оплаты 990 ₽/мес вы получаете полный пакет документов под ваш сайт — как в тарифе «Базовый» (политика, согласие, cookie-баннер, инструкции, PDF-отчёт). Дальше раз в 7 дней мы перепроверяем сайт и присылаем diff на email: что добавилось из нарушений, что исправилось. Критичные — с приоритетным заголовком. Отмена в любой момент.

Как вы получаете данные о сайте? Это безопасно?

Мы заходим на сайт как обычный посетитель и смотрим публичные страницы (главная, политика, форма контактов). К базе данных, админке или коду на сервере мы не подключаемся. Никаких логинов и паролей не нужно. Это полностью безопасно — то же самое делает любой посетитель сайта.

Уголовная ответственность за персональные данные — ст. 272.1 УК РФ

В 2024 году в Уголовный кодекс добавили новую статью — 272.1, «Незаконные использование и (или) передача персональных данных». Это значит что некоторые истории с продажей баз клиентов теперь заканчиваются не штрафом, а реальным сроком до 10 лет. За первые полгода применения статьи возбудили около 600 уголовных дел. Что важно знать про это малому бизнесу.

Содержание

За что грозит уголовка по 272.1
Какие сроки и штрафы предусмотрены
Кого касается из малого бизнеса
Реальные кейсы 2025-2026
Как защитить себя как работодателя
Чем отличается от административной 13.11 КоАП
Частые вопросы
Об авторе

За что грозит уголовка по 272.1

Краткий ответ. За незаконное получение, передачу, продажу или иное распространение персональных данных с использованием служебного положения, группой лиц или с причинением вреда. Обычный административный штраф 13.11 КоАП — про нарушение правил обработки. Уголовка — про продажу баз и злоупотребление доступом.

Полный список действий, попадающих под 272.1:

— Незаконное получение ПДн — например, покупка слитой базы клиентов у бывшего сотрудника другой компании — Незаконная передача — продажа базы своих клиентов кому-то ещё без оснований — Использование служебного положения — бухгалтер скопировал базу с компьютера компании и продал — Распространение неправомерным способом — выложил базу в Telegram-канал «слитые базы» — Деяния в отношении специальных категорий ПДн — биометрия, медицинские данные, данные несовершеннолетних — Деяния, повлёкшие тяжкие последствия — пострадавший потерял деньги, здоровье, был запугиван

То есть простое нарушение правил обработки (нет согласия в форме, отсутствует политика) — это административка. Уголовка — про намеренные действия с целью наживы или вреда.

Какие сроки и штрафы предусмотрены

Уголовная ответственность

Часть статьи	Что	Наказание
272.1 ч. 1	Базовый состав (без квалифицирующих признаков)	штраф до 300 000 ₽ или лишение свободы до 4 лет
272.1 ч. 2	С использованием служебного положения	штраф до 500 000 ₽ или лишение свободы до 5 лет
272.1 ч. 3	Группой лиц по предварительному сговору	штраф до 800 000 ₽ или лишение свободы до 6 лет
272.1 ч. 4	Повлёкшие тяжкие последствия	штраф до 1 000 000 ₽ или лишение свободы до 8 лет
272.1 ч. 5	В отношении специальных категорий ПДн	штраф до 1 000 000 ₽ или лишение свободы до 10 лет

Дополнительно к лишению свободы может назначаться: — Запрет занимать определённые должности (на срок до 5 лет) — например, нельзя работать с базами клиентов — Дополнительный штраф в виде «зарплата за период» (до 3 лет дохода)

Кого касается из малого бизнеса

Краткий ответ. К самому ИП или директору ООО — редко применяется напрямую. К сотрудникам, которые скопировали и продали базу — да. К работодателю как стороне процесса — административно, за отсутствие мер защиты.

Сценарии когда уголовка касается малого бизнеса:

1. Бывший сотрудник продал базу клиентов. Например, маркетолог, который ушёл, прихватил Excel с 5000 клиентов и продал в Telegram-канал. Он попадает под 272.1 ч.2 (со служебным положением). Вы как работодатель — под административный штраф 13.11 КоАП за отсутствие технических мер защиты (был дан слишком широкий доступ).

2. Сами решили продать свою базу. ИП маркетолог собрал базу клиентов через свой сайт за пару лет, потом продал её рекламному агентству. Если согласия клиентов на передачу третьим лицам нет — попадает под 272.1 ч.1.

3. Использовали базу из «слитого» источника. Купили базу у анонимного продавца, рассылаете по ней — попадаете под 272.1 (незаконное получение и использование).

4. CRM сотрудника содержит данные клиентов прошлого работодателя. Если сотрудник принёс с собой контакты и вы рассылаете по ним рекламу — формально 272.1.

К самому ИП-владельцу сайта-визитки с формой обратной связи 272.1 НЕ применяется, если он не делает с собранными данными ничего из списка выше. Обычная обработка — это административка.

Реальные кейсы 2025-2026

По данным Генпрокуратуры за первые 6 месяцев применения статьи — около 600 уголовных дел. Самые громкие категории:

1. Сотрудники банков и call-центров. Самая массовая категория. Сотрудники имеют доступ к базам клиентов, продают их в дарквеб и Telegram. Типичный приговор — 2-4 года условно + штраф 200-500 тысяч.

2. Сотрудники операторов связи. Сливают данные о звонках, геолокации, паспортные данные. Часто работают «по запросам» — кто-то заказывает «пробить» конкретного человека.

3. Бухгалтеры на аутсорсе. Имеют доступ к финансовым и кадровым данным десятков компаний. При расторжении договоров копируют базы и продают.

4. Бывшие сотрудники интернет-магазинов. Уносят базы клиентов с историей покупок. Особо ценны базы магазинов с премиум-сегментом.

5. Кейс с медицинскими данными (2025 год, около 10 дел). Сотрудники мед.учреждений сливали диагнозы и контакты — для использования в рекламе лекарств. По части 5 — до 10 лет.

По состоянию на май 2026 года — статья применяется активно, но реальные сроки лишения свободы получают единичные. В основном — условно + штраф + запрет работать с базами.

Как защитить себя как работодателя

Если у вас есть сотрудники с доступом к клиентской базе, минимум мер защиты:

1. Подпишите соглашение о неразглашении (NDA). В трудовом договоре или отдельным соглашением. Прямо укажите что клиентская база — конфиденциальная информация работодателя.

2. Технически разграничьте доступы. Менеджер видит только своих клиентов, бухгалтер — финансовые данные, маркетолог — агрегированную статистику. Никто не имеет доступа ко всей базе.

3. Логируйте действия с базой. Кто и когда скачивал данные. Большинство CRM это делают автоматически.

4. При увольнении сразу отзывайте доступы. В первый же день после ухода — отключить учётные записи, забрать корпоративные устройства, сменить пароли к CRM.

5. Поставьте мониторинг на массовые выгрузки. В Битрикс24, AmoCRM и большинстве CRM можно настроить уведомления когда кто-то экспортирует базу.

6. Регулярно меняйте пароли. Каждые 3-6 месяцев. Особенно после ухода сотрудника с доступом.

7. Бэкапы — отдельно и зашифрованы. Если у вас есть бэкап БД клиентов на личном Yandex.Диске сотрудника — это потенциальная утечка.

Если у вас просто сайт с формой обратной связи и одним сотрудником (вами) — большинство мер избыточны. Главное — пароль на CRM не «12345» и базу не лежать в открытом доступе.

Чем отличается от административной 13.11 КоАП

Часто путают «административку по 152-ФЗ» и «уголовку по 272.1 УК». Различия:

13.11 КоАП (административная): — За нарушение правил обработки (нет согласия, нет политики, не подал уведомление) — Применяется к организации или ИП как к юридическому лицу — Штрафы — десятки тысяч до миллионов — Не идёт в трудовую книжку, не блокирует выезд за границу — Применяется Роскомнадзором или судами по делам об административных правонарушениях

272.1 УК (уголовная): — За намеренное незаконное использование/передачу/продажу — Применяется к физическим лицам (конкретным виновникам) — Наказание — реальный срок лишения свободы или большой штраф — Судимость идёт в личную историю, ограничения по трудоустройству — Применяется судами общей юрисдикции по уголовным делам

В одной истории может быть и то и другое: ИП «недосмотрел за сотрудником» (штраф 13.11) + сотрудник продал базу (срок по 272.1).

Частые вопросы

Если я ИП и работаю один — мне грозит 272.1?

Скорее нет, чем да. Статья — про намеренные действия (продажа баз, использование служебного положения). Если вы просто собираете данные клиентов через форму и используете их по назначению — это обычная обработка, под административку 13.11 КоАП.

Можно ли продать свой собственный бизнес вместе с базой клиентов?

Можно, но через специальную процедуру. Покупатель должен получить согласие клиентов на передачу данных (или это должно быть в исходных согласиях клиентов). Без согласия — формально 272.1 ч.1.

Если бывший сотрудник продал нашу базу — мы как работодатель попадаем под 272.1?

Нет, под 272.1 попадает он лично. Вы как работодатель — под административный штраф 13.11 КоАП (если не приняли меры защиты).

Что считается «использованием служебного положения»?

Когда сотрудник использует доступ к данным, который дал ему работодатель. Бухгалтер видит финансовые данные клиентов — это служебное положение. Менеджер видит контакты — то же самое. Любое использование этого доступа не для работы — 272.1 ч.2.

Условный срок по 272.1 — это сильно?

Условный срок — это не лишение свободы фактически, но судимость. Это запрет работать в банках, госорганах, силовых структурах. Запрет на занятие определённых должностей. Запрет на выезд за границу в большинство стран. Это серьёзно влияет на жизнь.

Если я купил базу у анонимного продавца — меня посадят?

Возбудят дело по 272.1 ч.1 «незаконное получение». Если докажете что не знали что база ворованная — возможно прекращение. Но на практике сложно объяснить почему вы покупали базу у анонима.

Как доказать что не я продал базу?

При утечке РКН проводит расследование. Если у вас были логи доступа к БД, разграничение прав, NDA сотрудников — вы как работодатель не несёте уголовной ответственности. Виновного находят по логам.

Что делать дальше

Для большинства микро-бизнесов 272.1 — не главная угроза. Главное — закрыть административные риски: подать уведомление в РКН, поставить политику и согласие на сайт.

Если у вас есть сотрудники с доступом к клиентской базе — подпишите NDA и разграничьте доступы. Это снизит риск 272.1 в отношении ваших сотрудников и ваш собственный риск 13.11 КоАП.

Бесплатная проверка сайта. 30 секунд, без регистрации.

Об авторе

Дмитрий Синица. ИП с 2013 года, в разработке с 2010-го.

Направления: сайты (от лендингов до магазинов), чат-боты с ИИ и без, автоматизация процессов в малом бизнесе.

PdAudit.ru сделал, зная боли своих клиентов: кто-то где-то услышал про 152-ФЗ, подумал «потом разберусь», и через год сайт всё ещё без политики и согласия. Сервис за минуту находит проблемы и собирает готовые документы под конкретный сайт.

ИНН 502716306004, ОГРНИП 313502708000051. Запись в реестре операторов ПДн №77-25-358038 от 23.06.2025.

Источники

— УК РФ статья 272.1 — КоАП статья 13.11 — Статистика Генеральной прокуратуры РФ за 1 полугодие 2025

Актуализация: 19 мая 2026.