ФЗскан.РФ
Основы·8 мин чтения·обновлено 02.05.2026

152‑ФЗ простыми словами: что должен знать каждый владелец сайта

Если у вашего сайта есть хотя бы одна форма, где пользователь оставляет имя или телефон — закон 152‑ФЗ касается вас напрямую. Не «может коснуться когда‑нибудь», а уже сейчас. И это самое короткое объяснение, которое можно дать.

Дальше — как именно касается, что нужно делать и почему откладывать не стоит. Разговор пойдёт без юридических клише, на бытовом языке.

Что считается персональными данными

Закон даёт максимально широкое определение: персональные данные (сокращённо — ПДн) это любая информация, по которой можно идентифицировать человека. Звучит расплывчато — на практике это работает так:

  • ФИО — да, но и просто имя «Сергей» вместе с городом и должностью — тоже.
  • Телефон, e‑mail — однозначно ПДн.
  • Адрес доставки, паспортные данные, ИНН — само собой.
  • IP‑адрес посетителя сайта — да, по позиции Роскомнадзора.
  • Cookie‑идентификатор Метрики или Google Analytics — тоже ПДн.
  • Фотография, голосовое сообщение — да.

Главный сюрприз обычно вызывает последнее: cookies и IP. Многие думают, что закон про ПДн — это про базы клиентов в CRM. На самом деле счётчик аналитики на главной странице — это уже сбор ПДн, и для него нужно соблюдать те же правила, что и для формы заказа.

Кто такой оператор персональных данных

Оператор — это тот, кто принимает решение, какие данные собирать и что с ними делать. Если у вас есть сайт компании, на котором есть форма обратной связи или настроена Яндекс.Метрика — вы автоматически становитесь оператором. ИП тоже становится оператором. Самозанятый, продающий что-то через сайт — тоже.

Слово «оператор» звучит формально, но смысл простой: вы — тот, к кому у клиентов есть законное право обратиться с вопросами вроде «удалите мои данные», «какие данные вы обо мне храните», «когда вы их сотрёте». А у Роскомнадзора есть законное право прийти и проверить.

Три документа, без которых нельзя

Разбираться в законе не нужно — нужно сделать три вещи. По убыванию приоритета:

  1. Политика обработки персональных данных. Публичный документ на сайте, к которому есть постоянная ссылка (обычно — в подвале, часто — по адресу /privacy или /privacy-policy). О его содержании — отдельная статья.
  2. Согласие пользователя на обработку его данных. На практике — чекбокс рядом с каждой формой, со ссылкой на ту самую политику. Подробно — здесь.
  3. Уведомление в Роскомнадзор. Подаётся один раз бесплатно через pd.rkn.gov.ru, рассматривается до 30 дней. Пошаговая инструкция — в отдельной статье.

Что ещё нужно сделать

Это уже технические детали, но без них всё перечисленное выше работает не до конца:

  • HTTPS на сайте. Передача ПДн по обычному HTTP — нарушение требований к мерам защиты. Сегодня бесплатный сертификат Let's Encrypt оформляется в один клик — никакой причины не делать этого нет.
  • Cookie‑баннер. Если у вас стоит хотя бы один счётчик (Метрика, GA, что угодно) — нужен баннер с двумя кнопками: «Принять» и «Только необходимые». До нажатия счётчик грузиться не должен.
  • Полные реквизиты компании на сайте. Название, ИНН, ОГРН, адрес. Без этого ни клиент, ни Роскомнадзор не могут идентифицировать оператора.
  • Канал для запросов субъектов ПДн. Заведите отдельный e‑mail вида privacy@yourdomain.ru и укажите его в политике. Это ваш канал на случай «удалите мои данные» и аналогичных обращений. Срок ответа — 30 дней.
  • Внутренние документы. Приказ о назначении ответственного за обработку ПДн, перечень обрабатываемых ПДн, журнал учёта обращений. На сайт это не выкладывается, но при проверке Роскомнадзор первым делом запросит именно их.

Что будет, если ничего не делать

Главное заблуждение — что Роскомнадзор приходит только к крупным компаниям. На практике >80% проверок начинаются с жалоб. Жалобу может подать любой посетитель сайта: недовольный клиент, бывший сотрудник, конкурент или просто специалист, выбравший вас целью.

После жалобы регулятор делает запрос: пришлите политику, согласия, уведомление, внутренние документы. Если чего-то нет — выписывается предписание плюс штраф. После 420‑ФЗ от 30 мая 2025 года суммы существенно выросли. По всем составам отдельная статья, но для общей картины:

  • Нет политики обработки ПДн — от 60 до 100 тыс. ₽ за первое нарушение.
  • Сбор без согласия — от 30 до 150 тыс. ₽.
  • Не подано уведомление в РКН — от 100 до 300 тыс. ₽.
  • Трансграничная передача без уведомления (например, кнопка WhatsApp) — от 1 до 6 миллионов ₽.

Привести сайт в порядок обычно стоит 30–80 тысяч (если делать руками юриста и программиста). Это меньше любого из штрафов выше. Поэтому, как ни банально звучит, делать всё-таки выгоднее, чем игнорировать.

Совсем кратко

  1. Если на сайте есть форма или счётчик — закон вас касается.
  2. Нужны три документа: политика, согласие через чекбокс, уведомление в РКН.
  3. Плюс HTTPS, cookie-баннер, реквизиты компании и privacy‑e‑mail.
  4. Сделать всё это занимает 1–2 недели и стоит дешевле, чем любой штраф.
  5. Чтобы быстро понять, что у вас не так, проверьте сайт — это бесплатно и занимает 30 секунд.

Проверить свой сайт по этим пунктам

Запустите автоматическую проверку — она пройдёт по типовым нарушениям 152‑ФЗ и сразу покажет, чего у вас нет.

Запустить проверку →