В 2023 году штрафы по ФЗ-152 выросли кратно. В 2024-м Роскомнадзор резко увеличил число проверок. В 2026-м максимальный
штраф за повторное нарушение достигает 18 миллионов рублей.
При этом большинство российских сайтов нарушают закон о персональных данных. Не из злого умысла — просто никто не
объяснял нормально, что именно нужно сделать.
Эта статья — конкретный чек-лист. Без юридической воды, только практика.
Кого касается ФЗ-152
Закон касается любого, кто собирает, обрабатывает или хранит персональные данные граждан РФ.
Персональные данные — это любая информация, по которой можно идентифицировать человека. В контексте сайта:
- Имя и фамилия
- Номер телефона
- Email-адрес
- Дата рождения
- IP-адрес (да, это тоже ПД по российскому законодательству)
- Cookies с идентификаторами пользователя
Если на вашем сайте есть хоть одна форма обратной связи с полем «Имя» и «Телефон» — вы оператор персональных данных и
обязаны соблюдать ФЗ-152.
Обязательный минимум для любого сайта
1. Политика конфиденциальности
Обязательный документ. Должен быть доступен с каждой страницы сайта — обычно ссылка в футере.
Что должно быть в политике:
- Кто является оператором (название юрлица или ИП, ИНН)
- Какие данные собираются
- Цели обработки
- Правовые основания обработки
- Кому передаются данные (в том числе третьим лицам: Google Analytics, Яндекс.Метрика, CRM)
- Сроки хранения
- Права субъектов персональных данных
- Контакт для запросов об удалении данных
Важно: политика должна быть написана понятным языком. Не копируйте шаблон из интернета слепо — он может не
соответствовать вашим реальным процессам.
2. Согласие на обработку персональных данных
Каждая форма, собирающая ПД, должна содержать явное согласие пользователя.
Требования к согласию:
- Должно быть активным — пользователь сам ставит галочку. Предустановленная галочка — нарушение.
- Текст должен быть понятным
- Ссылка на политику конфиденциальности прямо в тексте согласия
Правильный вариант:
<label>
<input type="checkbox" name="consent" required>
Я соглашаюсь с
<a href="/privacy" target="_blank">политикой обработки персональных данных</a>
</label>
Неправильный вариант:
<!-- Так нельзя — галочка предустановлена -->
<label>
<input type="checkbox" name="consent" checked>
Согласен с политикой
</label>
3. Уведомление о cookies
Если на сайте используются аналитические или рекламные cookies (Google Analytics, Яндекс.Метрика, пиксели соцсетей) —
нужно уведомить пользователя и получить согласие.
Минимальный вариант — баннер при первом посещении:
// CookieBanner.tsx
'use client';
import {useState, useEffect} from 'react';
export function CookieBanner() {
const [show, setShow] = useState(false);
useEffect(() => {
const consent = localStorage.getItem('cookieConsent');
if (!consent) setShow(true);
}, []);
const accept = () => {
localStorage.setItem('cookieConsent', 'accepted');
setShow(false);
// Инициализируем аналитику только после согласия
initAnalytics();
};
if (!show) return null;
return (
<div className="cookie-banner">
<p>
Мы используем cookies для аналитики и улучшения работы сайта.{' '}
<a href="/privacy">Политика конфиденциальности</a>
</p>
<button onClick={accept}>Принять</button>
</div>
);
}
4. Локализация данных (187-ФЗ)
Это отдельный, но связанный вопрос. Персональные данные граждан РФ должны храниться на серверах, физически расположенных
в России.
Что это означает практически:
- Если вы собираете формы заявок — база данных должна быть на российском хостинге
- Если используете зарубежные CRM (HubSpot, Pipedrive) — технически нарушение, хотя правоприменение неоднородно
- Яндекс.Метрика и amoCRM — ок, данные в России
- Google Analytics — спорный момент, данные идут на серверы Google (США)
Практический совет: для хранения заявок с сайта используйте российские решения — Битрикс24, amoCRM, или собственную
БД на российском VPS.
Что ещё нужно сделать
Регистрация в Роскомнадзоре
Большинство операторов обязаны уведомить РКН об обработке ПД. Делается через сайт РКН, бесплатно, занимает 30 минут.
Исключения (уведомление не нужно): если обрабатываете ПД только сотрудников своей организации, или данные используются
исключительно для однократного пропуска.
Технические меры защиты
Закон требует «принимать технические меры защиты». Минимум:
- HTTPS на всём сайте
- Хеширование паролей (bcrypt/argon2, не MD5!)
- Доступ к БД с персональными данными только для авторизованных пользователей
Право на удаление данных
Пользователь вправе потребовать удалить свои данные. На практике достаточно указать в политике email, куда направлять
такие запросы, и обработать их в течение 30 дней.
Штрафы: что грозит за нарушения
С 2023 года штрафы существенно выросли:
| Нарушение |
Штраф (первичное) |
Штраф (повторное) |
| Обработка ПД без согласия |
до 300 000 ₽ |
до 500 000 ₽ |
| Нарушение условий обработки |
до 100 000 ₽ |
до 300 000 ₽ |
| Нелокализованное хранение |
до 6 000 000 ₽ |
до 18 000 000 ₽ |
| Не уведомил об утечке |
до 3 000 000 ₽ |
до 15 000 000 ₽ |
Проверки инициируются:
- По жалобам пользователей
- По плановым проверкам РКН
- После утечек данных
Чек-лист для вашего сайта
Итог
ФЗ-152 — не страшный зверь, если знать что нужно сделать. Большинство требований реализуется за 1–2 дня при наличии
разработчика:
- Написать/обновить политику
- Добавить согласия в формы
- Поставить cookies-баннер
- Проверить где хранятся данные
Если хотите, чтобы ваш сайт соответствовал требованиям с первого дня — обсудим разработку. Делаем сайты
с правильной юридической базой.
Читайте также
