Дисклеймер: Статья носит информационный характер. Для юридической консультации по вашей ситуации обратитесь к специалисту. Актуальность: апрель 2026 года.
Почему это важно читать прямо сейчас
С мая 2025 года в России действуют новые оборотные штрафы за утечку персональных данных: до 500 млн рублей за повторное нарушение. В 2026 году Роскомнадзор значительно активизировал надзор — автоматические проверки сайтов ведутся в круглосуточном режиме, число возбуждённых дел выросло втрое по сравнению с 2024 годом.
Для небольшого интернет-магазина с оборотом 5 млн ₽ в год повторное нарушение обойдётся минимум в 1,5–3 млн рублей. Для среднего бизнеса — это десятки и сотни миллионов. За одно нарушение.
По данным РКН, более 70% российских сайтов по-прежнему не соответствуют требованиям закона. При этом незнание закона не освобождает от ответственности.
Что такое 152-ФЗ и кого он касается
Федеральный закон № 152-ФЗ «О персональных данных» регулирует, как организации и предприниматели собирают, хранят и используют информацию о физических лицах. Действует с 2006 года, последние существенные поправки — ФЗ № 420-ФЗ от 30.11.2024 (оборотные штрафы) и ФЗ № 266-ФЗ от 14.07.2022 (требования к локализации, реагированию на инциденты).
Вы — оператор персональных данных, если:
- На вашем сайте есть форма обратной связи (имя + email + телефон)
- Вы принимаете онлайн-заказы или записи на услуги
- У вас есть личный кабинет для пользователей
- Вы ведёте email-рассылки
- Используете Google Analytics, Яндекс.Метрику или любые трекеры
- Работаете с CRM-системой
Проще говоря: если хоть один пользователь когда-либо ввёл своё имя на вашем сайте — вы оператор ПДн и обязаны соблюдать закон.
Кого закон не касается:
- Физических лиц, обрабатывающих данные исключительно в личных целях
- Государственные органы в части отдельных функций (с оговорками)
Что считается персональными данными в 2026 году
Многие думают, что персональные данные — это только паспорт и СНИЛС. Это устаревшее представление.
| Категория | Примеры |
|---|---|
| Обычные ПДн | Имя, фамилия, email, телефон, адрес доставки, IP-адрес, cookie-идентификаторы |
| Биометрические | Фото, отпечатки пальцев, голос, данные Face ID |
| Специальные категории | Здоровье, диагнозы, политические взгляды, религия |
| Финансовые | Номер карты, история покупок, кредитный рейтинг |
| Геолокация | Текущее местоположение, история перемещений |
| Цифровые идентификаторы | cookie, device ID, IDFA, рекламные идентификаторы |
Актуально для 2026 года: IP-адрес и cookie-файлы однозначно признаны персональными данными судебной практикой. Если вы используете Google Analytics — вы передаёте данные пользователей в США, что требует отдельного документального оформления по ст. 12 152-ФЗ (трансграничная передача).
Основные требования 152-ФЗ (редакция 2026)
1. Уведомление Роскомнадзора
Большинство операторов обязаны подать уведомление в РКН до начала обработки данных. После этого вас вносят в реестр операторов — публичный список, который теперь проверяют суды и контрагенты.
Кому можно НЕ уведомлять:
- Данные используются исключительно для исполнения договора с субъектом
- Обработка данных сотрудников для трудовых отношений
- Единократная обработка без передачи третьим лицам
На практике: большинству коммерческих сайтов уведомление необходимо. Отсутствие в реестре в 2026 году — один из первых сигналов для проверки.
Штраф за неуведомление: до 300 000 ₽ (ст. 19.7 КоАП).
2. Политика конфиденциальности
Обязательный публичный документ. По требованиям 2026 года должен быть:
- Доступен по прямой ссылке (обычно '/privacy')
- Ссылка в подвале каждой страницы сайта
- Написан понятным языком — суды буквально проверяют читаемость
- Содержать раздел о реагировании на инциденты (с 2022 года обязательно)
- Отражать реальные сервисы и трекеры, используемые на сайте
Что должно быть в политике:
- Полное наименование оператора, ИНН, юридический адрес
- Перечень обрабатываемых данных и цели их обработки
- Правовые основания обработки (согласие, договор, закон)
- Список третьих лиц, которым передаются данные
- Сроки хранения данных по каждой категории
- Права субъектов (доступ, исправление, удаление — ст. 20, 21 152-ФЗ)
- Порядок подачи запросов: ответ на информационный запрос — 30 дней, на исправление/уничтожение — 7 рабочих дней
- Порядок уведомления при инциденте: 24 ч + 72 ч
3. Согласие на обработку персональных данных
Для большинства операций нужно явное, однозначное согласие пользователя (ст. 9 152-ФЗ).
Требования к согласию:
- Добровольное (нельзя обусловить доступ к сервису)
- Информированное (пользователь понимает, что и зачем)
- Конкретное (для разных целей — разные согласия)
- Однозначное (галочка не предустановлена, кнопка «Отправить» не заменяет согласие)
❌ Неправильно: «Нажимая кнопку, вы соглашаетесь с политикой» ✅ Правильно: Чекбокс □ «Согласен с обработкой персональных данных в соответствии с политикой конфиденциальности»
4. Cookie-политика и баннер
В 2026 году отсутствие cookie-баннера — одна из самых частых причин претензий РКН. Требования:
- Отдельная Cookie-политика с перечнем всех используемых файлов cookie
- Баннер при первом посещении с кнопкой «Принять» и «Отклонить»
- Техническая возможность отключить необязательные cookie
- Отсутствие активного трекинга до получения согласия
5. Локализация данных (ст. 18.1)
Первичный сбор персональных данных российских граждан должен осуществляться с использованием баз данных на территории РФ. При использовании зарубежных облаков (AWS, Google Cloud, Firebase) требуется:
- Документальное подтверждение того, что данные изначально записываются в российском ЦОД
- Или заключение договора с провайдером об обеспечении локализации
6. Реагирование на инциденты (ст. 21.1, действует с 2022)
При утечке данных — жёсткие сроки:
- 24 часа — первичное уведомление РКН на pd.rkn.gov.ru/incidents
- 72 часа — отчёт о результатах внутреннего расследования
- Уведомление субъектов ПДн — если им может быть причинён вред
Несоблюдение сроков — отдельный состав нарушения, штраф до 3 млн ₽.
Актуальная таблица штрафов на 2026 год
Редакция КоАП с учётом ФЗ № 420-ФЗ от 30.11.2024:
| Нарушение | Штраф (юрлицо) | Статья КоАП |
|---|---|---|
| Обработка ПДн без согласия | 100 000 – 300 000 ₽ | ст. 13.11 ч. 2 |
| Отсутствие политики конфиденциальности | 30 000 – 100 000 ₽ | ст. 13.11 ч. 3 |
| Нарушение требований к политике | до 100 000 ₽ | ст. 13.11 ч. 8 |
| Нарушение требований локализации | до 18 000 000 ₽ | ст. 13.11 ч. 8.1 |
| Неуведомление об инциденте в срок | до 3 000 000 ₽ | ст. 13.11 ч. 11 |
| Утечка данных (первичная) | 3 000 000 – 15 000 000 ₽ | ст. 13.11 ч. 12 |
| Утечка данных (повторная) | 1–3% годовой выручки, min 20 млн, max 500 млн ₽ | ст. 13.11 ч. 13 |
| Неуведомление РКН об операторстве | до 300 000 ₽ | ст. 19.7 |
| Отказ субъекту в доступе к его данным | до 80 000 ₽ | ст. 13.11 ч. 5 |
Важно: С 2026 года повторным считается нарушение, совершённое в течение года после предыдущего. Оборотный штраф до 500 млн ₽ применяется не только к крупным компаниям — к любому юрлицу или ИП, у которого была хотя бы одна предыдущая санкция.
Как РКН проверяет сайты в 2026 году
Автоматическое сканирование
С 2025 года роботы РКН сканируют сайты в непрерывном режиме, проверяя:
- Наличие политики конфиденциальности и ссылки из подвала
- Наличие cookie-баннера с кнопкой отказа
- Формы без чекбоксов согласия
- Передачу данных зарубежным сервисам (через анализ трафика)
- Соответствие политики реальному содержанию сайта
Жалобы пользователей и конкурентов
С появлением удобного онлайн-сервиса жалоб жалоб стало на порядок больше. Конкурентные жалобы превратились в распространённый инструмент давления. Любая жалоба запускает автоматическую проверку в течение 30 дней.
Плановые и внеплановые проверки
- Компании в реестре операторов: плановая проверка раз в 3 года
- Нарушения по итогам автосканирования: внеплановая проверка без предупреждения
- Жалоба субъекта ПДн: проверка в течение месяца
Пошаговый план приведения сайта в порядок
Шаг 1: Аудит (1–2 часа)
Проверьте ваш сайт по чеклисту:
- Есть ли политика конфиденциальности?
- Есть ли в ней раздел про реагирование на инциденты?
- Есть ли cookie-баннер с кнопкой «Отклонить»?
- На всех ли формах стоят чекбоксы согласия?
- Подано ли уведомление в РКН?
- Перечислены ли в политике все трекеры и сервисы аналитики?
Шаг 2: Документы (1–3 дня)
Базовый пакет:
- Политика конфиденциальности — обязательна для всех
- Cookie-политика — если используются cookie
- Форма согласия на обработку ПДн — для каждой формы сбора данных
- Уведомление в РКН — необходимо большинству операторов
Расширенный пакет (для магазинов, сервисов, HR):
- Реестр обработки ПДн — для систематического учёта
- Договор поручения — при передаче данных подрядчикам
- Регламент обработки — для внутреннего контроля
- Приказ об ответственном — обязателен при обработке специальных категорий
Шаг 3: Технические изменения (1–2 дня)
- Установить cookie-баннер с двумя кнопками (принять / отклонить)
- Добавить чекбоксы согласия на все формы
- Разместить политику по постоянному адресу '/privacy'
- Добавить ссылку в подвал каждой страницы
- Настроить хранение и удаление данных по истечении сроков
Шаг 4: Уведомление РКН (30 минут)
- Форма на pd.rkn.gov.ru
- Подача через Госуслуги (требуется ЭЦП) или лично в территориальное управление
- Сохранить номер уведомления — потребуется при проверке
Типичные ошибки, за которые штрафуют в 2026 году
Ошибка 1: «У меня маленький сайт, меня это не касается»
Закон не делает исключений по размеру. ИП с сайтом-визиткой, где есть форма «перезвоните мне» — уже оператор ПДн. Штрафы — те же.
Ошибка 2: Скопированная политика с другого сайта
В 2026 году автоматические проверки умеют сравнивать политики между сайтами. Шаблонная «тильдовская» политика помечается как несоответствующая. Если вы используете Google Analytics, а в политике этого нет — штраф гарантирован.
Ошибка 3: «Хостинг/конструктор сайтов сам несёт ответственность»
Нет. Tilda, Wix, Bitrix24, AmoCRM — обработчики по вашему поручению. Ответственность перед РКН всегда лежит на операторе (то есть на вас).
Ошибка 4: Согласие вшито в оферту
Согласие на обработку ПДн обязано быть отдельным действием. Включение мелким шрифтом в договор оферты — нарушение, которое суды регулярно признают таковым.
Ошибка 5: Политика не обновлялась с 2022–2023 года
После пакета поправок 2022, 2024 и 2025 годов старые политики стали некомплектными: в них нет разделов про инциденты, сроки ответа по ст. 20 и 21, трансграничную передачу. Такая политика равна её отсутствию по формальным критериям проверки.
Ошибка 6: Отсутствие договоров с подрядчиками
Если вы передаёте данные клиентов в AmoCRM, SendPulse, колл-центр или маркетинговое агентство — нужен договор поручения на обработку ПДн (ст. 6 ч. 3 152-ФЗ). Без него ответственность за действия подрядчика лежит на вас.
Что изменилось в законодательстве за последние 12 месяцев
Оборотные штрафы (вступили в силу 30.05.2025)
До 500 млн рублей за повторную утечку — это уже не теория. В 2025–2026 годах первые дела с оборотными штрафами активно рассматриваются судами.
Реестр ИСПДн
С 2025 года операторы, обрабатывающие специальные категории данных (здоровье, биометрия, геолокация), обязаны вести и представлять по запросу реестр информационных систем ПДн с описанием угроз безопасности.
Ужесточение ответственности за биометрию
Использование систем распознавания лиц и голосовых данных требует отдельного согласия и отдельного реестра. В 2026 году это один из приоритетных направлений проверок РКН.
Ответственность директора лично
С 2025 года за ряд нарушений (повторные, грубые) предусмотрена дисквалификация директора как должностного лица — не только штраф на компанию.
Сколько стоит привести сайт в порядок
| Вариант | Стоимость | Срок | Что получаете |
|---|---|---|---|
| Скачать шаблон из интернета | 0 ₽ | 2–5 дней | Риск штрафа: политика не отражает ваш бизнес |
| Фриланс-юрист | 15 000 – 60 000 ₽ | 5–14 дней | Качество непредсказуемо, требует вашего участия |
| Юридическая фирма | 60 000 – 250 000 ₽ | 2–4 недели | Дорого, но надёжно для крупного бизнеса |
| ПараДок (автоматически) | 4 990 – 20 990 ₽ | до 1 часа | Персональный пакет с контролем качества ≥ 88/100 |
ПараДок анализирует ваш конкретный сайт, определяет отрасль и виды обрабатываемых данных, затем генерирует полный пакет документов. Не шаблоны — каждый документ создаётся под ваш бизнес, с актуальными ссылками на статьи закона и реальными реквизитами.
Часто задаваемые вопросы
Q: Нужна ли политика, если у меня сайт-визитка без форм? Если есть счётчики аналитики (они есть почти всегда) — нужна. Яндекс.Метрика и Google Analytics собирают IP и cookie, а это персональные данные.
Q: Что будет, если не подавать уведомление в РКН? Штраф до 300 000 ₽ по ст. 19.7, плюс при любой последующей проверке — дополнительное отягощающее обстоятельство.
Q: Обязательно ли хранить данные в России? Первичная запись данных российских граждан — да, на серверах в РФ. Использование зарубежных сервисов для обработки допустимо при соблюдении условий локализации.
Q: Как часто обновлять политику? При любом изменении: новый трекер, новый подрядчик, изменение набора собираемых данных, любые поправки в законодательство. Минимум — ежегодный аудит.
Q: Распространяется ли 152-ФЗ на Telegram-боты и мобильные приложения? Да. Любой сбор данных о физических лицах — через сайт, приложение, бот, CRM или email — подпадает под закон.
Q: У меня ИП, а не ООО — меня это касается? Да. 152-ФЗ распространяется на физических лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в той же мере, что и на организации.
Итоги
152-ФЗ в 2026 году — это не абстрактный риск. Это реальные штрафы, автоматические проверки и массовые претензии. Закон требует конкретных действий, причём сейчас, а не «когда-нибудь».
Минимальный чеклист для любого сайта:
- [ ] Политика конфиденциальности опубликована и доступна из подвала
- [ ] В политике есть раздел про инциденты и сроки ответа субъектам
- [ ] Cookie-баннер установлен с кнопками «Принять» и «Отклонить»
- [ ] Все формы содержат чекбоксы согласия на обработку ПДн
- [ ] Уведомление в РКН подано, номер сохранён
- [ ] С подрядчиками, получающими данные клиентов, заключены договоры поручения
Стоимость ошибки — от 30 000 до 500 000 000 ₽. Стоимость соответствия — несколько тысяч рублей и несколько часов времени.
Хотите привести сайт в порядок за 1 час? Запустите бесплатный аудит →
Статья актуальна на апрель 2026 года. Учитываются изменения по ФЗ № 420-ФЗ от 30.11.2024 (оборотные штрафы), ФЗ № 266-ФЗ от 14.07.2022 (инциденты, локализация), а также правоприменительная практика РКН в 2025–2026 годах.