Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: апрель 2026 года. Учтены изменения ФЗ № 420-ФЗ от 30.11.2024.

Кому нужно соблюдать 152-ФЗ

Короткий ответ: всем, у кого есть сайт. Если ваш сайт имеет хотя бы одну из следующих функций, вы — оператор персональных данных:

  • Форма обратной связи (имя, телефон, email)
  • Регистрация или личный кабинет
  • Корзина и оформление заказа
  • Онлайн-запись на приём
  • Подписка на рассылку
  • Виджет чата (JivoSite, Carrot Quest, Tawk.to)
  • Аналитика с идентификацией (Google Analytics, Яндекс.Метрика с вебвизором)
  • Cookie любого типа, кроме строго необходимых

По данным РКН, 67% российских сайтов на апрель 2026 года имеют хотя бы одно нарушение 152-ФЗ. А совокупный штраф за типичный набор нарушений начинается от 400 000 рублей для юрлиц.

Шаг 1: Проведите аудит текущего состояния

Прежде чем что-то менять, нужно понять масштаб проблемы. Аудит включает:

Проверка форм:

  • Какие формы есть на сайте
  • Какие данные они собирают
  • Есть ли чекбокс согласия с ссылкой на политику
  • Предустановлен ли чекбокс (нельзя — согласие должно быть активным действием)

Проверка сторонних сервисов:

  • Какие трекеры и скрипты загружаются (Google Analytics, Яндекс.Метрика, Facebook Pixel, CRM-виджеты)
  • Загружаются ли они до получения согласия на cookie
  • Каким сервисам передаются данные и в какие страны

Проверка документов:

  • Есть ли политика конфиденциальности
  • Доступна ли она по ссылке из подвала всех страниц
  • Актуально ли её содержание (реквизиты, список сервисов, сроки)
  • Есть ли cookie-политика

Проверка cookie-баннера:

  • Есть ли баннер вообще
  • Имеет ли он кнопку «Отклонить» (не только «Принять»)
  • Блокируются ли аналитические cookie до получения согласия

Вы можете провести аудит вручную — это займёт от 2 до 4 часов для среднего сайта. Или воспользоваться автоматическим инструментом, который проверит всё за 30 секунд.

Запустить бесплатный аудит сайта →

Шаг 2: Подготовьте политику конфиденциальности

Это главный документ, без которого всё остальное не имеет смысла. Политика должна содержать:

  • Полные реквизиты оператора (наименование, ИНН, адрес)
  • Конкретные цели обработки (не «для улучшения качества», а точные формулировки)
  • Перечень собираемых данных для каждой цели
  • Правовые основания: согласие, договор, закон, легитимный интерес
  • Список всех третьих лиц, получающих данные
  • Информацию о трансграничной передаче, если данные уходят за рубеж
  • Сроки хранения для каждой категории данных
  • Права субъекта и порядок их реализации (сроки: 30 дней и 7 рабочих дней)
  • Порядок действий при инцидентах (уведомление РКН: 24 часа + 72 часа)

Разместите ссылку на политику в подвале каждой страницы сайта.

Шаг 3: Добавьте согласия на все формы

Каждая форма, собирающая персональные данные, должна иметь:

  1. Чекбокс (не предустановленный!) с текстом: «Даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности»
  2. Ссылку на политику конфиденциальности прямо из текста согласия
  3. Блокировку отправки формы без отмеченного чекбокса

Для разных типов форм могут потребоваться разные формулировки:

  • Форма заказа: согласие на обработку для исполнения договора
  • Форма подписки: согласие на получение маркетинговых материалов
  • Форма обратной связи: согласие на обработку для ответа на обращение

Шаг 4: Установите cookie-баннер

Cookie-баннер — не украшение. Он обязателен, если сайт использует аналитические или маркетинговые cookie (а это 95% всех сайтов).

Требования к баннеру:

  • Две кнопки: «Принять» и «Отклонить» (или «Настроить»)
  • Информативный текст: какие cookie используются и зачем
  • Ссылка на полную cookie-политику
  • Техническая блокировка: аналитические и маркетинговые скрипты не должны загружаться до нажатия «Принять»
  • Запоминание выбора: не показывать баннер повторно после выбора

Баннеры, которые только информируют («Мы используем cookie. Продолжая пользоваться сайтом, вы соглашаетесь»), Роскомнадзор считает недостаточными. Нужно активное согласие.

Шаг 5: Подготовьте cookie-политику

Отдельный документ от политики конфиденциальности. В cookie-политике:

  • Что такое cookie и зачем они нужны
  • Какие типы cookie использует сайт (необходимые, аналитические, маркетинговые)
  • Конкретные cookie с указанием поставщика и срока жизни
  • Как пользователь может управлять cookie через настройки браузера
  • Как отозвать согласие

Шаг 6: Подайте уведомление в Роскомнадзор

Согласно ст. 22 152-ФЗ, оператор обязан до начала обработки ПДн уведомить Роскомнадзор. Исключений немного: обработка только для исполнения трудового договора, обработка без средств автоматизации.

Если у вас есть сайт с формами — уведомление обязательно.

Как подать:

  1. Зайдите на pd.rkn.gov.ru
  2. Заполните форму уведомления: реквизиты, категории данных, цели, сроки, меры защиты
  3. Подпишите ЭЦП или распечатайте и отправьте Почтой России
  4. Дождитесь включения в реестр (обычно 2-4 недели)

Неподача уведомления — отдельное нарушение со штрафом до 5 000 рублей для граждан и до 80 000 рублей для юрлиц.

Шаг 7: Подготовьте внутренние документы

Для полного соответствия 152-ФЗ нужен комплект внутренних документов:

  • Приказ о назначении ответственного за организацию обработки ПДн — обязателен для юрлиц
  • Реестр обработки персональных данных — перечень всех систем, где хранятся ПДн
  • Согласия сотрудников — если у вас есть штат
  • Договор поручения обработки — с каждым подрядчиком, получающим данные ваших клиентов (хостинг-провайдер, CRM, сервис рассылок)
  • Регламент реагирования на инциденты — что делать при утечке, кто уведомляет РКН
  • Согласие на распространение ПДн — если публикуете отзывы, фотографии клиентов, кейсы (ст. 10.1 — отдельный документ, не путать со ст. 9)

Шаг 8: Настройте процесс поддержки

152-ФЗ — не разовое мероприятие. Нужно обеспечить:

  • Обработку запросов субъектов: сроки — 30 дней (информация) и 7 рабочих дней (уточнение/удаление)
  • Мониторинг инцидентов: если утечка — 24 часа на уведомление РКН, 72 часа на отчёт
  • Актуализацию документов: при добавлении новых сервисов, форм или целей обработки
  • Обучение сотрудников: базовые правила обращения с ПДн

Итоговый чеклист

  • [ ] Аудит сайта проведён, все формы и трекеры выявлены
  • [ ] Политика конфиденциальности опубликована со ссылкой в подвале
  • [ ] В политике указаны реквизиты, все сервисы, сроки, инциденты
  • [ ] Чекбоксы согласия стоят на всех формах (не предустановлены)
  • [ ] Cookie-баннер установлен с кнопками «Принять» / «Отклонить»
  • [ ] Аналитические скрипты не загружаются до получения согласия
  • [ ] Cookie-политика опубликована
  • [ ] Уведомление в Роскомнадзор подано
  • [ ] Внутренние документы подготовлены
  • [ ] Процесс обработки запросов субъектов настроен

Сколько времени это займёт

Вручную с юристом: 2-4 недели + 50 000-300 000 рублей.

С автоматическим сервисом: аудит — 30 секунд, документы — 10 минут, установка на сайт — 1 час. Стоимость полного пакета документов от 4 990 рублей.

Не знаете, с чего начать? Запустите бесплатный аудит — он покажет все нарушения и риски →

Статья актуальна на апрель 2026 года. Нормативные акты: 152-ФЗ «О персональных данных», КоАП ст. 13.11 в редакции ФЗ № 420-ФЗ от 30.11.2024, ФЗ № 266-ФЗ от 14.07.2022.