Проверка сайта на соответствие 152-ФЗ: что проверить и как исправить — ПдПро
Практика
1 мин чтения·

Проверка сайта на соответствие 152-ФЗ: что проверить и как исправить

Проверка сайта на соответствие 152-ФЗ: что проверить и как исправить

Любой сайт с формой заявки, счётчиком аналитики или подпиской на рассылку уже обрабатывает персональные данные — а значит попадает под 152-ФЗ. Роскомнадзор проверяет это без выезда: открывает страницу, ищет политику обработки ПД, смотрит формы и подключённые сервисы. Проверка сайта на соответствие 152-ФЗ занимает у инспектора минуты, а штрафы за нарушения начинаются с 30 000 ₽ и по отдельным составам доходят до миллионов. Разбираем, что именно смотрят на сайте, какие суммы стоят за каждым пунктом и как закрыть дыры, не нанимая юриста. Проверить всё это можно за минуту — бесплатным чек-апом сайта; ниже разберём каждый пункт.

Что на сайте проверяют по 152-ФЗ

Инспектору не нужен доступ к вашей CRM — почти всё видно снаружи, прямо в браузере. И вы можете посмотреть тем же взглядом: замок HTTPS в адресной строке, ссылка на политику в подвале, а зарубежные счётчики — поиском по gtag или google-analytics в исходном коде страницы (Ctrl+U). Пять точек, по которым сайт проваливается чаще всего:

Политика обработки ПД. Оператор обязан опубликовать документ, определяющий политику в отношении обработки персональных данных, и дать к нему неограниченный доступ (ст. 18.1 ч. 2 152-ФЗ). На практике это ссылка «Политика конфиденциальности» в подвале каждой страницы. Нет ссылки или она ведёт на пустую страницу — нарушение по ч. 3 ст. 13.11 КоАП.

Согласие в формах. Форма собирает имя, телефон, email. Здесь важно не перестараться: если форма ведёт к конкретной сделке — оформлению заказа, расчёту, бронированию, — вы обрабатываете данные для заключения или исполнения договора по инициативе пользователя, и отдельное согласие не нужно (п. 5 ч. 1 ст. 6 152-ФЗ). А вот подписка на рассылку, форма «оставьте контакты — перезвоним» без конкретного предмета сделки и любой сбор «на будущее» требуют основания — обычно согласия. Собираете контакты без основания — это ч. 1 ст. 13.11 КоАП (150 000 – 300 000 ₽ юрлицам). А если на собранные адреса потом идёт email- или SMS-рассылка без согласия, добавляется отдельный и более крупный штраф — за рекламу по сетям электросвязи (ч. 4.1 ст. 14.3 КоАП, до 1 000 000 ₽ для юрлиц); для рассылок это основной риск.

Cookie и счётчики аналитики. Метрика, счётчики и пиксели присваивают посетителю идентификатор — это обработка данных. Пользователя нужно проинформировать: cookie-уведомление со ссылкой на политику, где перечислены счётчики и цели их работы. Обязанность информировать об обработке идёт из той же политики (ст. 18.1); если счётчики на сайте есть, а в политике они не описаны — политика неполная.

Зарубежная аналитика. Google Analytics и Google Tag Manager отправляют данные на серверы за пределами РФ. С 01.07.2025 обрабатывать персональные данные граждан РФ с использованием баз данных за рубежом запрещено, а первичный сбор и хранение должны идти в базах на территории России (23-ФЗ от 28.02.2025; ст. 18 ч. 5 152-ФЗ). Роскомнадзор трактует зарубежные счётчики как нарушение локализации — а это потенциально самый дорогой пункт списка: штраф по ч. 8 ст. 13.11 для юрлиц доходит до 6 млн ₽. Вдобавок передача данных за границу — трансграничная, и о ней нужно отдельно уведомлять РКН (ст. 12 152-ФЗ). Российские счётчики (Яндекс Метрика) оба вопроса снимают.

HTTPS. Форма на странице без шифрования отправляет имя и телефон открытым текстом — их видно на любом узле между посетителем и сервером. Отдельной статьи «за отсутствие HTTPS» в КоАП нет, но шифрование канала — базовая мера защиты по ст. 19 152-ФЗ. Перехваченные из формы данные — это уже утечка: при небольшом объёме её квалифицируют по ч. 1 ст. 13.11 (150 000 – 300 000 ₽ юрлицам) или по ч. 11 за неуведомление РКН об инциденте, а при утечке от 1000 человек штрафы по ч. 12 начинаются с 3 млн ₽.

Политику мало опубликовать — она должна быть полной

Ссылка на политику в подвале закрывает формальное требование ст. 18.1, но пустой или скачанный из интернета шаблон не спасает: при проверке инспектор читает текст. Полная политика обработки ПД содержит шесть обязательных блоков:

  • оператор — наименование, ОГРН/ИНН, адрес и контакты того, кто обрабатывает данные;
  • цели обработки — зачем собираете (заявки, рассылка, аналитика);
  • правовые основания — со ссылкой на ст. 6 152-ФЗ (договор, согласие, закон);
  • перечень персональных данных — что именно обрабатываете;
  • права субъекта — как запросить, уточнить и удалить данные (ст. 14) и как отозвать согласие (ст. 9 ч. 2 152-ФЗ);
  • сроки хранения — как долго храните и когда уничтожаете (данные хранят не дольше, чем требуют цели, — ст. 5 ч. 7).

Если хотя бы один блок отсутствует, документ не отражает реальную обработку — а это тот же дефект, что и полное отсутствие политики. Как составить политику — в отдельном разборе.

Сколько стоит каждая дыра

Суммы приведены в редакции 420-ФЗ (действует с 30.05.2025). Скидка 50% за быструю оплату для статьи 13.11 не применяется.

Что на сайте Нарушение ИП Юрлицо
Нет политики или она неполная ч. 3 ст. 13.11 10 000 – 20 000 ₽ 30 000 – 60 000 ₽
Форма собирает контакты без основания ч. 1 ст. 13.11 50 000 – 100 000 ₽* 150 000 – 300 000 ₽
Рассылка (email/SMS) без согласия адресата ч. 4.1 ст. 14.3 КоАП 20 000 – 100 000 ₽* 300 000 – 1 000 000 ₽
Google Analytics и другие зарубежные базы ч. 8 ст. 13.11 1 – 6 млн ₽** 1 – 6 млн ₽
Сайт не подан в реестр операторов (уведомление в РКН) ч. 10 ст. 13.11 100 000 – 300 000 ₽** 100 000 – 300 000 ₽

* ИП по этим составам отвечает как должностное лицо (примечание к ст. 2.4 КоАП): по ч. 1 ст. 13.11 — 50 000 – 100 000 ₽, по ч. 4.1 ст. 14.3 — 20 000 – 100 000 ₽; приравнивания к юрлицу здесь нет. ** По частям 8 и 10 ИП приравнен к юрлицу (примечание 1 к ст. 13.11). Полная таблица штрафов — со всеми составами.

Разброс большой: недостающая политика — 30-60 тысяч, а незамеченный годами Google Analytics — уже миллионы. Поэтому закрывать дыры логично не с самой заметной, а с самой дорогой.

Как проверить сайт за минуту

Руками пройти все пять пунктов можно, но легко ошибиться: политика бывает спрятана в тексте пользовательского соглашения, счётчик подгружается скриптом, форма отправляет данные на сторонний домен. Мы сделали бесплатную проверку сайта на 152-ФЗ — она делает это за вас.

Вводите адрес сайта, инструмент открывает страницу и проверяет то же, что смотрит инспектор: работает ли HTTPS, есть ли ссылка на политику, стоит ли на формах согласие, подключена ли зарубежная аналитика. В ответ — список проблем с пометкой, где их исправлять: часть закрывается документами из конструктора, часть — доработкой на самом сайте, часть — на стороне хостинга. Этот список — бесплатно и без регистрации. Отдельно можно запустить разбор текста политики (проверит, все ли шесть обязательных блоков в ней есть) — его инструмент пришлёт на email.

Проверка ничего не устанавливает на сайт и не требует доступов — читает только то, что и так открыто любому посетителю.

Как закрыть найденное

Проблемы с сайта делятся на два типа. Документы — политику, согласия, уведомление в Роскомнадзор — собирает конструктор: отвечаете на вопросы о своём бизнесе и получаете готовый пакет под вашу обработку данных. Правки на самом сайте — добавить чекбокс согласия к форме подписки, вывести ссылку на политику в подвал, заменить Google Analytics на Яндекс Метрику, включить HTTPS — делает разработчик по списку из проверки.

Порядок по убыванию суммы штрафа: сначала убрать зарубежную аналитику (до 6 млн) и навести порядок с рассылками — согласие адресатов (до 1 млн по закону о рекламе); затем подать уведомление в РКН и расставить согласия на формах (до 300 тыс.); в последнюю очередь — опубликовать полную политику (до 60 тыс.). Полный перечень документов по 152-ФЗ — если нужен весь комплект, а не только сайт.

Частые вопросы

У меня простой сайт-визитка без форм. 152-ФЗ меня касается? Если на сайте стоит счётчик аналитики (Метрика, Google Analytics), он уже собирает данные посетителей — вы оператор, политика нужна. Сайт совсем без форм и без счётчиков данных не собирает, но такие сегодня редкость.

Достаточно ли скачать шаблон политики и выложить на сайт? Формально ссылка на политику закроет ч. 3 ст. 13.11, но при проверке инспектор читает текст. Политика должна описывать вашу реальную обработку: ваши цели, ваш перечень данных, ваши сроки. Чужой шаблон с другими целями — это неполная политика с тем же риском.

У нас согласие вписано одним пунктом в пользовательское соглашение — так можно? Нет. С 01.09.2025 согласие на обработку персональных данных оформляется отдельно от других документов и условий (156-ФЗ, ст. 9 ч. 1 152-ФЗ). Галочка «принимаю оферту и политику» одним пунктом больше не годится: под согласие нужен отдельный чекбокс или отдельный документ. При этом сама форма заказа, ведущая к сделке, согласия не требует — она работает на договорном основании (п. 5 ч. 1 ст. 6).

Можно ли оставить Google Analytics, если данные обезличены? Риск остаётся. Запрет касается использования зарубежных баз при сборе данных граждан РФ (23-ФЗ, ст. 18 ч. 5 152-ФЗ), а не только «персонализированных» отчётов. Безопасный путь для сайта в РФ — российские системы аналитики.

Итог

Соответствие сайта 152-ФЗ держится на пяти вещах: опубликованная и полная политика, согласия там, где нет другого основания, честное информирование про cookie, российская аналитика вместо зарубежной и HTTPS. Каждый пункт инспектор проверяет снаружи, за минуты — и за каждым стоит штраф от 30 000 ₽ до 6 млн. Проверьте свой сайт бесплатно и соберите недостающие документы в конструкторе за 10 минут — это 2 990 ₽ против штрафов, которые для сайтов начинаются с десятков тысяч.

Нужны документы по 152-ФЗ?

Проверьте свой бизнес бесплатно — узнайте какие документы нужны

Мы используем cookie для работы сервиса и аналитики. Подробнее