Почему это стало критично именно сейчас

До 2025 года многие относились к 152-ФЗ как к формальности. Закинул шаблонную политику конфиденциальности в подвал сайта, поставил чекбокс — и забыл. Роскомнадзор штрафовал редко, суммы были смешные.

Всё изменилось за один год. Вот что произошло:

30 мая 2025 — вступили в силу новые размеры штрафов. Они стали кратными масштабу нарушения: чем больше записей утекло, тем жёстче наказание. За утечку от 1 000 до 10 000 записей юрлицу грозит до 5 миллионов рублей. Больше 100 000 записей — до 15 миллионов.

1 июля 2025 — ужесточилась локализация. Все персональные данные граждан РФ должны первично обрабатываться и храниться на серверах в России. Роскомнадзор запустил автоматические проверки сайтов с помощью ИИ — без предупреждения. Система ищет запрещённые виджеты, скрипты, формы, которые передают данные за рубеж.

1 сентября 2025 — согласие на обработку персональных данных теперь должно оформляться строго как отдельный документ. Нельзя встраивать его в текст оферты, пользовательского соглашения или политики конфиденциальности.

И вот мы в марте 2026. Роскомнадзор проверяет сайты дистанционно, автоматически, и один оператор может быть привлечён к ответственности сразу по нескольким частям статьи 13.11 — за разные нарушения одновременно. Формальный подход больше не работает.

Кто считается оператором персональных данных

Если у вас есть сайт с любой формой обратной связи — вы уже оператор. Это не шутка и не преувеличение.

По 152-ФЗ оператором считается любое лицо (юридическое, ИП, самозанятый и даже физическое лицо), которое самостоятельно определяет цели и способы обработки персональных данных. Форма заказа, подписка на рассылку, чат на сайте, личный кабинет — всё это обработка.

К персональным данным закон относит не только ФИО и телефон. Это ещё и email, IP-адрес, cookie-файлы, данные из Яндекс.Метрики и любые идентификаторы, по которым можно определить конкретного человека.

Я часто слышу от клиентов: «У меня же просто лендинг с одной формой, мне-то зачем?» Затем, что даже одна форма с полем «Имя» и «Телефон» делает вас оператором. И вам нужно подать уведомление в Роскомнадзор до начала обработки.

Что конкретно должно быть на сайте: мой рабочий чек-лист

Я прогоняю каждый проект через этот список. Делюсь им, потому что он собран не из теории, а из реальных правок, которые приходилось делать на клиентских сайтах после замечаний от Роскомнадзора.

1. Политика обработки персональных данных

Это основной документ. Он должен быть в открытом доступе — обычно ссылка ставится в футере на каждой странице. Что обязательно должно быть внутри:

— Полное наименование оператора (название компании или ФИО ИП), юридический адрес, контактные данные. — Перечень всех персональных данных, которые вы собираете: имя, телефон, email, IP-адрес, cookie и так далее. — Цели обработки — для чего вам эти данные. «Для улучшения качества обслуживания» — это размытая формулировка, которая не устроит проверяющих. Пишите конкретно: «для обработки заявки на обратный звонок», «для отправки email-рассылки». — Правовые основания обработки — на что вы опираетесь (согласие субъекта, исполнение договора и т.д.). — Сроки хранения данных и порядок их уничтожения. — Порядок отзыва согласия — как человек может потребовать удалить свои данные. — Сведения о трансграничной передаче, если данные уходят за пределы РФ. — Описание мер защиты данных.

Важный момент: политика должна соответствовать тому, что реально происходит на сайте. Если вы пишете, что собираете только имя и email, а на сайте стоит Яндекс.Метрика с вебвизором — это несоответствие, и за него штрафуют.

2. Отдельное согласие на обработку персональных данных

С 1 сентября 2025 года это обязательно отдельный документ. Чекбокс под формой должен вести именно на согласие, а не на политику конфиденциальности.

Ключевые правила:

— Чекбокс не должен быть отмечен по умолчанию. Пользователь сам ставит галочку — это принципиальная позиция Роскомнадзора и подтверждённая судебная практика. — Текст согласия должен быть понятным, без юридического тумана. Кто обрабатывает данные, какие данные, зачем, на какой срок. — Форма не должна отправляться, если чекбокс не отмечен. — Согласие нельзя совмещать с акцептом оферты или любым другим документом.

На практике я делаю так: под каждой формой размещаю чекбокс с текстом вроде «Я даю согласие на обработку моих персональных данных в соответствии с [Согласием на обработку ПД]». Ссылка ведёт на отдельную страницу или открывает модальное окно с полным текстом.

3. Cookie-уведомление

Роскомнадзор однозначно относит cookie-файлы к персональным данным, если по ним можно идентифицировать пользователя. А при наличии аналитики — можно почти всегда.

На сайте должен быть баннер (попап), который:

— Появляется при первом посещении на каждой странице. — Информирует о том, что сайт использует cookie. — Содержит ссылку на политику в отношении cookie (можно включить в основную политику, но лучше сделать отдельный раздел или документ). — Даёт возможность согласиться или отказаться. Идеально — разделить cookie по категориям (необходимые, аналитические, маркетинговые) и дать пользователю выбор.

Просто текст в подвале «Мы используем cookie, оставаясь на сайте, вы соглашаетесь» — это не согласие. Роскомнадзор требует активного волеизъявления.

4. Уведомление Роскомнадзора

До начала обработки персональных данных нужно подать уведомление через портал Роскомнадзора. После этого ваша компания попадает в реестр операторов ПДн.

В уведомлении указываются: цели обработки, категории данных, способы обработки, меры безопасности, сведения о трансграничной передаче.

За непредставление уведомления для юридических лиц штраф — до 300 000 рублей.

5. Назначение ответственного за обработку ПД

Внутри компании должен быть человек, который отвечает за организацию обработки данных. Это фиксируется приказом. Для малого бизнеса часто это сам директор, но формально документ должен быть.

Ловушки, в которые попадают чаще всего

За полтора года работы с обновлёнными требованиями я собрал типичные ошибки, которые встречаю на сайтах снова и снова.

Google Analytics и другие зарубежные сервисы. С 1 июля 2025 года использование Google Analytics — это трансграничная передача персональных данных. Роскомнадзор автоматически проверяет сайты на наличие скриптов Google Analytics, Google Maps, reCAPTCHA, виджетов WhatsApp и Telegram. Если данные уходят на зарубежные серверы до первичного размещения в России — это нарушение. Замените Google Analytics на Яндекс.Метрику, Google Maps — на Яндекс.Карты, reCAPTCHA — на российские альтернативы или собственные решения.

Согласие «внутри» оферты. Классическая ошибка: «Нажимая кнопку, вы принимаете оферту и даёте согласие на обработку ПД». С сентября 2025 это прямое нарушение — согласие должно быть отдельным документом и отдельным действием пользователя.

Политика есть, но устаревшая. Документ написан в 2019 году, в нём старые реквизиты, нет упоминания cookie, не указана Яндекс.Метрика в перечне обработчиков. Роскомнадзор сверяет содержание политики с тем, что реально работает на сайте.

Нет логирования согласий. Мало получить согласие — нужно уметь это доказать. Фиксируйте дату, время, IP-адрес пользователя и версию документа, на который он согласился. При проверке Роскомнадзор может запросить подтверждение.

Отсутствие механизма отзыва. Пользователь должен иметь возможность легко отозвать своё согласие. На практике — это отдельная форма или email-адрес, указанный в политике, через который можно отправить запрос на удаление данных.

Как я технически реализую всё это на сайте

Раз уж я разработчик — покажу, как это выглядит в коде и архитектуре.

Чекбокс под формами. Каждая форма на сайте (заявка, обратный звонок, подписка, регистрация) содержит обязательный чекбокс. В HTML это `<input type="checkbox" required>` с текстом и ссылкой на согласие. Отправка формы блокируется на уровне фронтенда и валидируется на бэкенде.

Cookie-баннер. Я делаю кастомный баннер, который появляется при первом посещении. До момента согласия аналитические и маркетинговые скрипты не загружаются. Только после нажатия «Принять» или выбора категорий cookie инициализируется Яндекс.Метрика и прочие сервисы. Это важно — скрипты не должны работать до получения согласия.

Логирование. При отправке формы и при принятии cookie на сервер уходит запрос с данными: timestamp, IP, user-agent, идентификатор версии согласия. Всё это хранится в базе. Если придёт запрос от Роскомнадзора — есть что показать.

Страница отзыва согласия. Отдельная страница или секция в личном кабинете, где пользователь может запросить удаление данных. На бэкенде — обработчик, который удаляет записи и фиксирует факт удаления.

Хранение данных. Базы данных — на российских серверах. Если проект на хостинге — проверяю, что дата-центр физически в России. Это требование локализации по части 5 статьи 18 закона 152-ФЗ.

Что делать, если произошла утечка

Надеюсь, с вами этого не случится, но знать порядок действий нужно.

С 30 мая 2025 года при утечке персональных данных оператор обязан:

— В течение 24 часов уведомить Роскомнадзор. Сообщить предполагаемые причины и оценить масштаб. — В течение 72 часов провести внутреннее расследование и направить результаты в РКН.

За несвоевременное уведомление — штраф от 1 до 3 миллионов рублей. Сама утечка карается отдельно, в зависимости от масштаба.

Поэтому на проектах, где я работаю постоянно, я заранее прописываю план реагирования: кто уведомляет, какой шаблон заявления, куда подавать, как фиксировать инцидент. Лучше иметь этот план в столе, чем судорожно гуглить в момент кризиса.

Сколько стоит привести сайт в порядок

Разброс большой — зависит от масштаба проекта. Но дам ориентиры из своей практики.

Для простого сайта-визитки или лендинга всё можно сделать за 1–2 дня работы: написать и разместить документы (политика, согласие, cookie-политика), добавить чекбоксы, настроить баннер, подать уведомление в Роскомнадзор. Если документы готовит юрист отдельно, то от разработчика — несколько часов.

Для интернет-магазина или сервиса с личным кабинетом — от 3 до 7 дней. Здесь нужен аудит всех точек сбора данных, проверка интеграций, замена зарубежных сервисов, настройка логирования, тестирование.

Стоимость работы разработчика — индивидуально. Но штраф в 300 000 рублей за отсутствие уведомления в Роскомнадзоре точно обойдётся дороже, чем привести сайт в порядок.

Минимальный набор документов на сайте

Подведу итог — что должно быть размещено на каждом сайте, который собирает хотя бы имя и телефон:

  1. Политика обработки персональных данных — в открытом доступе, ссылка в футере каждой страницы.
  2. Согласие на обработку ПД — отдельный документ, ссылка из чекбокса под каждой формой.
  3. Политика в отношении cookie — может быть отдельным документом или разделом основной политики.
  4. Cookie-баннер — всплывающее уведомление на каждой странице с возможностью выбора.
  5. Чекбоксы — под каждой формой сбора данных, не отмеченные по умолчанию.
  6. Уведомление в Роскомнадзор — подано через портал до начала обработки.

Пара слов напоследок

152-ФЗ — это не та тема, которую можно один раз настроить и забыть. Закон меняется, требования ужесточаются, Роскомнадзор учится проверять автоматически. В 2026 году проверки идут без предупреждения, а ИП приравнены к юрлицам по размерам штрафов.

Если вы владелец сайта и до сих пор не проверили его на соответствие — самое время. Не ждите, пока придёт уведомление от Роскомнадзора или конкурент напишет на вас жалобу (да, так тоже бывает, и нередко).

Если нужна помощь с технической стороной — я на связи. Привести сайт в порядок можно быстро, особенно в рамках поддержки и развития, если знать, что именно и где менять.