Обучение по созданию чат-ботов

152-ФЗ для сайта: как проверить соответствие и избежать штрафов

Если у вас есть сайт с формой обратной связи или бот, который собирает имена и телефоны — поздравляю, вы оператор персональных данных. И да, это значит, что 152-ФЗ касается вас напрямую. Не пугайтесь раньше времени — сейчас разберемся, как привести всё в порядок и спать спокойно.
Полушать обсуждение требований закона в формате аудио:
Проверить сайт на 152-ФЗ

Что такое персональные данные и почему все об этом заговорили

Персональные данные (или ПДн) — это любая информация, которая позволяет определить конкретного человека. ФИО, телефон, email, IP-адрес, физический или юридический адрес, даже файлы cookie — всё это подпадает под действие федерального закона №152.
Почему тема стала горячей? Роскомнадзор активизировал проверки, начал рассылать требования владельцам сайтов, а штрафы после недавних поправок выросли значительно. Причем это не страшилки из интернета — реальные компании уже получили предписания и наказания.
Обработка персональных данных на сайте, ПДн

Суть 152-ФЗ кратко: основные моменты

Федеральный закон о персональных данных регулирует, как собирать, хранить и обрабатывать данные граждан России. Основное требование — делать это с согласия человека. Предварительно этому человеку нужно объяснить как вы это будете делать.
Ключевые положения закона:
Статья 3 ФЗ-152
определяет базовые понятия: что считается обработкой данных, кто такой оператор и субъект персональных данных.
Часть 1 статьи 9
требует получать явное согласие на обработку ПДн. Это значит — недостаточно просто разместить форму на сайте. Пользователь должен поставить галочку и согласиться с вашими условиями.
Статья 18.1 152-ФЗ
обязывает публиковать Политику обработки персональных данных на всех страницах, где происходит сбор данных.
Часть 5 статьи 18
все данные граждан РФ должны храниться на серверах, физически расположенных в России. Использование иностранных ЦОД без специального разрешения нарушает это требование.
Требования Роскомнадзора к сайтам

Как стать оператором персональных данных: реестр Роскомнадзора

Как только вы приняли на работу первого сотрудника или запустили сайт с формой обратной связи — вы автоматически становитесь оператором ПДн. Но есть важный нюанс: нужно официально зарегистрироваться в реестре операторов персональных данных.
Инструкция по внесению в реестр операторов:
  1. Переходите в раздел «Форма уведомления»
  2. Заполняете уведомление через Госуслуги или в электронном виде
  3. Получаете письмо с подтверждением регистрации
ЭТО ОБЯЗАТЕЛЬНЫЙ ШАГ. Работа без регистрации в реестре — прямое нарушение закона 152-ФЗ, за которое предусмотрены серьезные санкции.
Реестр операторов персональных данных, форма уведомления

Обязательные документы по 152-ФЗ для сайта

РКН в первую очередь проверяет наличие двух ключевых документов. Они должны быть отдельными страницами или файлами.

Политика обработки персональных данных

Здесь вы детально описываете:
  • Кто вы (название компании, ИНН, контакты)
  • Какие данные собираете (имя, телефон, email и т.д.)
  • Для каких целей (обратный звонок, рассылка, аналитика)
  • Как долго храните информацию
  • Как уничтожаете данные после окончания срока хранения
  • Какие сервисы используете (Яндекс.Метрика, VK Pixel и другие)
Согласно части 1 статьи 9, если на сайте работает аналитика, в документе нужно перечислить названия всех этих сервисов.

Согласие на обработку персональных данных 152-ФЗ

Это отдельный документ, где вы объясняете пользователю, что именно произойдет с его данными после отправки формы. Человек должен осознанно согласиться с этими условиями.
Согласие о персональных данных по 152-ФЗ вы должны сделать активным. То есть недостаточно написать мелким шрифтом «Отправляя форму, вы соглашаетесь...». Нужен чекбокс — галочка, которую пользователь ставит сам.
Пункт 2 части 1 статьи 18.1 требует, чтобы Политика обработки была доступна на всех страницах сайта, где собираются данные. Это касается и страниц со счетчиками аналитики — ведь cookies тоже являются персональными данными.
Политика обработки персональных данных и Согласие на обработку

Где размещать документы

Оба документа должны быть в подвале сайта на каждой странице. Политика и согласие — это активные ссылки, которые ведут на соответствующие страницы с полным текстом.
Ссылки на политику и согласие в подвале на каждой странице

Требования ФЗ-152 к формам на сайте

Под каждой формой обратной связи должен быть чекбокс (галочка) с текстом примерно такого содержания:
«Я даю согласие на обработку персональных данных в порядке и на условиях, указанных в Политике обработки персональных данных и Согласии на обработку ПДн»
Названия документов — это кликабельные ссылки на соответствующие документы. Без этого чек-бокса форма нарушает требования 152 федерального закона.
Чек-бокс согласия на сайте и согласие с обработкой в боте

152-ФЗ и cookie: что нужно знать

Файлы cookie — это маленькие текстовые файлы, которые сайт сохраняет на устройстве пользователя. Благодаря им работает авторизация, сохраняется корзина, а Яндекс.Метрика отслеживает поведение посетителей.
С точки зрения закона о персональных данных, куки — тоже ПДн. Поэтому на сайте обязательно должно быть всплывающее окно, которое:
  • Информирует о сборе cookie
  • Ссылается на Политику конфиденциальности
  • Требует согласия пользователя
Окно должно появляться при первом посещении и быть на виду пока пользователь не нажмет кнопку Принять.
Окно cookie (куки) файлов при входе на сайт

Трансграничная передача персональных данных по 152-ФЗ

Один из самых острых вопросов — использование зарубежных сервисов. Если на вашем сайте установлен Google Analytics, Facebook Pixel или Google Tag Manager, технически вы осуществляете трансграничную передачу данных граждан РФ.
Часть 5 статьи 18 прямо запрещает хранение данных россиян на иностранных серверах без соответствующего уведомления РКН. Статья 12 обязывает уведомлять Роскомнадзор о передаче данных за границу.
Есть специальная форма уведомления о трансграничной передаче на сайте Роскомнадзора. Но проще (и правильнее) заменить зарубежные инструменты на отечественные аналоги:
  • Вместо Google Analytics — Яндекс.Метрика
  • Вместо Google Tag Manager — Яндекс.Таг Менеджер
  • Вместо Facebook Pixel — VK Pixel или пиксели Mail.ru
Хостинг для сайта тоже должен быть расположен в России. ЦОД (центр обработки данных) за пределами РФ приведет к штрафам по ФЗ-152.
Трансграничная передача данных

Сертификат SSL и безопасность персональных данных

Все данные должны передаваться по защищенному протоколу HTTPS. Если рядом с адресом сайта вы видите красный замочек или надпись «Не защищено» — это проблема.
Если SSL-сертификата нет, то информация передается в открытом виде. Это нарушает принципы безопасности персональных данных по 152-ФЗ и делает сайт уязвимым для утечки.
Проверить свой сертификат прямо сейчас: откройте свой сайт и посмотрите на адресную строку браузера. Должен быть серый или зеленый замочек и протокол https://.
SSL-сертификат и HTTPS для 152-ФЗ

Распространение персональных данных: раздел «Наши сотрудники» и «Отзывы»

Многие владельцы сайтов не знают об этом требовании, но оно есть в документах РКН. Если вы публикуете на сайте:
  • Фотографии сотрудников
  • ФИО врачей, менеджеров, специалистов
  • Отзывы клиентов с именами и фото
...вы занимаетесь распространением персональных данных в интернете.
Статьи 7 и 10.1 требуют получить от каждого сотрудника отдельное письменное согласие на распространение его данных. Это не то же самое, что согласие на обработку при трудоустройстве. Нужен дополнительный документ.
Часть 10 статьи 10.1 обязывает в течение трех дней после получения согласия опубликовать на сайте информацию об условиях обработки этих данных.
Практический совет: создайте на сайте отдельную страницу «Согласие сотрудников на обработку персональных данных» и разместите ссылку на нее рядом с разделом команды.
То же самое касается отзывов клиентов. Если публикуете реальные имена и фотографии — у вас должно быть письменное разрешение от этих людей.

Запрещенные соцсети и 152 федеральный закон

Instagram и Facebook принадлежат компании Meta, признанной экстремистской организацией в России. Размещать иконки этих соцсетей на сайте крайне не рекомендуется.
Если по каким-то причинам вам необходимо оставить эти ссылки, нужно:
  • Убрать иконки (визуальные элементы)
  • Оставить только текстовые ссылки
  • Обязательно добавить пометку «Ресурс запрещен на территории РФ»
WhatsApp тоже принадлежит Meta, поэтому виджет мессенджера на сайте лучше заменить на Телеграм, ВК или Max.

Как проверить сайт на соответствие 152-ФЗ

Можно провести аудит соответствия 152-ФЗ вручную или использовать специальный сервис для автоматической проверки.

Чек-лист для ручной проверки сайта

Документы: есть ли Политика обработки и Согласие на обработку ПДн в подвале?
Формы: под каждой формой стоит чекбокс со ссылками на документы?
Cookie: появляется ли при первом заходе окно о сборе куки?
Зарубежные сервисы: откройте код страницы (Ctrl+U) и поищите упоминания Google Analytics, Facebook, GTM
Соцсети: есть ли иконки запрещенных платформ?
SSL-сертификат: работает ли сайт по HTTPS?
Распространение данных: если публикуете фото/ФИО сотрудников или клиентов — есть ли страница с согласиями?

Онлайн-сервис для проверки 152-ФЗ

Проверить сайт на 152-ФЗ можно с помощью специального Telegram-бота. Просто отправляете ссылку на сайт — и через несколько секунд получаете подробный отчет:
  • Найдена ли Политика обработки
  • Есть ли чекбоксы под формами
  • Обнаружены ли скрипты Яндекс.Метрики или Google Analytics
  • Работает ли окно cookie
  • Установлен ли SSL-сертификат
Бот позволяет без программиста быстро выявить основные проблемы.
Бот Сканер 152-ФЗ, провести аудит сайта на соответствие фз 152
Сканер 152-ФЗ

Как подготовить сайт к 152-ФЗ: пошаговая инструкция

Шаг 1. Зарегистрируйтесь в реестре операторов РКН

Это базовое требование закона. Без регистрации все остальные действия теряют смысл.

Шаг 2. Подготовьте пакет документов по 152-ФЗ

Создайте две отдельные страницы:
  • Политика в отношении обработки персональных данных
  • Согласие на обработку ПДн
Разместите ссылки на них в футере сайта на каждой странице.

Шаг 3. Добавьте чекбоксы под все формы

Под каждой формой обратной связи должна быть галочка с текстом согласия и активными ссылками на документы.

Шаг 4. Настройте окно cookie

Всплывающее уведомление о сборе cookie файлов должно появляться при первом посещении сайта. Пока кнопка Принять не нажата, окно должно быть видно.

Шаг 5. Удалите зарубежные сервисы аналитики

Замените Google Analytics на Яндекс.Метрику, уберите Facebook Pixel. Если это невозможно — подайте уведомление о трансграничной передаче в РКН.

Шаг 6. Проверьте SSL-сертификат

Сайт должен работать по защищенному протоколу HTTPS. Если сертификат отсутствует или истек — срочно исправляйте.

Шаг 7. Оформите согласия сотрудников

Если публикуете фото и данные команды — получите письменные согласия на распространение информации. Создайте отдельную страницу с этими согласиями.

Шаг 8. Обновите данные в реестре операторов

Часть 7 статьи 22 требует, чтобы информация в реестре соответствовала реальной ситуации. Если изменились цели обработки, список собираемых данных или добавились новые формы — подайте обновленные сведения в РКН.
Аудит соответствия сайта 152-ФЗ

Обязанности оператора персональных данных по ФЗ-152

Как оператор, вы обязаны:
  • Обеспечивать безопасность собранных данных от утечки
  • Хранить информацию только на территории России (если иное не согласовано с РКН)
  • Уничтожать данные после достижения целей обработки или по запросу субъекта
  • Предоставлять человеку информацию о его данных по запросу
  • Удалять или исправлять недостоверные данные
Хранить персональных данных по ФЗ-152 нужно в базах данных с защитой от несанкционированного доступа. Внимательно подойдите к выбору сервера.

Вопросы по 152-ФЗ: частые ситуации

Нужно ли соблюдение 152-ФЗ, если я просто собираю email для рассылки?
Да. Email — это персональные данные. Нужна Политика обработки, согласие пользователя и регистрация в реестре операторов.
Что делать, если Яндекс.Метрика уже установлена — это нарушение?
Нет, Яндекс.Метрика — российский сервис. Но в Политике обработки нужно указать, что вы используете этот инструмент аналитики. И обязательно должно быть окно о cookie.
Можно ли самостоятельно написать Политику обработки или нужен юрист?
Можно найти шаблоны и адаптировать под свою деятельность. Но если у вас сложная схема обработки данных или вы работаете с чувствительной информацией — лучше проконсультироваться с юристом.
Я использую конструктор сайтов (Tilda, Wix). Они сами отвечают за соответствие 152-ФЗ?
Нет. Ответственность за соблюдение закона несете вы как владелец сайта и оператор персональных данных. Конструктор — это просто инструмент.
А если у меня бот в Telegram — тоже нужно соблюдать ФЗ-152?
Да. Бот собирает имена, ник пользователя, возможно телефон — это персональные данные. Нужно при первом взаимодействии показывать сообщение с согласием на обработку и ссылками на Политику.

Проверка и штрафы по 152-ФЗ

РКН проводит плановые и внеплановые проверки. Могут прислать предписание с требованием устранить нарушения в короткие сроки. Если не исправите — последуют штрафы.
Размеры санкций после недавних поправок выросли существенно:
  • Для физических лиц и ИП — до 400 тысяч рублей
  • Для юридических лиц — до 15 миллионов рублей
При повторных нарушениях суммы увеличиваются. Кроме того, РКН может заблокировать доступ к сайту.

Обучение по 152-ФЗ и дополнительные материалы

Чтобы разобраться в законе глубже, можно:
Знание основных требований закона поможет избежать штрафов и защитить данные ваших клиентов. А это, в свою очередь, повышает доверие к бизнесу.
Эти шаги закроют основные требования 152 федерального закона и существенно снизят риски при проверке Роскомнадзора.
Сканер 152-ФЗ
2025-11-01 19:02
Made on
Tilda