Назад к блогу
Бизнес

Персональные данные на сайте: как выполнить 152-ФЗ и не получить штраф

Форма обратной связи без согласия на обработку данных — уже нарушение. Что должно быть на сайте по 152-ФЗ: политика, согласия, уведомление РКН, cookie-баннер.

1 июля 2026 г.
9 мин чтения
1 просмотров
MOLOTILO

MOLOTILO DIGITAL

Персональные данные на сайте: как выполнить 152-ФЗ и не получить штраф

Почему это касается каждого сайта с формой

Имя и телефон в форме «Заказать звонок» — это персональные данные. Собираете их — вы оператор персональных данных со всеми обязанностями по 152-ФЗ. Штрафы ощутимо выросли и продолжают ужесточаться: за отсутствие согласия — до 300 тыс. ₽ для юрлица (повторно — до 500 тыс.), за утечки — миллионы, а с 2025 года действуют и оборотные штрафы за повторные утечки. Роскомнадзор проверяет сайты в том числе автоматикой, так что «мы маленькие, нас не заметят» больше не работает.

Дисклеймер: мы разработчики, а не юристы; статья — ориентир, для сложных случаев нужен юрист по ПД.

Минимальный комплект для сайта

1. Политика обработки персональных данных

Отдельная страница: какие данные собираете, зачем, как храните и защищаете, кому передаёте, как удалить. Ссылка — в подвале каждой страницы. Шаблон из интернета — лучше, чем ничего, но адаптируйте под себя: перечисленные в политике цели должны совпадать с реальностью.

2. Согласие в каждой форме

  • Чекбокс «Согласен на обработку персональных данных» со ссылкой на политику — у каждой формы: заявка, обратный звонок, комментарии, подписка.
  • Чекбокс не проставлен заранее — это прямое требование.
  • Без отметки форма не отправляется.
  • Согласие на рассылку — отдельным чекбоксом, не «в нагрузку» к заявке.

3. Уведомление Роскомнадзора

Оператор обязан уведомить РКН о начале обработки ПД до её начала — через форму на сайте ведомства. Исключений почти не осталось. Бесплатно, делается один раз, за неподачу — штраф.

4. Баннер cookies

Метрика и пиксели собирают идентификаторы, которые практика относит к ПД. Ставьте баннер «Мы используем cookies» со ссылкой на политику. Требования ужесточаются в сторону явного согласия — заложите возможность «принять/отклонить».

5. Хранение данных в России

Базы с ПД россиян должны первично храниться на серверах в РФ. Практический вывод: хостинг и база — российские; зарубежные сервисы форм и CRM — юридический риск.

Технические меры (спросят при проверке и при утечке)

  • HTTPS на всём сайте — передача форм в открытом виде это уже «неприятие мер защиты».
  • Доступ к заявкам — по ролям, не «пароль от админки в общем чате».
  • Обновления CMS и плагинов — большинство утечек малого бизнеса происходят через дырявые плагины.
  • Назначенный ответственный за обработку ПД (приказом) и пара внутренних документов — их запрашивают первыми.
  • Об утечке теперь обязательно уведомлять РКН в течение 24 часов — имейте план на этот случай.

Частые заблуждения

  • «У нас просто форма на телефон, это не ПД» — телефон + имя = ПД.
  • «Мы ИП, закон для больших» — закон для всех операторов, включая ИП и самозанятых с сайтом.
  • «Поставили галочку — всё, спим спокойно» — согласие лишь один пункт; политика, уведомление РКН и защита данных тоже обязательны.

Чек-лист на сегодня

  1. Политика ПД на сайте, ссылка в подвале.
  2. Чекбоксы согласия во всех формах (не предотмеченные).
  3. Уведомление в РКН подано.
  4. Cookie-баннер стоит.
  5. HTTPS, обновлённая CMS, доступы по ролям.
  6. Хостинг в РФ.

Вывод

Привести сайт в соответствие со 152-ФЗ — день работы, штраф — сотни тысяч и репутация. Проверим ваш сайт и внедрим всё техническое: формы, политику, баннер, HTTPS — напишите нам.

152-ФЗПерсональные данныеПолитика конфиденциальностиCookiesЮридика

Понравилась статья?

Подпишитесь на наш блог, чтобы не пропустить новые материалы