Чек-лист по 152-ФЗ для владельцев сайтов: как не получить штраф 300 000 ₽ - swat.one - Разработка сайтов во Владивостоке
8 914 320 00 09
4 мая 2026

Чек-лист по 152-ФЗ для владельцев сайтов: как не получить штраф 300 000 ₽

С 30 мая 2025 года Роскомнадзор всерьёз взялся за владельцев сайтов: автоматизированные ИИ-сканеры круглосуточно проверяют политики и формы, штрафы за неуведомление выросли до 300 000 ₽ для ИП. На прошлой неделе я сам прошёл всю процедуру для swat.one — от анализа политики до подачи уведомления в РКН. Записал рабочий чек-лист: что делать, в каком порядке и на чём чаще всего спотыкаются.

Если у вас на сайте есть форма обратной связи — вы уже оператор персональных данных

Любая форма с именем и телефоном на сайте — это сбор персональных данных. По закону № 152-ФЗ вы автоматически становитесь оператором персональных данных со всеми обязанностями: разработать политику, получать согласие, уведомить Роскомнадзор и обеспечить защиту данных.

Это касается и ИП, и ООО, и самозанятых. Никаких порогов «если у вас меньше 100 клиентов в год — не считается» в законе нет. Есть форма — есть обязанности.

Что грозит за игнор:

  • от 100 000 до 300 000 ₽ — за то, что не уведомили РКН о начале обработки;
  • до 700 000 ₽ — за нарушение требований к согласию (с 1 сентября 2025 года);
  • от 1 до 3 миллионов ₽ — за неуведомление РКН об утечке персональных данных в течение 24 часов;
  • до 15 миллионов ₽ — оборотные штрафы за повторные нарушения и крупные утечки.

А ещё с 30 мая 2025 года РКН запустил автоматическое сканирование сайтов — алгоритмы круглосуточно проверяют наличие политики, корректность форм и трансграничные передачи. Под раздачу попадают даже сайты-визитки, о которых раньше регулятор просто не знал.

Чек-лист: что нужно сделать владельцу сайта в 2026 году

1. Разработать Политику обработки персональных данных

Это публичный документ, размещаемый на сайте. В нём указываются: реквизиты оператора (ИП/ООО, ИНН, ОГРН), какие данные собираются, для чего, кому передаются, как долго хранятся, как реализуются права субъектов данных.

Ссылку на политику размещают в подвале сайта и рядом с каждой формой обратной связи.

Типовая ошибка: копировать политику с чужого сайта, не приводя её в соответствие с реальным сбором данных. Если в политике указаны «фамилия, имя, отчество, паспорт», а форма собирает только имя и телефон — это нарушение принципа минимизации, и РКН-сканер это видит.

2. Оформить отдельное Согласие на обработку персональных данных

С 1 сентября 2025 года согласие должно быть отдельным документом, а не пунктом в политике. На отдельной странице сайта.

В тексте согласия обязательны: реквизиты оператора с адресом, конкретный перечень собираемых данных, цели, перечень действий, способы обработки (автоматизированная или смешанная), срок действия согласия, порядок отзыва.

3. Настроить два независимых чекбокса в форме

В каждой форме обратной связи должно быть два отдельных чекбокса, оба не отмечены по умолчанию:

  • согласие с Политикой обработки персональных данных;
  • согласие на обработку персональных данных.

Оба должны вести по ссылкам на соответствующие документы. Отправка формы без проставления обоих галочек — технически невозможна. Валидация — на стороне сервера, не только в браузере.

Типовая ошибка: один чекбокс «согласен со всем» или предзаполненная галочка. РКН считает это недействительным согласием.

4. Подать уведомление в Роскомнадзор

До начала обработки данных нужно уведомить РКН — это требование статьи 22 закона № 152-ФЗ. Подача бесплатна, делается онлайн через портал pd.rkn.gov.ru с авторизацией через ЕСИА (Госуслуги). Форма заполняется примерно за 30–40 минут, если все данные подготовлены.

В течение 30 дней РКН добавляет вас в публичный реестр операторов. После этого вы можете спокойно работать.

Типовая ошибка: отметить в форме все категории данных «на всякий случай». Каждая лишняя категория повышает требования к уровню защищённости и привлекает внимание. Указывайте только то, что реально собираете.

5. Назначить ответственного за обработку

Для ИП без сотрудников — это сам ИП, но факт назначения нужно зафиксировать приказом. Документ хранится у вас на бумаге, не публикуется, но предъявляется по запросу РКН.

6. Cookie-баннер и аналитика

Если на сайте установлены счётчики (Яндекс.Метрика и подобные), при первом посещении должен показываться баннер с возможностью отказаться. Скрипт счётчика загружается только после явного согласия — это технически нетривиально, но обязательно.

Google Analytics и другие иностранные сервисы аналитики использовать не рекомендуется — они ведут к трансграничной передаче данных, что требует отдельного уведомления РКН и создаёт лишние риски.

7. Локализовать данные на серверах в РФ

С 1 июля 2025 года персональные данные граждан РФ должны храниться на серверах, расположенных на территории России. Это требование Федерального закона № 23-ФЗ. Если сайт лежит на зарубежном хостинге — переезжать. Если на российском — запросить у хостинга справку с адресом ЦОДа: она понадобится для уведомления в РКН.

8. Подготовиться к уведомлению об утечках

В случае любого инцидента с персональными данными оператор обязан уведомить РКН в течение 24 часов, а пострадавших — в течение 10 дней. Штраф за нарушение этого срока — до 3 миллионов рублей. У вас должен быть отработанный порядок действий: кто принимает решение об уведомлении, через какую форму на портале РКН подаётся уведомление, как информируются пользователи.

Кратко: с чего начать прямо сейчас

  1. Проверьте себя в реестре операторов: pd.rkn.gov.ru/operators-registry/operators-list/ по ИНН.
  2. Если вас там нет — это первоочередная задача. Все остальные документы должны быть готовы до подачи уведомления.
  3. Откройте свою политику конфиденциальности и проверьте: совпадает ли перечень собираемых данных с тем, что реально запрашивает форма? Указаны ли ИНН/ОГРН оператора? Нет ли ссылок на устаревшие законы?
  4. Посмотрите на форму обратной связи: один чекбокс или два? Не отмечены ли они по умолчанию? Есть ли ссылки на политику и согласие?
  5. Если используется Яндекс.Метрика — проверьте, загружается ли скрипт до согласия пользователя на cookie. Откройте сайт в режиме инкогнито с открытым DevTools → Network: запрос на mc.yandex.ru при первом заходе быть не должен.

Что мы делаем для клиентов swat.one

Когда мы разрабатываем сайт под ключ, соответствие 152-ФЗ — часть базовой технической поставки, а не дополнительная опция. В каждый проект включены:

  • политика обработки персональных данных и согласие, адаптированные под реальные формы и сервисы вашего сайта;
  • корректная реализация форм с двумя независимыми чекбоксами и серверной валидацией;
  • cookie-баннер с отложенной загрузкой систем аналитики;
  • хостинг на серверах в РФ и справка с адресом ЦОДа для уведомления в Роскомнадзор;
  • HTTPS и базовые меры технической защиты данных;
  • сопровождение при подаче уведомления в РКН и помощь в заполнении формы.

Если у вас уже есть сайт и сомнения, всё ли в порядке с 152-ФЗ — напишите нам, посмотрим. Базовый аудит сайта и документов — бесплатно. Цена ошибки сейчас — от 100 000 рублей штрафа, цена проверки — час времени.

Материал носит информационный характер и не является юридической консультацией. Конкретные требования к вашему сайту зависят от состава собираемых данных, используемых сервисов и характера деятельности. При сомнениях обращайтесь к профильному юристу или к нам — мы подскажем, что критично.

Игорь Овчинников, основатель swat.one