Связаться со мной:

Помощь по вашему проекту или 2 бесплатных курса по SEO

смайлик

Связаться со мной:

  1. Главная /
  2. Блог /
  3. Как не получить штраф по 152-ФЗ: Полный чек-лист для владельцев сайтов и операторов персональных данных

Как не получить штраф по 152-ФЗ: Полный чек-лист для владельцев сайтов и операторов персональных данных

автор

статья от

Алексей Лазутин

Специалист по поисковому маркетингу

В современном цифровом мире сбор персональных данных стал неотъемлемой частью работы любого онлайн-бизнеса. От формы обратной связи до cookie-файлов — каждый клик пользователя может содержать информацию, защищённую законом. В России действует Федеральный закон №152-ФЗ «О персональных данных», который устанавливает строгие требования к обработке, хранению и передаче личной информации. Нарушение этих требований влечёт за собой не просто предупреждения, а крупные штрафы — до 6 миллионов рублей для юридических лиц и до 200 тысяч рублей для индивидуальных предпринимателей. В этой статье вы найдёте подробный, структурированный и практичный чек-лист, который поможет вам не только избежать штрафов Роскомнадзора, но и построить прозрачную, законную систему работы с данными клиентов. Мы разберём каждый пункт закона, покажем реальные примеры нарушений и дадим пошаговые инструкции, как всё правильно организовать — даже если у вас нет юридического отдела.

Почему закон №152-ФЗ так важен для вашего бизнеса

Многие владельцы малого и среднего бизнеса считают, что закон о персональных данных касается только крупных компаний — банков, телекомов или интернет-гигантов. Это опасное заблуждение. Согласно закону, оператором персональных данных считается любое физическое или юридическое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. Это значит: если вы собираете имя, телефон или email через форму на сайте — вы уже оператор. Даже если это делаете как ИП или частное лицо без официальной регистрации компании. Роскомнадзор не делает исключений для небольших интернет-магазинов, частных мастерских или блогеров. Нарушение закона может привести не только к штрафам, но и к блокировке сайта, а в некоторых случаях — к приостановлению деятельности.

Реальные кейсы показывают, насколько серьёзны последствия: в 2023 году ИП из Краснодара получил штраф в размере 180 тысяч рублей за то, что использовал зарубежный сервис для хранения базы клиентов. В 2024 году небольшой онлайн-магазин из Нижнего Новгорода был оштрафован на 500 тысяч рублей за отсутствие политики обработки персональных данных и неправильное оформление согласия пользователей. Эти случаи не единичны — и они происходят каждый месяц.

Закон №152-ФЗ существует не для того, чтобы ограничивать бизнес, а для защиты прав граждан. Ваша задача — не просто «не нарушить», а создать доверие. Когда клиент видит, что вы честно сообщаете, как и зачем используете его данные, он чувствует себя в безопасности. Это повышает конверсию, лояльность и репутацию бренда. В этом смысле соблюдение закона — это не юридическая обязанность, а маркетинговое преимущество.

Чек-лист: 5 обязательных шагов для соответствия закону

1. Разработайте и опубликуйте Политику обработки персональных данных

Это — основа всего. Политика обработки персональных данных (ПОПД) — это официальный документ, в котором вы чётко описываете:

  • Какие данные собираете (имя, телефон, email, адрес, IP-адрес и т.д.)
  • Зачем вы их собираете (например, для оформления заказа, рассылки новостей, улучшения сервиса)
  • Как и где храните данные (сервер в России, облачный сервис с локализацией)
  • С какими третьими лицами можете передавать данные (например, курьерская служба)
  • Как долго храните информацию
  • Права пользователей: как они могут запросить удаление, исправление или получение копии своих данных
  • Какие меры безопасности вы применяете (шифрование, доступ по паролю и т.д.)

Политика должна быть доступна на сайте. Лучше всего разместить её в подвале страницы (footer) в виде ссылки с названием «Политика конфиденциальности» или «Политика обработки персональных данных». Ссылка должна быть видна на всех страницах — не прячьте её в меню «Юридическая информация», где её могут не заметить.

Создать политику можно самостоятельно, используя рекомендации Роскомнадзора. Однако не стоит копировать шаблоны из интернета без адаптации — каждая компания уникальна. Если вы не уверены в формулировках, лучше обратиться к юристу. Даже одна неточность — например, указание, что данные передаются «в любые страны», — может стать основанием для штрафа. Помните: политика должна быть понятной, а не перегруженной юридическим жаргоном. Используйте простой язык: «Мы не продаем ваши данные», «Вы можете в любой момент отписаться».

2. Настройте согласие на обработку персональных данных в формах

Закон требует, чтобы сбор персональных данных происходил только с явного и осознанного согласия пользователя. Это означает:

  • Нельзя использовать предустановленные чекбоксы. Пользователь должен сам кликнуть на поле «Согласен».
  • Чекбокс должен быть выделен визуально — не спрятан мелким шрифтом под текстом.
  • Ссылка на Политику обработки персональных данных должна быть прямо рядом с чекбоксом и кликабельной.
  • Согласие должно быть конкретным — например, «Я согласен на обработку моих персональных данных для оформления заказа и получения информационной рассылки».

Пример неправильного оформления: «Я согласен с условиями использования сайта» — это слишком расплывчато. Пользователь не знает, что именно он согласен делать. Пример правильного: «Я даю своё согласие на обработку моих персональных данных (имя, телефон, email) для целей оформления заказа и отправки статусов доставки».

Также важно: если вы собираете данные для нескольких целей (например, рассылка + аналитика), нужно отдельные чекбоксы для каждой цели. Не допускайте «одного согласия на всё». Это нарушение.

Практический совет: используйте плагины для CMS (например, WordPress или Bitrix), которые автоматически добавляют корректные формы согласия. Но не полагайтесь на них полностью — проверяйте, что они генерируют. Некоторые бесплатные плагины используют устаревшие формулировки или не учитывают требования закона.

3. Обязательно уведомите пользователей о cookie и создайте отдельную политику для них

Куки-файлы — это небольшие файлы, которые веб-сайты сохраняют на устройстве пользователя. Они используются для запоминания сессий, аналитики, рекламы и персонализации контента. В России cookie-файлы регулируются законом №152-ФЗ, если они содержат персональные данные (например, IP-адрес, идентификаторы сессии). Это означает: вы обязаны уведомить пользователя о том, что на его устройстве будут записываться данные, и получить согласие.

Важно: политика обработки cookie — это отдельный документ от Политики обработки персональных данных. Их нельзя объединять! Пользователь должен видеть два разных документа: один про данные, другой про cookie.

Как это реализовать:

  • При первом заходе на сайт появляется баннер: «Мы используем cookie для улучшения вашего опыта. Продолжая использовать сайт, вы соглашаетесь с нашей Политикой cookie. [Принять] [Настроить]».
  • Ссылка «Политика cookie» ведёт на отдельную страницу, где подробно перечислены все типы cookie (строго необходимые, аналитические, рекламные), их назначение и срок хранения.
  • Пользователь должен иметь возможность отключить ненужные cookie (кроме строго необходимых — например, для корзины).

Пример: если вы используете Google Analytics, то даже если он не собирает имя или телефон — его cookie могут идентифицировать пользователя по IP-адресу. Значит, это персональные данные. Следовательно — нужны уведомление и согласие.

Баннер должен быть ненавязчивым, но заметным. Его нельзя скрывать за кнопкой «Закрыть» — пользователь должен осознанно принять или настроить параметры. Рекомендуем использовать инструменты, которые позволяют отключать рекламные и аналитические cookie по умолчанию — это повышает доверие.

4. Храните данные российских пользователей на серверах в России

Это одно из самых строгих требований закона №152-ФЗ. Согласно статье 18, операторы обязаны осуществлять сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) персональных данных граждан России с использованием баз данных, расположенных на территории Российской Федерации.

Это означает: если вы используете Google Forms, Dropbox, Mailchimp, HubSpot, Shopify или любой другой сервис с серверами за границей — вы нарушаете закон. Даже если клиент из Казани, а данные попадают в США — это незаконно.

Что можно использовать:

  • Яндекс.Диск — серверы находятся в России.
  • СберОблако, Контур.Облако, Mail.Ru Cloud Solutions — российские облачные провайдеры.
  • Собственный сервер — если он расположен в РФ и защищён.
  • Российские CRM-системы: 1С-Битрикс, Тинькофф.Касса (для e-commerce), ОФД-системы.

Что нельзя использовать:

  • Google Drive, Gmail, Google Analytics
  • Facebook Pixel, Instagram API
  • Mailchimp, SendGrid, HubSpot
  • iCloud, Amazon Web Services (AWS), Microsoft Azure
  • WhatsApp, Telegram (если вы используете их для хранения персональных данных)

Важно: даже если вы не храните данные, а просто передаёте их через API — это считается обработкой. Значит, сервер должен быть в России.

Практический кейс: интернет-магазин, использующий Shopify для оформления заказов, получил предупреждение от Роскомнадзора, потому что данные клиентов автоматически передавались на серверы в США. Решение: переехали на 1С-Битрикс с локализацией в России. Через месяц — проверка прошла без замечаний.

5. Подайте уведомление в Роскомнадзор

Это обязательный шаг, который часто игнорируют. Даже если вы ИП или частное лицо — вы обязаны подать уведомление о начале обработки персональных данных. Исключения есть только для тех, кто использует данные исключительно в личных целях (например, хранение адресов друзей в телефоне). Но если вы собираете данные через сайт — это коммерческая деятельность, и уведомление нужно.

Как подать:

  1. Зайдите на официальный сайт Роскомнадзора (https://rkn.gov.ru).
  2. Найдите раздел «Персональные данные» → «Уведомление об обработке ПДн».
  3. Заполните форму: укажите название, адрес, ИНН (если есть), виды обрабатываемых данных, цели, сроки хранения и т.д.
  4. Загрузите файл с Политикой обработки персональных данных.
  5. Отправьте уведомление. Система выдаст номер и дату подачи — сохраните это.

Срок подачи: в течение 10 рабочих дней с момента начала обработки. Если вы запустили сайт с формой регистрации — уведомление нужно подать в тот же день или на следующий. Нет смысла ждать «когда станет больше клиентов» — закон не учитывает масштаб.

Нарушение: отсутствие уведомления — основание для штрафа в размере до 200 тысяч рублей для ИП и до 1,5 миллиона рублей для компаний. В случае повторного нарушения — до 6 миллионов рублей.

Совет: сохраните подтверждение подачи. Даже если система не выдаёт PDF — сделайте скриншот с датой и временем. Это станет вашим доказательством при проверке.

Что будет, если не выполнять требования?

Роскомнадзор проводит как плановые, так и внеплановые проверки. Инспекторы могут:

  • Запросить у вас Политику обработки персональных данных
  • Проверить, есть ли согласия пользователей
  • Запросить логи доступа к базе данных
  • Проверить, где хранятся данные (IP-адрес сервера)
  • Запросить уведомление о регистрации

Если нарушения найдены — вы получите предписание с указанием сроков устранения. Если не исправить — последует штраф. Размер зависит от серьёзности нарушения:

Тип нарушения Штраф для ИП / ФЛ Штраф для юр. лиц
Отсутствие Политики обработки ПДн от 30 000 до 100 000 рублей от 200 000 до 750 000 рублей
Отсутствие согласия пользователя от 30 000 до 50 000 рублей от 100 000 до 500 000 рублей
Хранение данных за рубежом от 50 000 до 150 000 рублей от 500 000 до 6 000 000 рублей
Отсутствие уведомления в Роскомнадзор от 50 000 до 100 000 рублей от 500 000 до 1 500 000 рублей
Нарушение требований к cookie от 20 000 до 70 000 рублей от 150 000 до 700 000 рублей

Кроме штрафов, возможны:

  • Блокировка сайта Роскомнадзором (при массовых нарушениях)
  • Принудительное удаление базы данных
  • Публикация информации о нарушении в реестре Роскомнадзора — это наносит ущерб репутации
  • Иски от клиентов о компенсации морального вреда

Один из крупнейших штрафов в 2023 году был наложен на онлайн-платформу за использование Google Analytics и Mailchimp — общая сумма составила 4,2 миллиона рублей. Компания не знала о требованиях закона — и это стало уроком для всей отрасли.

Часто задаваемые вопросы (FAQ)

Вопрос: Я использую только Telegram для связи с клиентами. Нужно ли соблюдать 152-ФЗ?

Ответ: Да, если вы сохраняете в Telegram контакты клиентов (имена, телефоны), это считается обработкой персональных данных. Даже если вы не ведёте базу — просто храните переписки с клиентами. Рекомендуем удалять старые диалоги и не хранить личные данные в мессенджерах без согласия.

Вопрос: Можно ли использовать Google Forms для сбора заявок?

Ответ: Нет. Серверы Google находятся за пределами России. Даже если вы не видите данные — они автоматически передаются в США. Используйте только российские аналоги: Яндекс.Формы, 1С-Битрикс Формы или собственные

Похожие материалы

  1. Cookie-less технологии: будущее интернет-маркетинга в 2026 году
  2. Персональные данные на сайте: что нужно сделать, чтобы не получить штраф
  3. Закон о персональных данных: что обязательно должно быть на вашем сайте?
  4. Маркетинговая атрибуция без cookie: как малому бизнесу измерять эффективность рекламы

Содержание

Увеличенная версия изображения