152-ФЗ для сайта в 2026: что обязан сделать владелец
Одна форма с полем «имя» или «телефон» делает вас оператором персональных данных по 152-ФЗ. Без вариантов. Это значит четыре обязанности: опубликовать Политику обработки ПДн, поставить чекбоксы согласия у всех форм, уведомить Роскомнадзор и хранить данные россиян на серверах в РФ. С 30 мая 2025 года штрафы выросли кратно: до 700 тысяч рублей за форму без согласия, до 6 миллионов за зарубежное хранение. В 2026 РКН усилил мониторинг - проверки стали системными.
Что считается персональными данными на сайте
Закон определяет ПДн широко: «любая информация, прямо или косвенно относящаяся к субъекту» (ст. 3 152-ФЗ). На практике это означает следующее.
Явные ПДн - то, что очевидно: имя, фамилия, телефон, email, адрес. Человек вводит их в форму заявки, обратной связи, подписки, регистрации.
Неочевидные ПДн - тут сложнее. Статический IP-адрес РКН и суды давно квалифицируют как ПДн однозначно. Динамический IP, cookie-файлы, идентификаторы аналитических систем - практика 2025-2026 годов всё больше склоняется к тому же. Если на вашем сайте стоит Яндекс.Метрика или Google Analytics, считайте, что вы собираете ПДн посетителей, даже когда те ничего не вводят.
Позиция РКН: безопаснее считать сайт с любой аналитикой оператором ПДн и выстраивать работу исходя из этого. Ошибиться в другую сторону дороже.
Спецкатегории - отдельный случай. Медицинские данные (стоматологии, клиники), биометрия (фото-верификация), данные о судимостях. Требования к ним строже: письменное согласие обязательно, штрафы при утечке выше.
Полный список обязанностей оператора сайта
Всё это вытекает из 152-ФЗ и обновлений 2024-2025 годов.
1. Политика обработки персональных данных
Опубликовать на сайте - обязаны все (ст. 18.1, ч. 2). Это не «рекомендация», это прямое требование закона. Политика должна описывать: какие данные собираете, с какой целью, как долго храните, кому передаёте, как субъект может отозвать согласие. Подробнее о требованиях к содержанию - в статье про Политику обработки ПДн.
2. Согласие на обработку ПДн у каждой формы
Непредустановленный чекбокс со ссылкой на Политику - рядом с каждой формой, где собираются данные. Пользователь ставит галочку сам, никак иначе. С 1 сентября 2025 года (ФЗ-156) нельзя одной галочкой закрывать и обработку ПДн, и рекламную рассылку. Это два отдельных согласия.
Факт согласия нужно фиксировать технически: дата, время, текст, с которым согласился пользователь. Бремя доказывания лежит на вас, не на РКН.
3. Отдельное согласие на рекламную рассылку
Если собираете email для рассылки - это отдельное согласие по ст. 15 152-ФЗ и ст. 18 ФЗ «О рекламе». Контролирует ФАС, штраф за нарушение по ст. 14.3 КоАП для юрлиц: от 100 до 500 тысяч рублей.
4. Cookie-баннер
Прямой нормы «разместите баннер» в 152-ФЗ нет. Но раздел о cookie и IP в Политике - обязателен. Если используете аналитику или маркетинговые cookie, практика 2025-2026 годов требует информировать пользователя до начала сбора и давать ему реальный выбор. Технические cookie (сессия, авторизация) согласия не требуют. Подробнее о cookie-баннере.
5. Уведомление в Роскомнадзор
Подать до начала обработки персональных данных (ст. 22). После реформы ФЗ-266 (с 01.09.2022) исключений осталось три - и почти ни одно не относится к обычному сайту с формами. Подробная инструкция по подаче - в статье про уведомление в РКН.
6. Локализация данных
С 1 июля 2025 года (ФЗ-23) действует прямой запрет: первичный сбор ПДн граждан РФ - только в базы на территории России. Хостинг и БД - в РФ. CRM вроде HubSpot или Salesforce без российского датацентра создают риск. Рассылки через Mailchimp или SendGrid - тоже. Детали про локализацию.
7. Назначить ответственного
Для юрлиц - приказом (ст. 22.1). ИП и самозанятые могут назначить себя. Без этого документа при проверке будут вопросы.
8. Меры технической защиты
Ст. 19 152-ФЗ, постановления правительства №1119 и приказ ФСТЭК №21. На практике для небольшого сайта это: HTTPS, ограниченный доступ к БД, политика паролей, антивирус на сервере.
9. Уведомление об утечке
Если данные утекли - 24 часа на первичное уведомление РКН, 72 часа на уведомление по итогам расследования (ст. 21, ч. 3.1). Не уведомили - штраф по ч. 11 ст. 13.11 КоАП.
Чем грозит нарушение: штрафы 2026
Реформа ФЗ-420 (30.11.2024) переработала ст. 13.11 КоАП: с 9 частей до 18, штрафы выросли кратно. В силе с 30 мая 2025 года.
Вот что реально касается владельца сайта:
| Нарушение | Юрлица | ИП |
|---|---|---|
| Форма без согласия / нарушение состава согласия (ч. 2) | 300-700 тыс. руб. | как должностное лицо: 100-300 тыс. |
| То же повторно (ч. 2.1) | 1-1,5 млн руб. | 500 тыс. - 1 млн |
| Нет Политики на сайте (ч. 3) | 30-60 тыс. руб. | 10-20 тыс. |
| Не уведомили РКН (ч. 10) | 100-300 тыс. руб. | как юрлицо |
| Хранение за рубежом (ч. 8) | 1-6 млн руб. | как юрлицо |
| Хранение за рубежом повторно (ч. 9) | 6-18 млн руб. | как юрлицо |
| Не сообщили об утечке (ч. 11) | 1-3 млн руб. | как юрлицо |
Отдельно - за утечки: от 3 до 15 миллионов рублей в зависимости от числа пострадавших (ч. 12-14 ст. 13.11). При повторной утечке считают оборотный штраф: 1-3% совокупной годовой выручки, минимум 20 миллионов, потолок 500 миллионов рублей.
С декабря 2024 года добавилась уголовная ответственность по ст. 272.1 УК (ФЗ-421): за незаконный оборот ПДн, полученных неправомерно, - до 4 лет лишения свободы по базовой части.
Нюанс про проверки: в 2026 РКН усилил автоматизированный мониторинг сайтов. При выявлении нарушения сначала приходит требование об устранении - на практике около 10 рабочих дней. Штраф - следующий шаг, если требование проигнорировано. Суды при первом нарушении нередко выносят предупреждение (ст. 4.1.1 КоАП). Но это не повод откладывать: требование от РКН само по себе заставляет реагировать в сжатые сроки.
Полная таблица штрафов - в отдельной статье: Штрафы по 152-ФЗ в 2026.
Кто именно обязан: ИП, самозанятый, небольшой интернет-магазин
Короткий ответ: почти все.
Оператор ПДн - это любое лицо (юрлицо, ИП, физлицо), которое организует или осуществляет обработку персональных данных. Если на вашем сайте есть форма обратной связи с полем «телефон» - вы оператор. Если ставите Яндекс.Метрику - вы оператор. Масштаб бизнеса значения не имеет.
Самозанятые под закон тоже подпадают. Наш сервис пдн152.рф сам работает как самозанятый (Видманов М.А., ИНН 667103082080, уведомление в РКН №100197275) - и всё равно прошёл все те же процедуры.
Что не обязаны делать (исключения по ч. 2 ст. 22 очень узкие): обработка только в государственных информационных системах безопасности; исключительно бумажная обработка без автоматизации (любая Excel-таблица уже автоматизация); транспортная безопасность. Под обычный коммерческий сайт ни одно исключение не подходит.
Интернет-магазины - отдельный разговор: там форм много, данные чувствительные (адреса доставки, платёжные данные), плюс часто идёт рассылка. Чек-лист для интернет-магазина собрал всё в одном месте.
Пошаговый план: как привести сайт в соответствие
Порядок важен. Делайте именно в этой последовательности.
Шаг 1. Аудит сайта. Найдите все точки сбора данных: формы, чаты, поп-апы подписки, аналитические скрипты, пиксели. Перепишите список: что собирается, куда уходит, где хранится.
Шаг 2. Политика обработки ПДн. Составить и опубликовать. Описать все категории данных из шага 1. Ссылка на Политику - в футере на всех страницах.
Шаг 3. Согласия у форм. Поставить непредустановленные чекбоксы у каждой формы с полем для ввода данных. Два чекбокса там, где собираете ещё и подписчиков: один на обработку ПДн, второй - на рассылку.
Шаг 4. Cookie-баннер. Если используете Яндекс.Метрику, рекламные пиксели или любую аналитику, посетитель должен дать согласие до начала сбора необязательных cookie.
Шаг 5. Локализация. Убедитесь, что хостинг и БД расположены в России. Замените зарубежные сервисы рассылок и CRM на российские аналоги или убедитесь в наличии российского датацентра.
Шаг 6. Уведомление в РКН. Подаётся через pd.rkn.gov.ru. Можно через Госуслуги без отдельной ЭЦП - нужна подтверждённая учётная запись. Подавать до начала обработки, а не после. Пошаговая инструкция по уведомлению.
Шаг 7. Организационные меры. Назначить ответственного приказом (для юрлица), настроить технические меры защиты.
По времени реально управиться за 3-5 рабочих дней, если документы и технические правки делать параллельно. Самое долгое - ждать регистрации РКН (до 30 дней), но подача фиксируется датой отправки.
---
Хотите разобраться быстрее: на пдн152.рф есть бесплатный экспресс-аудит за 2 минуты, после которого формируется готовый комплект документов под ваш сайт. Тариф «Под ключ» - Политика, Согласие, cookie-баннер, аудит форм и уведомление в РКН. Цена 14 900 рублей, срок 2-4 рабочих дня.
Особенности для разных платформ
Требования одинаковые для всех. Но технические детали реализации зависят от платформы.
Тильда. Формы настраиваются через конструктор, чекбокс согласия добавляется отдельным элементом. Политику публикуете на отдельной странице, ставите ссылку в глобальный футер. Подробнее: 152-ФЗ на Тильде.
WordPress. Плагины для cookie-баннера, чекбоксы в формах через Contact Form 7 или аналоги, страница Политики стандартными средствами CMS. Нюансы и готовые решения: 152-ФЗ на WordPress.
Самописные сайты и интернет-магазины. Больше свободы и больше ответственности. Нужно технически фиксировать факт согласия в БД: дата, время, версия текста. Для магазинов - отдельные требования по платёжным данным и доставке. Чек-лист для интернет-магазина.
Пошаговый порядок действий
- Аудит сайта Найдите все точки сбора данных: формы, чаты, поп-апы подписки, аналитические скрипты, пиксели. Перепишите список: что собирается, куда уходит, где хранится.
- Политика обработки ПДн Составить и опубликовать Политику с описанием всех категорий данных из аудита. Ссылка на Политику - в футере на всех страницах сайта.
- Согласия у форм Поставить непредустановленные чекбоксы у каждой формы с полем для ввода данных. Там, где собираете подписчиков: два чекбокса - отдельно на обработку ПДн, отдельно на рассылку (требование ФЗ-156 с 01.09.2025).
- Cookie-баннер Если используете Яндекс.Метрику, рекламные пиксели или любую аналитику, посетитель должен дать согласие до начала сбора необязательных cookie. Технические cookie (сессия, авторизация) согласия не требуют.
- Локализация данных Убедитесь, что хостинг и БД расположены в России (требование ФЗ-23 с 01.07.2025). Замените зарубежные сервисы рассылок и CRM на российские аналоги или убедитесь в наличии у них российского датацентра.
- Уведомление в РКН Подаётся через pd.rkn.gov.ru до начала обработки данных. Можно через Госуслуги - отдельная ЭЦП не нужна, достаточно подтверждённой учётной записи. РКН вносит в реестр в течение 30 дней, но подача фиксируется датой отправки.
- Организационные меры Назначить ответственного за обработку ПДн приказом (для юрлица - требование ст. 22.1). Настроить технические меры защиты по ст. 19 152-ФЗ и ПП №1119: HTTPS, ограниченный доступ к БД, политика паролей.
Коротко о главном
- Любая форма с именем или телефоном делает вас оператором ПДн - требования 152-ФЗ распространяются на ИП и самозанятых так же, как на юрлица.
- С 1 сентября 2025 года (ФЗ-156) нельзя одной галочкой закрывать согласие на обработку ПДн и на рекламную рассылку - это два отдельных чекбокса.
- Штраф за форму без согласия для юрлица: от 300 до 700 тысяч рублей; за хранение данных за рубежом: от 1 до 6 миллионов.
- Уведомление в РКН подаётся через Госуслуги без отдельной ЭЦП - подтверждённой учётной записи достаточно.
- С 1 июля 2025 года (ФЗ-23) хранить ПДн граждан РФ за рубежом на этапе первичного сбора прямо запрещено законом.
Частые вопросы
Нужна ли политика обработки персональных данных, если сайт совсем небольшой?
Да, нужна. Размер сайта и масштаб бизнеса в 152-ФЗ значения не имеют. Если на сайте есть хотя бы одна форма с полем для ввода данных - обязанность опубликовать Политику есть (ст. 18.1, ч. 2).
Обязательно ли уведомлять Роскомнадзор самозанятому с сайтом-визиткой?
Если на сайте собираются данные через формы (заявка, обратная связь) или стоит аналитика - обязательно. После реформы ФЗ-266 (с 01.09.2022) исключений для малого бизнеса не осталось. Осталось ровно три исключения, и ни одно не покрывает обычный коммерческий сайт.
Cookie-баннер обязателен по закону?
Прямой нормы «разместить баннер» в 152-ФЗ нет, но описать cookie и IP в Политике - обязательно. Если используете маркетинговую аналитику или пиксели, практика 2025-2026 требует информировать пользователя и давать выбор до начала сбора.
Можно ли хранить данные клиентов в Google Sheets или Notion?
Риск высокий: эти сервисы хранят данные за рубежом. С 1 июля 2025 года (ФЗ-23) первичный сбор ПДн граждан РФ обязан происходить в базы на территории России. Замена - российские облачные решения или собственный сервер с хостингом в РФ.
Что будет, если РКН найдёт нарушение на сайте?
Как правило, сначала приходит требование об устранении - на практике около 10 рабочих дней. При первом нарушении суды нередко выносят предупреждение (ст. 4.1.1 КоАП). Штраф - следующий шаг, если требование проигнорировано. Никакого автоматического штрафа за любое несоответствие нет.
С 1 марта 2026 года РКН штрафует автоматически за любое несоответствие?
Нет, это миф. Такой нормы не существует. В 2026 РКН усилил автоматизированный мониторинг сайтов - массовое сканирование стало системным. Но при выявлении нарушения оператор сначала получает требование об устранении, штраф идёт следующим шагом.
Материал носит информационный характер, актуален на 2026 год и не заменяет юридическую консультацию по вашему конкретному случаю.