152-ФЗ на WordPress: что реально нужно сделать с политикой, формами и согласиями

Обновлено: 25 июня 2026 · Автор: Максим Видманов, специалист по 152-ФЗ · ИНН 667103082080, в реестре операторов РКН

Коротко

WordPress-сайт с формами обратной связи, аналитикой и плагинами рассылки собирает персональные данные — и автоматически становится оператором по 152-ФЗ. Обязательный минимум: Политика обработки ПДн на сайте, непредзаполненный чекбокс согласия у каждой формы со ссылкой на политику, cookie-баннер с реальным выбором, хостинг и БД на серверах в РФ, уведомление в Роскомнадзор до начала сбора данных. Готовые плагины cookie-согласия и шаблоны политик из репозитория WordPress закрывают только техническую часть — юридическое содержание документов готовится отдельно под конкретный сайт.

Где WordPress собирает персональные данные

Большинство владельцев WP-сайтов считают, что ПДн — это только форма с полем «Телефон». На деле точек сбора заметно больше.

Встроенные комментарии WordPress пишут имя, email и IP автора. Contact Form 7, WPForms, Gravity Forms — очевидно. Но дальше начинается неочевидное.

Плагины рассылок. MailPoet, Mailchimp for WordPress, SendPress хранят email и дату подписки прямо в базе WordPress. Если база на зарубежном сервере — это нарушение локализации (ст. 18 ч. 5 152-ФЗ): с 01.07.2025 введён прямой запрет хранить ПДн граждан РФ в иностранных базах на этапе первичного сбора. С Mailchimp отдельная история: данные уходят в США, и никакое облачное соглашение это не меняет.

Яндекс.Метрика и счётчики. IP-адрес — ПДн по смыслу ст. 3 152-ФЗ («любая информация, прямо или косвенно относящаяся к физлицу»). Статический IP однозначно персональные данные; динамический — спорно, но тренд практики РКН и судов 2025–2026 однозначен: безопаснее считать оба персональными.

WooCommerce и профили покупателей. Имя, адрес доставки, история заказов, платёжные данные. По объёму сбора это полноценная CRM.

Кэш-плагины и CDN. W3 Total Cache, WP Rocket нередко настроены с внешними CDN, часть которых базируется за рубежом. Данные могут проходить через эти узлы.

Вывод простой: если на сайте есть хоть одна форма или аналитика — вы оператор. Дальше вопрос только в том, выполняете ли обязанности оператора.

Куда деваются данные из Contact Form 7 и WPForms

Здесь есть деталь, которую многие пропускают.

Contact Form 7 по умолчанию не сохраняет заявки в базу — только отправляет на email. Казалось бы, хорошо с точки зрения минимизации ПДн. Но обратная сторона: если нужно доказать факт согласия (что человек поставил галочку, когда именно), письмо в почте — слабое доказательство. При проверке РКН оператор несёт бремя доказывания.

WPForms и Gravity Forms по умолчанию сохраняют все заявки в таблицы WordPress. Удобно для CRM-интеграции, но создаёт накопление ПДн: сотни записей, срок хранения которых никем не контролируется. Нужна политика хранения и удаления.

Что сделать на практике:

В CF7 — подключить Flamingo (официальный companion-плагин) для логирования заявок с меткой времени и состоянием чекбокса согласия.
В WPForms/Gravity Forms — настроить срок удаления записей (есть в настройках) и прописать его в Политике.
В любом случае — зафиксировать в Политике, какие данные собираются, где хранятся, сколько и кто имеет доступ.

Одна тонкость про базу данных WordPress: по умолчанию она на том же хостинге, что и сайт. Если хостинг в РФ — порядок. Если сайт на сервере в Германии или США — нарушение локализации с 01.07.2025. Не «потенциальное», а действующее.

Плагины cookie-согласия: чего они не делают

CookieYes, Complianz, GDPR Cookie Consent, WP Cookie Notice — популярные решения. Ставишь плагин, он генерирует баннер, показывает категории cookie. Выглядит солидно. Но есть несколько нюансов, о которых стоит говорить напрямую.

Шаблонный текст не равен соответствию 152-ФЗ. Большинство этих плагинов разрабатывались под GDPR. Они упоминают «legitimate interest», «data controller», ссылаются на европейские нормы. В российском праве нет понятия «legitimate interest» в той же трактовке — основания обработки перечислены в ст. 6 152-ФЗ. Текст политики из плагина нужно переписывать.

Технический блок cookie до согласия — плагин делает. Если правильно настроить Complianz или CookieYes, Яндекс.Метрика действительно не загрузится до нажатия «Принять». Это важная функция, и с ней они справляются.

Раздельные согласия с 01.09.2025. ФЗ-156 требует отдельного согласия на обработку ПДн и отдельного — на рекламную рассылку. Одной галочкой закрыть оба нельзя. Большинство cookie-плагинов на эту логику не настроены — они про категории cookie, а не про разделение согласий по целям.

Что плагин не сделает за вас: не напишет Политику под конкретный сайт с его составом ПДн, не настроит чекбоксы согласия в формах, не подаст уведомление в РКН.

Если нужен инструмент, который именно блокирует аналитику до согласия — плагины справятся. Если нужно документальное соответствие 152-ФЗ — это отдельная работа.

Яндекс.Метрика вместо Google Analytics: почему это важно для 152-ФЗ

Вопрос локализации (ст. 18 ч. 5 152-ФЗ) после 01.07.2025 стал практическим, а не теоретическим.

Google Analytics передаёт данные (включая IP и идентификаторы пользователей) на серверы Google в США. Первичный сбор при этом происходит в РФ. С 01.07.2025 ФЗ-23 ввёл прямой запрет: ПДн граждан РФ при первичном сборе должны попадать в базы на территории РФ. GA в этой логике создаёт реальный риск нарушения.

Яндекс.Метрика хранит данные на серверах в России — это зафиксировано в их пользовательском соглашении. С точки зрения локализации — безопасная замена.

Практические различия для WordPress:

Параметр	Google Analytics	Яндекс.Метрика
Локализация данных	Серверы в США/Европе	Серверы в РФ
Риск по ст. 18 ч. 5	Высокий после 01.07.2025	Минимальный
Вебвизор (запись сессий)	Отдельный инструмент	Встроен — осторожно: пишет ввод в формах
Установка на WP	Через GTM или плагин	Плагин Яндекс.Метрика или код в header.php

Про Вебвизор отдельно: при включённой записи сессий Метрика пишет всё, что вводит пользователь, включая данные в формах. Это отдельная проблема — сбор ПДн через видеозапись без явного согласия именно на это. Если Вебвизор включён, его нужно указать в Политике и, возможно, добавить отдельный пункт в согласие. На сайтах с чувствительными формами проще его выключить.

Google Tag Manager сам по себе данных не собирает, но через него подключается всё что угодно. Если в GTM настроен GA4 — проблема локализации остаётся. Если только Яндекс.Метрика — риск минимальный.

Хостинг, база данных и где хранятся данные WordPress

Чек-лист по локализации для WP-сайта:

Хостинг сайта. Файлы и БД WordPress должны быть на серверах в РФ. Beget, Timeweb, REG.RU, Selectel, Yandex Cloud (регион ru-central1) — подходят. Hetzner (Германия), SiteGround (ЕС/США), WP Engine (США) — создают риск нарушения ст. 18 ч. 5 после 01.07.2025.

База данных. MySQL WordPress по умолчанию на том же сервере, что и сайт. Если хостинг в РФ — порядок. Если используете внешнюю БД в европейском или американском регионе — нарушение.

Плагины рассылок. Mailchimp хранит базу подписчиков на серверах в США. Замена: UniSender, SendPulse, Mailopost — российские, данные в РФ. MailPoet по умолчанию хранит подписчиков в WP-базе на вашем хостинге.

Формы сторонних сервисов. Typeform, Google Forms — данные за рубежом. Альтернатива: Contact Form 7 и WPForms с хранением в WP-базе, Яндекс.Формы.

CRM-интеграции. AmoCRM, Битрикс24 — российские, данные в РФ. HubSpot, Salesforce без специальной настройки — данные за рубежом.

Перенос сайта с зарубежного хостинга на российский — стандартная операция, делается за несколько часов. Не повод для бесконечного откладывания.

Как закрыть требования 152-ФЗ: что конкретно нужно на WordPress-сайте

Сводный перечень того, без чего сайт формально нарушает закон:

Политика обработки ПДн (ст. 18.1 ч. 2 152-ФЗ). Отдельная страница на сайте. Не PDF-файл «политика от 2019 года», а актуальный документ с перечнем всех точек сбора: формы, аналитика, рассылки, cookie. Ссылка в футере на каждой странице.

Чекбокс согласия у форм. Непредзаполненный — пользователь ставит сам. Рядом текст согласия и ссылка на Политику. Технически: в CF7 через тег [acceptance], в WPForms через поле Checkbox с обязательным заполнением. Кнопку «Отправить» без галочки нажать нельзя.

Отдельный чекбокс на рассылку (с 01.09.2025, ФЗ-156). Если после заявки или регистрации вы отправляете рассылки — нужен второй отдельный чекбокс: «Согласен получать рекламные сообщения». Он не может быть предзаполненным и не может совмещаться с чекбоксом на обработку ПДн.

Cookie-баннер. С реальным выбором (принять / отклонить / настроить). Появляется до загрузки необязательных cookie (Метрика и прочее). В настройках плагина нужно убедиться, что скрипты аналитики действительно блокируются до выбора пользователя.

Уведомление в Роскомнадзор (ст. 22 152-ФЗ). До начала обработки. Подаётся через pd.rkn.gov.ru. Через Госуслуги — отдельная ЭЦП не нужна, достаточно подтверждённой учётной записи. Штраф за неподачу — ч. 10 ст. 13.11 КоАП: для юрлиц 100–300 тыс. руб., для ИП — как для юрлиц.

Всё это должно работать как единый комплект: документы соответствуют реальной практике сайта, чекбоксы работают технически, данные хранятся там, где написано в Политике.

Если делаете самостоятельно — начните с аудита: составьте список всех мест, где вводятся данные, и всех внешних сервисов, куда они уходят. Этот список станет основой Политики.

Штрафы: что грозит, если не закрыть

ФЗ-420 с 30.05.2025 переработал ст. 13.11 КоАП: было 9 частей — стало 18, штрафы выросли кратно. Вот что актуально для типичного WP-сайта:

Нарушение	Юрлица	ИП
Нет Политики на сайте (ч. 3)	30–60 тыс.	10–20 тыс.
Форма без чекбокса согласия (ч. 2)	300–700 тыс.	100–300 тыс. *
Повторно без согласия (ч. 2.1)	1–1,5 млн	500 тыс. – 1 млн
Не подано уведомление в РКН (ч. 10)	100–300 тыс.	как юрлицо
Нарушение локализации (ч. 8)	1–6 млн	как юрлицо
Повторное нарушение локализации (ч. 9)	6–18 млн	как юрлицо

*ИП по ч. 2 отвечает как должностное лицо: 100–300 тыс. руб.

Про практику: в 2026 РКН усилил автоматизированный мониторинг сайтов. При выявлении нарушения на практике обычно приходит требование об устранении — и только потом штраф. При первом нарушении суд может применить предупреждение по ст. 4.1.1 КоАП. Но это не означает «можно подождать»: требование приходит внезапно, а сроки на устранение короткие.

Что видно при автоматическом мониторинге без доступа к серверу: наличие Политики, работу форм (есть ли чекбокс), наличие cookie-баннера. Это сканируется автоматически.

Пошаговый порядок действий

Составьте карту сбора данных Пройдитесь по всем страницам сайта и выпишите: где есть формы, какие плагины рассылок установлены, какая аналитика подключена, есть ли рекламные пиксели. Это основа для Политики и для понимания объёма работ.
Проверьте хостинг Убедитесь, что сервер сайта и база данных MySQL находятся в России. Если хостинг зарубежный — перенесите сайт (Beget, Timeweb, REG.RU, Selectel). Стандартная миграция WP занимает несколько часов.
Замените Google Analytics на Яндекс.Метрику Создайте счётчик в Яндекс.Метрике, установите через официальный плагин или код в header.php. Вебвизор включайте осознанно: если форм с персональными данными много, лучше выключить. Удалите GA4 и GTM-теги с Google Analytics.
Добавьте чекбоксы согласия во все формы В Contact Form 7 — тег [acceptance], обязательный. В WPForms — поле Checkbox, сделать обязательным в настройках. Текст рядом с чекбоксом: «Я даю согласие на обработку персональных данных» со ссылкой на Политику. Чекбокс не предзаполнен.
Добавьте отдельный чекбокс на рассылку Если после заявки вы отправляете рассылки — добавьте второй отдельный чекбокс: «Согласен получать рекламные сообщения». Он должен быть отдельным от чекбокса на обработку ПДн и тоже непредзаполненным (требование ФЗ-156, с 01.09.2025).
Установите cookie-плагин и настройте блокировку до согласия Используйте Complianz, CookieYes или аналог. Главное — в настройках убедитесь, что скрипт Яндекс.Метрики не загружается до нажатия «Принять». Проверьте в DevTools во вкладке Network: до согласия запросов к mc.yandex.ru быть не должно.
Подготовьте Политику обработки ПДн Отдельная страница с полным перечнем: какие данные, из каких форм, для каких целей, кто имеет доступ, сколько хранятся, как субъект может потребовать удаления. Укажите используемые внешние сервисы (Яндекс как обработчик Метрики). Опубликуйте и добавьте ссылку в футер.
Подайте уведомление в Роскомнадзор Через pd.rkn.gov.ru → «Подать уведомление» → вход через Госуслуги (отдельная ЭЦП не нужна). Укажите все цели обработки, категории данных, категории субъектов, место хранения (сервер в РФ). Проверьте заранее, нет ли вас уже в реестре. Уведомление подаётся до начала обработки.

Коротко о главном

Любой WordPress-сайт с формами, аналитикой или рассылками — оператор ПДн. Обязанности оператора возникают автоматически, не зависят от размера бизнеса.
Хостинг в РФ обязателен с 01.07.2025 (ФЗ-23): ПДн граждан РФ при первичном сборе должны попадать в российские базы. Яндекс.Метрика вместо Google Analytics закрывает риск по локализации.
С 01.09.2025 (ФЗ-156) нельзя объединять согласие на обработку ПДн и согласие на рекламную рассылку в одну галочку — нужны отдельные непредзаполненные чекбоксы.
Готовые cookie-плагины решают только техническую блокировку скриптов до согласия. Юридическое содержание Политики и документов они не заменяют.
Штраф за обработку без надлежащего согласия по ч. 2 ст. 13.11 КоАП — 300–700 тыс. руб. для юрлиц. При повторном нарушении (ч. 2.1) — до 1,5 млн.
Уведомление в РКН подаётся до начала обработки данных; через Госуслуги — без отдельной ЭЦП. Штраф за неподачу — до 300 тыс. для юрлиц.

Частые вопросы

Нужна ли политика конфиденциальности для WordPress-сайта-визитки без форм?

Если совсем нет форм, аналитики с идентификаторами и сторонних счётчиков — оснований для обязательной Политики формально меньше. Но почти любой WP-сайт устанавливает хотя бы Яндекс.Метрику или включает комментарии — и сразу становится оператором. Политика в любом случае не лишняя.

Contact Form 7 соответствует 152-ФЗ?

Сам плагин ни нарушает, ни соответствует — он инструмент. Соответствие обеспечивается настройкой: добавить обязательный непредзаполненный чекбокс через тег [acceptance], текст согласия со ссылкой на Политику, и хранить данные только на российском сервере.

Можно ли использовать шаблон политики конфиденциальности из интернета для WordPress?

Как основу — можно. Как готовый документ — нельзя. Шаблон не знает, какие данные собирает именно ваш сайт, какие плагины установлены, куда уходят данные. Политика должна отражать реальную практику конкретного сайта: иначе при проверке она создаёт дополнительные риски, а не защиту.

Нужен ли cookie-баннер на WordPress-сайте по российскому законодательству?

Прямой нормы «установите баннер» в 152-ФЗ нет. Но если сайт использует аналитические или маркетинговые cookie (Метрика, рекламные пиксели), их сбор требует согласия субъекта. Cookie-баннер с реальным выбором — стандартный способ это согласие получить до загрузки необязательных скриптов.

Как подать уведомление в Роскомнадзор для WordPress-сайта?

Через портал pd.rkn.gov.ru. Удобнее всего — через Госуслуги с подтверждённой учётной записью: отдельная квалифицированная ЭЦП не нужна. Перед подачей проверьте, не зарегистрированы ли вы уже в реестре операторов, чтобы не подавать повторно.

Что будет, если сайт уже работает с нарушениями? Нужно ли всё переделывать срочно?

При выявлении нарушения РКН на практике обычно сначала присылает требование об устранении. Срочность зависит от нарушения: отсутствие Политики и чекбоксов — базовые вещи, которые закрываются быстро. Нарушение локализации (хостинг за рубежом) требует переноса сайта, но это стандартная операция на несколько часов. Ждать не стоит: требование может прийти в любой момент.

Материал носит информационный характер, актуален на 2026 год и не заменяет юридическую консультацию по вашему конкретному случаю.