Федеральный закон № 152-ФЗ «О персональных данных»: что должен знать владелец любого сайта
Содержание
- Почему 2025 год стал переломным
- Необходимые действия для владельцев Интернет-ресурсов
- Что должно быть на сайте
- Что считать персональными данными
-
Локализация и трансграничная передача данных
- Пример: чем рискует сайт, использующий Google Analytics
С 30 мая 2025 года вступили в силу поправки к Федеральному закону № 152-ФЗ «О персональных данных» и связанные с ними изменения в КоАП РФ. Теперь ответственность за нарушение правил обработки персональных данных возросла в разы, а сроки реагирования на инциденты сократились до суток.
Важно понимать: закон распространяется на все сайты — не только на интернет-магазины или порталы с регистрацией пользователей.
Даже если на ресурсе есть только форма обратной связи, запись на услугу или установлены счётчики аналитики (Яндекс.Метрика, Google Analytics, VK Pixel и др.), — сайт уже становится оператором персональных данных.
Это значит, что владелец сайта должен соблюдать все требования закона: получать согласие пользователя, опубликовать политику обработки данных, хранить информацию в РФ и уведомлять Роскомнадзор об инцидентах.
Почему 2025 год стал переломным
Поправки Федерального закона от 30 ноября 2024 г. № 420-ФЗ радикально усилили режим ответственности и ввели новые обязанности для всех операторов персональных данных.
С 30 мая 2025 года:
- вступили в силу новые размеры штрафов по статье 13.11 КоАП РФ;
- отменена скидка 50 % за добровольную уплату;
- введена обязанность сообщать об утечке персональных данных в Роскомнадзор в течение 24 часов;
- ужесточены правила трансграничной передачи — теперь для неё требуется разрешение РКН;
- также, с 1 июля 2025 года введено жёсткое требование о локализации данных — вся информация о гражданах РФ должна первично собираться и храниться на российских серверах.
Эти правила касаются всех: от медицинских порталов и банков до сайтов-визиток, страниц фрилансеров и малого бизнеса.
Необходимые действия для владельцев Интернет-ресурсов
- Подать уведомление в Роскомнадзор. Любой оператор ПД обязан зарегистрироваться в реестре, если не подпадает под узкие исключения (ст. 22 ФЗ-152).
- Опубликовать Политику обработки персональных данных. Документ должен быть в открытом доступе. Место размещения законом не ограничено, но Роскомнадзор рекомендует размещать ссылку в подвале сайта — так она доступна на всех страницах.
- Установить cookie-баннер с активным согласием. При первом визите пользователь должен дать (или не дать) согласие на использование cookies-файлов и пикселей аналитики. «Молчаливое согласие» и предустановленные галочки запрещены.
- Разделить категории cookies. Отдельно технические, аналитические и рекламные. Пользователь должен иметь возможность выбрать, какие данные разрешить.
- Добавить чек-бокс в формах. Под каждой формой связи — чекбокс «Согласен на обработку персональных данных» и ссылка на Политику.
- Отдельный чек-бокс для e-mail-рассылок. Если данные используются для рассылок, согласие должно быть отдельным: «Согласен получать новости и предложения».
- Локализовать персональные данные. Первичное размещение персональных данных должно происходить в России.
- Сообщать об утечках. При инциденте уведомить РКН в течение 24 часов и провести расследование за 72 часа.
Что должно быть на сайте
| Элемент сайта | Требование | Зачем это нужно |
|---|---|---|
| Политика обработки персональных данных |
В открытом доступе; содержит цели обработки, категории данных, права пользователя, контакты оператора. Ссылка на документ — обычно в подвале каждой страницы. |
Обеспечивает прозрачность и доказывает законность обработки. |
| Согласие пользователя | Активное действие — чекбокс или кнопка. Недопустимо предустановленное согласие. | Без согласия обработка считается незаконной. |
| Cookie-баннер с разделенными куки | Отображается при первом визите; содержит выбор категорий cookie и возможность отказа ото всех, кроме обязательных. | Гарантирует законное использование аналитики и рекламы. |
| Формы обратной связи / записи / заказа | Под каждой формой — чекбокс согласия и ссылка на Политику. | Подтверждает, что пользователь осознанно передаёт свои данные. |
| Дополнительное согласие на рассылку | Отдельный чекбокс для e-mail-маркетинга. | Закон требует раздельного согласия на разные цели обработки. |
| Безопасное хранение данных | HTTPS, ограниченный доступ, резервное копирование, защита от утечек. | Обязательная мера по ст. 19 ФЗ-152. |
| Локализация персональных данных | Данные граждан РФ хранятся на территории РФ. | С 1 июля 2025 года это обязательное требование. |
Что считать персональными данными
Персональные данные — это любая информация, относящаяся к прямо или косвенно определяемому человеку. Главный критерий: по этим сведениям (самостоятельно или в совокупности) можно установить личность субъекта.
К персональным данным относятся:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес проживания;
- паспортные, налоговые и страховые номера;
- сведения о семейном и имущественном положении, образовании, профессии и доходах;
- контактная информация, если она используется для связи с конкретным человеком (телефон, e-mail, мессенджер, аккаунт соцсети);
- IP-адрес, cookie-идентификаторы, устройство, история посещений сайта, если позволяют различать пользователя;
- любая дополнительная информация, которая в совокупности делает человека узнаваемым.
При этом судебная практика нередко указывает: сам по себе номер телефона или e-mail, не привязанный к личности, не считается персональными данными. Однако в сочетании с другими идентификаторами (ФИО, адрес, заявка на услугу) телефон и e-mail становятся персональными данными, поскольку позволяют определить конкретное лицо.
Роскомнадзор подтверждает, что контактные данные, оставленные пользователем на сайте, относятся к персональным, если позволяют установить личность человека или используются для связи с ним.
«К персональным данным относятся любые сведения, относящиеся к определённому или определяемому физическому лицу. Если пользователь вводит свои контактные данные (телефон, адрес электронной почты и т.п.) в форму на сайте, оператор обрабатывает персональные данные и обязан соблюдать требования Федерального закона № 152-ФЗ».
Источник: Письмо Роскомнадзора от 26.01.2018 № 08-53-202 и публичные семинары ведомства для операторов персональных данных (https://mediapravo.com/privacy/rkn-personal-data.html — выступление представителей РКН).
Локализация и трансграничная передача данных
Кроме того, 1 июля 2025 года вступила в силу новая редакция части 5 статьи 18 закона № 152-ФЗ:
«Первичное размещение персональных данных граждан Российской Федерации должно осуществляться на территории Российской Федерации.»
Это означает, что:
- данные пользователей нужно собирать и сохранять сначала в РФ, а уже потом (при необходимости) передавать за рубеж — только с разрешения Роскомнадзора;
- использование зарубежных сервисов (например, Google Analytics, рекламных пикселей зарубежных сервисов и т.д.) без локального хранилища — нарушение закона;
- российские аналоги (Яндекс.Метрика, VK Pixel, Roistat, Calltouch, Bitrix24) соответствуют требованиям, так как их сервера находятся в РФ;
- для международных компаний и сайтов, работающих за рубежом, предусмотрена процедура уведомления РКН и доказательства «достаточного уровня защиты» принимающей стороны.
Пример: чем рискует сайт, использующий Google Analytics
| Показатель | До 1 июля 2025 | После 1 июля 2025 |
|---|---|---|
| Можно ли использовать Google Analytics | Да, при уведомлении РКН и указании в Политике трансграничной передачи | Нельзя. Любая передача данных за рубеж без разрешения РКН — нарушение 152-ФЗ |
| Возможный штраф | 10 000 – 50 000 ₽ | От 1 до 6 млн ₽, при повторе — до 18 млн ₽ |
| Как исправить | Подать уведомление о трансграничной передаче | Перейти на российскую аналитику или локализованный сервис |
Внутренние документы и журналы по персональным данным
Даже если сайт небольшой, а оператор — индивидуальный предприниматель, закон требует вести внутреннюю документацию, подтверждающую соблюдение правил обработки ПД.
Минимум, что нужно иметь:
- Политику в отношении обработки ПД (публичная версия — на сайте);
- Положение об обработке персональных данных — внутренний документ с описанием процессов;
- Журнал регистрации запросов субъектов ПД — фиксируются обращения пользователей (например, просьба удалить данные);
- Журнал инцидентов — если произошёл сбой, утечка или нарушение доступа;
- Журнал учёта носителей ПД — если данные хранятся офлайн (редко нужно сайтам, но указывается при проверке).
Такие журналы можно вести в электронном виде — в таблице или внутренней CRM. Роскомнадзор при проверке часто запрашивает эти документы, даже у малых компаний, чтобы убедиться, что оператор контролирует цикл обработки данных.
Штрафы и ответственность по 152-ФЗ с 2025 года
| Нарушение | Статья КоАП РФ | Кто отвечает | Размер штрафа | Комментарий |
|---|---|---|---|---|
| Обработка персональных данных без согласия субъекта или на незаконных основаниях | ч. 1 ст. 13.11 | Должностные лица / юрлица | 30 000 – 300 000 ₽ / 100 000 – 500 000 ₽ | Любое использование данных без активного согласия пользователя, включая формы без чекбокса |
| Несоблюдение обязанностей оператора при сборе, хранении и обработке ПД (неполная политика, нет защиты, нет доступа субъекта к своим данным) | ч. 2 ст. 13.11 | Должностные лица / юрлица | 50 000 – 200 000 ₽ / 100 000 – 700 000 ₽ | Проверки РКН часто выявляют отсутствие политики или неверные реквизиты оператора |
| Неуведомление Роскомнадзора о начале обработки ПД или несвоевременное уведомление | ч. 3 ст. 13.11 | Должностные лица / юрлица | 30 000 – 50 000 ₽ / 100 000 – 300 000 ₽ | Требование подать уведомление в реестр операторов до начала обработки |
| Непредоставление пользователю информации о его персональных данных по запросу | ч. 4 ст. 13.11 | Должностные лица / юрлица | 20 000 – 50 000 ₽ / 60 000 – 200 000 ₽ | Если пользователь попросил выдать или удалить свои данные, а оператор проигнорировал |
| Нарушение порядка хранения и использования ПД (утрата, несанкционированный доступ, нет защиты) | ч. 5 ст. 13.11 | Должностные лица / юрлица | 50 000 – 100 000 ₽ / 100 000 – 300 000 ₽ | В том числе — отсутствие HTTPS, открытый доступ к CRM, пароли «12345» |
| Нарушение сроков уничтожения или обезличивания персональных данных | ч. 6 ст. 13.11 | Должностные лица / юрлица | 50 000 – 100 000 ₽ / 100 000 – 300 000 ₽ | Например, после отписки пользователя его e-mail остался в рассылке |
| Нарушение требований о локализации персональных данных (хранение за пределами РФ) | ч. 8 ст. 13.11 | Должностные лица / юрлица | 200 000 – 500 000 ₽ / 1 000 000 – 6 000 000 ₽ | Любое использование зарубежных сервисов без локального хранилища |
| Повторное нарушение требований локализации | ч. 9 ст. 13.11 | Юридические лица | 6 000 000 – 18 000 000 ₽ | Для систематических нарушителей (Google, Booking и др.) |
| Нарушение правил трансграничной передачи ПД | ч. 10 ст. 13.11 | Юридические лица | 1 000 000 – 6 000 000 ₽ | Например, пересылка данных на зарубежные серверы без разрешения РКН |
| Повторное нарушение трансграничной передачи | ч. 10.1 ст. 13.11 | Юридические лица | 6 000 000 – 18 000 000 ₽ | Повторное использование зарубежных сервисов без легализации |
| Неуведомление об утечке персональных данных в срок 24 часа | ч. 11 ст. 13.11 | Должностные лица / юрлица | 300 000 – 800 000 ₽ / 1 500 000 – 3 000 000 ₽ | С 2025 года действует новый состав: уведомить РКН о факте утечки нужно в течение суток |
Что делать при утечке ПД
С 30 мая 2025 года в Федеральный закон № 152-ФЗ внесены новые требования к порядку реагирования на инциденты, связанные с утечкой персональных данных.
Теперь оператор обязан сообщить в Роскомнадзор о факте утечки в течение 24 часов и провести внутреннее расследование в срок до 72 часов. Невыполнение этих требований квалифицируется как административное правонарушение по ч. 11 ст. 13.11 КоАП РФ.
Пошаговый алгоритм при инциденте
| Шаг | Что нужно сделать | Срок | Примечание |
|---|---|---|---|
| 1. Зафиксировать факт инцидента | Определить, что именно произошло: утечка, несанкционированный доступ, ошибка сотрудника, вирус и т. д. | Немедленно | Желательно оформить акт (служебную записку) и зафиксировать дату и время обнаружения |
| 2. Ограничить распространение | Отключить скомпрометированные учетные записи, закрыть уязвимость, остановить рассылку данных | В течение первых часов | При необходимости — временно приостановить обработку персональных данных |
| 3. Уведомить Роскомнадзор | Отправить уведомление о факте утечки через личный кабинет оператора или по форме на сайте РКН | в течение 24 часов | В уведомлении указываются: дата и время инцидента, тип данных, объем, предположительная причина и меры реагирования |
| 4. Провести внутреннее расследование | Установить источник утечки, объём данных, круг затронутых лиц, возможные последствия | до 72 часов | По результатам составляется отчёт, который также направляется в РКН |
| 5. Уведомить пострадавших пользователей | Если установлено, что утечка могла повлиять на конкретных людей | После 72 часов, при подтверждении факта | Способ уведомления — email, звонок, сообщение в личном кабинете, публикация на сайте |
| 6. Принять меры по предотвращению повторений | Обновить пароли, ограничить доступ, пересмотреть права пользователей, обновить ПО, провести обучение сотрудников | После завершения расследования | Итоговые действия фиксируются в журнале инцидентов и отчёте для РКН |
Роскомнадзор не штрафует за сам факт утечки, если оператор выполнил все действия вовремя и документально подтвердил, что предпринял меры.
Ответственность наступает именно за несвоевременное уведомление или скрытие инцидента.
Если оператор уведомил РКН с опозданием, но до проверки, штраф может быть снижен, но не отменён.
При повторных утечках без мер реагирования РКН вправе временно ограничить обработку персональных данных (блокировка ресурса или предписание о приостановке деятельности).
Реальные случаи применения мер и предупреждений
Случай 1: Предприниматель из Тюмени.
Источник: Habr.com, октябрь 2025 г.
Описание: Роскомнадзор провёл проверку сайта студии растяжки из Тюмени по собственной инициативе (без жалоб). На сайте была форма заявок для записи клиентов, через которую собирались телефоны, имена, email клиентов.
Выявленные нарушения:
- отсутствие уведомления в Роскомнадзор о начале обработки персональных данных;
- отсутствие политики обработки персональных данных на сайте;
- отсутствие cookie-баннера и согласия на обработку данных;
- использование аналитических инструментов без надлежащего уведомления.
Меры: Роскомнадзор выдал предписание об устранении нарушений в установленный срок. В случае неисполнения предписания грозили штрафы до 300 000 рублей.
Случай 2: Российский банк.
Источник: 42clouds.com, сентябрь 2025 г.
Описание: крупный российский банк был оштрафован Роскомнадзором за несоблюдение правил при обработке персональных данных (передача данных через мессенджер).
Выявленные нарушения:
- неправильное общение сотрудников с клиентами при работе с персональными данными;
- нарушение процедур доступа к персональным данным.
Наказание: Штраф 200 000 рублей
Случай 3: Множественные проверки Роскомнадзором осенью 2025.
Различные источники: Habr, Klerk, Consultant, LegalActs.
Описание: с октября 2025 года Роскомнадзор начал массовые проверки сайтов и запрос пакетов документов у компаний. Выявлено, что:
- 85% из 219 судебных дел (изученных за 2022–2025 гг.) возбуждены в отношении юридических лиц;
- 21 дело — против ИП;
- затронуты компании из всех отраслей: банков, страхования, ИТ, телекома, образования, медицины, розницы, ЖКХ, строительства, медиа, транспорта.
Типичные нарушения при проверках:
- отсутствие регистрации в реестре операторов ПД у Роскомнадзора;
- использование Google Analytics вместо российских аналогов (после 1 июля 2025 г.);
- неправильное оформление согласия на обработку cookies (предустановленные чекбоксы вместо активного согласия);
- отсутствие политики конфиденциальности на мобильной версии сайта;
- сбор cookies без явного согласия пользователя.
Меры: от выдачи предписаний до штрафов от 100 000 до 300 000 рублей на первого нарушителя.
По состоянию на октябрь 2025 года Роскомнадзор зафиксировал 103 утечки персональных данных с начала года, в результате которых скомпрометировано 50 млн записей о россиянах. Глава Роскомнадзора отметил прямой эффект новых штрафов: с января по май 2025 года система выявила 6,5 тысяч нарушений в порядке сбора данных, а за следующие 5 месяцев (после вступления в силу новых санкций) — только 3,5 тысяч.
64% российских компаний усилили защиту данных из-за риска оборотных штрафов, согласно исследованиям центра мониторинга, на ноябрь 2025 года. Это свидетельствует о том, что превентивное воздействие новых норм работает.
Практические выводы
-
Игнорировать рискованно. Даже если у вас на сайте просто установлена Яндекс.Метрика, вы уже оператор ПД и обязаны подать уведомление в Роскомнадзор.
-
Сроки истекают. После 30 мая 2025 года штрафы кратно выросли, поэтому компании спешат регистрироваться. Ожидается ещё больше проверок в последующие месяцы.
-
Предписания перед штрафами. На практике Роскомнадзор сначала выдаёт предписание об устранении нарушений. Пока еще штраф следует только при неисполнении предписания.
-
Судебная практика активно формируется. По состоянию на октябрь 2025 года рассмотрено более 219 дел (за последние 3 года), поэтому судьи уже знают, как рассматривать подобные дела.
Для образовательных, юридических, медицинских организаций — особенно критично. Кроме того, для медицины действует новый приказ Минздрава. Читайте нашу статью: Что должно быть на сайте медицинской клиники по приказу Минздрава № 118н от 2025 года.
