Главная » Интернет-право и цифровое законодательство

Как привести сайт в соответствие 152‑ФЗ: подробная инструкция для владельцев бизнеса

Как привести сайт в соответствие 152‑ФЗ Интернет-право и цифровое законодательство
Автор На чтение 24 мин Просмотров 1.2к. Комментарии 0 Опубликовано Обновлено
Прочитав эту статью, вы получите пошаговую инструкцию, как привести сайт в соответствие 152-ФЗ: от инвентаризации данных и документов до уведомления Роскомнадзора и технических настроек форм, куки и аналитики. Всё с примерами, чек-листом и ответами на часто задаваемые вопросы, чтобы минимизировать риск проверок и штрафов в 2025–2026 годах.
Содержание
  1. Когда сайт обязан соблюдать 152-ФЗ и уведомлять Роскомнадзор
  2. Какие документы по персональным данным должны быть на сайте
  3. Основные документы
  4. Какие внутренние документы нужны помимо сайта
  5. Минимальный набор внутренних документов
  6. Пример содержания приказа о назначении ответственного
  7. Как заполнить уведомление в Роскомнадзор шаг за шагом
  8. Что нужно подготовить перед заполнением
  9. Пошаговая инструкция заполнения
  10. Важные нюансы
  11. Проверяем формы и чекбоксы: где нужно согласие
  12. Что проверить и донастроить
  13. Примеры правильных формулировок для чекбокса
  14. Куки, аналитика, пиксели: что донастроить технически
  15. Пошаговая настройка
  16. Пример cookie-баннера
  17. 168-ФЗ: русский язык на сайте — ещё одно обязательное требование с 2026 года
  18. Закон о защите прав потребителей: новые обязанности для сайтов с 2025-2026 года
  19. Статья 3.1 ЗОЗПП (введена 07.04.2025 N 69-ФЗ): цифровые договоры с потребителями
  20. Статья 16.1 ЗОЗПП (обновлена 15.10.2025 N 376-ФЗ): онлайн-расчёты
  21. Статья 23.1 ЗОЗПП (обновлена 28.12.2025 N 500-ФЗ): задержка передачи товара
  22. Самостоятельный аудит сайта: чек-лист из 27 пунктов
  23. Сколько времени и денег нужно на приведение в соответствие
  24. Сценарий 1: простой лендинг с 1-2 формами
  25. Сценарий 2: интернет-магазин или b2b-сервис
  26. Сценарий 3: крупный проект с интеграциями
  27. Что выгоднее: делать самому или делегировать?
  28. Типичные ошибки при приведении в соответствие и как их избежать
  29. Что делать, если пришла проверка от Роскомнадзора
  30. Пошаговый план действий
  31. Что не стоит делать при проверке
  32. Поддержание соответствия: что делать регулярно
  33. Ежемесячно
  34. Ежеквартально
  35. Раз в полгода
  36. При каждом изменении сайта
  37. Как действовать при утечке данных
  38. Другие законы, которые касаются вашего сайта
  39. 38-ФЗ «О рекламе» — маркировка интернет-рекламы
  40. 54-ФЗ «О применении ККТ» — онлайн-кассы
  41. Заключение

Когда сайт обязан соблюдать 152-ФЗ и уведомлять Роскомнадзор

Соответствовать 152-ФЗ обязан любой сайт, который собирает, хранит или использует персональные данные посетителей. Это касается одностраничных сайтов (лэндингов) с формой заявки, блогов с комментариями, интернет-магазинов, сервисов с регистрацией.

Обязанность возникает, как только сайт становится оператором персональных данных — то есть начинает определять цели и способы их обработки.

Уведомление в Роскомнадзор обязательно для большинства коммерческих сайтов, кроме случаев, когда:

    • данные используются только для исполнения договора с пользователем и не передаются третьим лицам;
    • сбор ведётся для разового контакта без хранения;
    • сайт некоммерческий и данные не используются в целях бизнеса;
  • обрабатывается только ФИО без других персональных данных.

На практике 90% сайтов с формами, аналитикой или рассылками подпадают под уведомление. Отсутствие уведомления — одно из самых частых оснований для штрафов: от 100 000 до 300 000 рублей для юридических лиц и ИП, от 30 000 до 50 000 рублей для должностных лиц (ч. 10 ст. 13.11 КоАП).

Какие документы по персональным данным должны быть на сайте

На сайте обязательно должны быть публичные документы, доступные с любой страницы. Их отсутствие или некорректность — прямой повод для претензий.

Основные документы

  • Политика обработки персональных данных / политика конфиденциальности — основной документ. Должен содержать: оператора и контакты, категории данных, цели обработки, основания (согласие, договор), сроки хранения, права пользователей, меры защиты, сведения о трансграничной передаче и третьих лицах;
  • Текст согласия на обработку персональных данных — отдельная страница или блок, на который ссылается чекбокс в формах. Указать конкретные данные, цели, действия, срок действия согласия и порядок отзыва;
  • Политика использования cookie — может быть отдельно или в составе политики ПДн. Описать типы куки (технические, аналитические, рекламные), цели, сроки хранения, способы управления;
  • Пользовательское соглашение (опционально, но рекомендуется) — правила использования сайта, ограничения ответственности, условия сервиса.

Все документы размещаются по постоянным URL, с ссылками в подвале сайта, футере, меню или попапе при первом визите. Ссылки должны быть видимыми и кликабельными.

Какие внутренние документы нужны помимо сайта

Помимо публичных документов на сайте, оператор обязан иметь внутренние локальные акты. Их отсутствие или формальность часто вскрывается при проверках или инцидентах.

Минимальный набор внутренних документов

Документ Для чего нужен Что должно быть Обязательность
Положение об обработке персональных данных Внутренний регламент всех процессов с ПДн Категории данных, процессы, ответственные, меры защиты, порядок уничтожения Обязательно
Приказ о назначении ответственного Определение ответственного лица ФИО, должность, контакты, обязанности Обязательно
Порядок обработки обращений субъектов Регламент работы с запросами пользователей Каналы приёма, сроки (30 дней), форма ответа, идентификация Обязательно
Регламент обеспечения безопасности ПДн Описание мер защиты Модель угроз, организационные и технические меры, реагирование на инциденты Обязательно
Журнал учёта инцидентов Фиксация нарушений и утечек Дата, описание инцидента, принятые меры, уведомление РКН Обязательно
Журнал учёта обращений субъектов Учёт запросов от пользователей Дата, ФИО, тип запроса, срок ответа, результат Желательно
Договоры поручения с третьими лицами Регламентация передачи данных Хостинг, CRM, рассылки — описание данных, обязательства, ответственность Обязательно
Инструкция для сотрудников Обучение работе с ПДн Правила доступа, запреты, действия при утечке Желательно

Эти документы хранятся внутри компании, но их наличие и актуальность проверяется при плановых или внеплановых ревизиях РКН.

Пример содержания приказа о назначении ответственного

ПРИКАЗ № ____ от [дата]

О назначении ответственного за организацию обработки персональных данных

В целях соблюдения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

ПРИКАЗЫВАЮ:

  1. Назначить ответственным за организацию обработки персональных данных в [наименование организации] [ФИО, должность];
  2. Возложить на ответственного следующие обязанности:
    • организация работы по обработке и защите персональных данных;
    • контроль соблюдения требований законодательства о персональных данных;
    • ведение учёта обращений субъектов персональных данных;
    • взаимодействие с Роскомнадзором;
    • организация обучения сотрудников;
    • реагирование на инциденты и утечки данных.
  3. Контроль исполнения приказа оставляю за собой.

Директор: [подпись] [ФИО]

С приказом ознакомлен: [подпись] [ФИО] [дата]

Как заполнить уведомление в Роскомнадзор шаг за шагом

Уведомление об обработке персональных данных

Уведомление об обработке персональных данных подаётся через электронные формы на портале Роскомнадзора. Это бесплатно и занимает 15-30 минут при наличии подготовленных данных.

Что нужно подготовить перед заполнением

  • Реквизиты организации (ИНН, ОГРН, адрес, контакты);
  • Список всех форм на сайте и собираемых данных;
  • Перечень целей обработки для каждого типа данных;
  • Список третьих лиц, которым передаются данные (хостинг, CRM, аналитика, рассылки);
  • Информацию о трансграничной передаче (если есть);
  • Описание мер защиты персональных данных;
  • Способ подачи: через Госуслуги (учётная запись руководителя), бумажный (для отправки в территориальный орган РКН) или с УКЭП. УКЭП нужна только при третьем способе — оформляется в УЦ ФНС, Сбербанк, Такском (1 500 — 5 000 руб./год).

Пошаговая инструкция заполнения

  1. Войдите на портал pd.rkn.gov.ru через ЕСИА (Госуслуги) с учётной записью руководителя организации или через усиленную подпись;
  2. Выберите «Подать уведомление» и укажите тип: первичное уведомление или изменение существующего;
  3. Заполните общие сведения об операторе:
    • Полное наименование организации или ФИО индивидуального предпринимателя;
    • ИНН, ОГРН/ОГРНИП;
    • Юридический адрес и фактический адрес обработки данных;
    • Контактный телефон и email;
    • ФИО и контакты ответственного за обработку персональных данных.
  4. Укажите цели обработки персональных данных:
    • Выберите из справочника или опишите свои: обработка заявок, исполнение договоров, маркетинговые рассылки, аналитика посещаемости, персонализация контента;
    • Цели должны быть конкретными, без общих фраз типа «для ведения бизнеса».
  5. Опишите категории субъектов персональных данных:
    • Посетители сайта;
    • Клиенты / заказчики;
    • Подписчики рассылок;
    • Участники мероприятий / вебинаров;
    • Кандидаты на вакансии (если есть форма резюме).
  6. Перечислите категории персональных данных:
    • Контактные: ФИО, телефон, email, город;
    • Технические: IP-адрес, User-Agent, cookie-файлы, идентификаторы устройств;
    • Поведенческие: посещённые страницы, действия на сайте;
    • Специфические для вашего бизнеса: адрес доставки, история заказов, реквизиты и т.п.
  7. Укажите действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокировка, удаление, уничтожение;
  8. Укажите правовые основания обработки:
    • Согласие субъекта (ст. 9 152-ФЗ) — для маркетинговых рассылок, аналитики;
    • Исполнение договора (ст. 6 152-ФЗ) — для обработки заказов;
    • Исполнение законодательных обязанностей — для бухгалтерии, налогового учёта.
  9. Опишите меры по обеспечению безопасности персональных данных:
    • Организационные: назначение ответственного, разграничение доступа, обучение персонала, договоры о неразглашении;
    • Технические: шифрование (SSL/TLS), антивирусная защита, резервное копирование, межсетевые экраны, системы обнаружения вторжений;
    • Укажите уровень защищённости согласно Приказу ФСТЭК № 21 (для большинства сайтов — 4 уровень — УЗ-4).
  10. Укажите сведения о трансграничной передаче персональных данных:
    • Если используете только российские сервисы (Яндекс.Метрика, amoCRM, UniSender) — укажите «Трансграничная передача отсутствует»;
    • Если используете Google Analytics, зарубежные CRM, Mailchimp — укажите страны (США, ЕС), получателей, основания передачи (согласие субъекта);
    • Подтвердите, что первичный сбор и хранение данных граждан РФ осуществляется на территории России.
  11. Укажите сведения о поручении обработки третьим лицам:
    • Хостинг-провайдер (например: ООО «Таймвэб», ИНН __________, договор № ____ от ______);
    • CRM-система (например: ООО «АмоЦРМ», ИНН __________, договор поручения);
    • Сервис email-рассылок (например: ООО «Юнисендер», ИНН __________);
    • Система веб-аналитики (например: ООО «Яндекс», ИНН __________);
    • Для каждого укажите: наименование, ИНН, вид деятельности, наличие договора.
  12. Проверьте заполненные данные — они должны полностью соответствовать реальным процессам на сайте и внутренним документам;
  13. Отправьте уведомление удобным способом:
    • через Госуслуги — нажмите «Подать уведомление (перейти к сервису ЕСИА)» и подтвердите через учётную запись руководителя;
    • бумажный вариант — нажмите «Заполнить форму для печати», распечатайте, подпишите и направьте в территориальный орган РКН;
    • с УКЭП — нажмите «Подписать и отправить», подпишите УКЭП руководителя.
  14. Ожидайте регистрации — срок рассмотрения до 30 дней. После одобрения вы получите уведомление, и ваша организация будет внесена в реестр операторов персональных данных;
  15. Сохраните копию уведомления и подтверждение о регистрации — они потребуются при проверках.

Важные нюансы

Когда нужно обновлять уведомление (в течение 10 рабочих дней):

  • Изменились цели обработки данных;
  • Добавились новые категории данных или субъектов;
  • Изменился состав действий с данными;
  • Появилась трансграничная передача или изменились её условия;
  • Добавились новые третьи лица-обработчики;
  • Изменились реквизиты оператора (переезд, переименование).

Проверяем формы и чекбоксы: где нужно согласие

Все формы на сайте, где запрашиваются персональные данные, должны содержать механизм получения согласия (если оно является основанием обработки).

Что проверить и донастроить

  • Чекбокс согласия: отдельный, с текстом «Я даю согласие на обработку персональных данных» и ссылкой на политику или текст согласия. Галочка не должна быть предустановлена;
  • Запрет отправки без согласия: форма не должна уходить без установленной галочки (валидация на стороне клиента и сервера);
  • Логирование согласий: фиксировать дату и время отправки, IP-адрес пользователя, версию текста согласия на момент отправки, содержимое отправленных полей;
  • Разные формы — разные согласия: для заявки на консультацию, подписки на рассылку, отклика на вакансию — свои цели и объёмы данных;
  • Двойные чекбоксы: один для обработки данных в рамках заявки, второй (опциональный) — для маркетинговых рассылок;
  • Возможность отзыва: в политике и тексте согласия указать, как пользователь может отозвать согласие (email, форма).
  • Проверьте, работаете ли вы со специальными категориями ПД. Если на сайте есть поля о здоровье, национальности, религии, судимостях или используется биометрическая идентификация (face ID) — для этих данных нужно отдельное явное письменное согласие по ст. 10-11 152-ФЗ. Общий чекбокс недостаточен. Типичные сферы риска: медицина, HR, фитнес, психология, юридические сервисы.

Если данные нужны для исполнения договора (например, адрес доставки в интернет-магазине), согласие не обязательно по ст. 6 152-ФЗ, но информирование в политике всё равно требуется.

Примеры правильных формулировок для чекбокса

Для формы заявки:

☐ Я даю согласие на обработку моих персональных данных (ФИО, телефон, email) для обработки заявки и обратной связи в соответствии с Политикой конфиденциальности.

Для подписки на рассылку:

☐ Я даю согласие на обработку моих персональных данных (email, имя) для отправки информационных и маркетинговых рассылок в соответствии с Политикой конфиденциальности. Я могу отписаться в любой момент.

Для интернет-магазина:

☐ Я даю согласие на обработку моих персональных данных (ФИО, телефон, email, адрес доставки) для обработки и исполнения заказа в соответствии с Политикой конфиденциальности.

Куки, аналитика, пиксели: что донастроить технически

Аналитика, рекламные пиксели и виджеты — основной источник «скрытых» персональных данных. Их нужно интегрировать в общую систему соответствия.

Пошаговая настройка

  1. Инвентаризация cookies и скриптов: составьте список всех используемых сервисов:
    • Веб-аналитика: Яндекс.Метрика, Google Analytics (если используется);
    • Рекламные пиксели: VK, Telegram Ads, MyTarget;
    • Коллтрекинг: Calltouch, CoMagic, Roistat;
    • Онлайн-чаты: Jivosite, Carrot quest;
    • Виджеты социальных сетей: кнопки «Поделиться», комментарии;
    • Технические cookies: сессии, корзина, авторизация.
  2. Классифицируйте cookies по типам:
    • Технические (обязательные) — необходимы для работы сайта, загружаются без согласия;
    • Аналитические — для сбора статистики, требуют согласия или информирования;
    • Функциональные — для запоминания настроек пользователя, желательно согласие;
    • Рекламные — для таргетинга и ретаргетинга, требуют согласия.
  3. Опишите cookies в политике конфиденциальности: добавьте раздел с таблицей всех используемых cookies (название, назначение, срок хранения, тип);
  4. Настройте cookie-баннер: если используются не только технические куки, покажите при первом визите баннер с:
    • Кратким информированием о использовании cookies;
    • Ссылкой на политику cookies;
    • Кнопками «Принять все» / «Настроить» / «Отклонить необязательные»;
    • Запоминанием выбора пользователя.
  5. Реализуйте условную загрузку скриптов: аналитика и рекламные пиксели должны загружаться только после согласия пользователя:
    • Для Яндекс.Метрики: используйте отложенную инициализацию;
    • Для Google Analytics: настройте Consent Mode;
    • Для рекламных пикселей: загружайте через тег-менеджер с условием согласия.
  6. Настройте управление cookies: дайте пользователям возможность изменить свой выбор через настройки на сайте или ссылку в футере.

🍪 Мы используем cookies

Этот сайт использует файлы cookies для улучшения работы и повышения удобства использования. Подробнее о том, какие cookies мы используем и для чего, вы можете узнать в нашей Политике конфиденциальности.

168-ФЗ: русский язык на сайте — ещё одно обязательное требование с 2026 года

Приводя сайт в соответствие 152-ФЗ, важно учесть, что с 1 марта 2026 года вступил в силу ФЗ №168-ФЗ. Он добавил статью 10.1 в Закон о защите прав потребителей и обязал все B2C-сайты предоставлять информацию о товарах и услугах исключительно на русском языке.

Два закона пересекаются в одной точке — cookie-баннер и форма согласия на обработку персональных данных. По 152-ФЗ пользователь должен дать осознанное согласие, а по 168-ФЗ текст этого согласия обязан быть на русском. Если ваш баннер или форма написаны на английском — это нарушение обоих законов одновременно.

Что проверить дополнительно по 168-ФЗ:

  • кнопки интерфейса: «Купить», «В корзину», «Оформить заказ» — не Buy, Add to Cart, Checkout;
  • поля форм: «Имя», «Телефон», «Город» — не Name, Phone, City;
  • системные сообщения: «Заказ оформлен», «Ошибка», «Страница не найдена»;
  • описания товаров, условия доставки, FAQ, политика возврата;
  • Title, Description, Alt-теги изображений товаров.

Штраф за нарушение — до 500 000 рублей по ст. 14.8 КоАП, проверяет Роспотребнадзор. Закон распространяется на сайты, работающие с физическими лицами (B2C). B2B-сайты, работающие исключительно с юридическими лицами, под действие 168-ФЗ не подпадают.

Закон о защите прав потребителей: новые обязанности для сайтов с 2025-2026 года

Закон РФ №2300-1 «О защите прав потребителей» в 2025 году получил несколько важных изменений, напрямую касающихся сайтов и онлайн-сервисов.

Статья 3.1 ЗОЗПП (введена 07.04.2025 N 69-ФЗ): цифровые договоры с потребителями

Новая норма регулирует особые условия договоров, заключаемых с потребителями в цифровой среде. Её применение актуально для:

  • сайтов с онлайн-подпиской (SaaS, стриминг, сервисы по подписке);
  • платформ с автоматическим продлением оплаты (рекуррентные платежи);
  • сервисов онлайн-записи и бронирования.

По ст. 3.1 потребитель должен быть явно уведомлён об условиях автоматического продления, способе отказа и сроках. Скрытое включение автопродления в условия оферты — нарушение этой нормы.

Статья 16.1 ЗОЗПП (обновлена 15.10.2025 N 376-ФЗ): онлайн-расчёты

Уточнены требования к онлайн-оплате. Ключевое изменение: продавец обязан обеспечить возможность оплаты через Систему быстрых платежей (СБП) наравне с банковскими картами. Отказ от СБП при наличии других электронных способов оплаты может быть квалифицирован как ограничение прав потребителя.

Статья 23.1 ЗОЗПП (обновлена 28.12.2025 N 500-ФЗ): задержка передачи товара

Усилена ответственность продавца за нарушение сроков доставки при дистанционной торговле. Если интернет-магазин нарушает сроки доставки, указанные при оформлении заказа, потребитель вправе:

  • назначить новый срок доставки;
  • потребовать возврата оплаченной суммы в полном объёме;
  • взыскать неустойку 0,5% от суммы предоплаты за каждый день просрочки.

Убедитесь, что сроки доставки, указанные на сайте, соответствуют реальным возможностям логистики — и зафиксированы в оферте или карточке товара.

Важно для 2026 года: с 1 октября 2026 года вступают в силу изменения в ст. 13, 15 и 18 ЗОЗПП (31.07.2025 N 290-ФЗ), расширяющие ответственность продавца за ненадлежащее качество товаров при дистанционной торговле. Рекомендуем заблаговременно проверить шаблоны договоров купли-продажи и условия гарантийного обслуживания на сайте.

Самостоятельный аудит сайта: чек-лист из 27 пунктов

Используйте этот чек-лист для быстрого самоаудита. Пройдитесь по сайту и отметьте выполненные пункты.

Пункт проверки Выполнено Приоритет
1 Есть ли политика обработки персональных данных по постоянному URL? Высокий
2 Есть ли ссылка на политику в подвале / футере / меню? Высокий
3 Политика содержит оператора, контакты, категории данных, цели? Высокий
4 Указаны основания обработки (согласие, договор и т.д.)? Высокий
5 Описаны сроки хранения и порядок уничтожения данных? Средний
6 Указаны права субъектов и порядок их реализации? Высокий
7 Есть ли информация о трансграничной передаче и третьих лицах? Высокий
8 Есть ли отдельная политика cookies или раздел в политике ПДн? Средний
9 Во всех формах есть чекбокс согласия с ссылкой на политику? Высокий
10 Форма не отправляется без согласия (проверьте работу)? Высокий
11 Есть ли cookie-баннер или уведомление при первом визите? Средний
12 Юрлицо/ИП внесено в реестр операторов ПДн на pd.rkn.gov.ru? Высокий
13 Уведомление в РКН отражает актуальные процессы сайта? Высокий
14 Первичный сбор данных граждан РФ ведётся на серверах в РФ? Высокий
15 Назначен ответственный за обработку ПДн (есть приказ)? Высокий
16 Есть внутреннее положение по обработке ПДн? Средний
17 Есть порядок обработки обращений субъектов? Средний
18 Фиксируются ли инциденты и утечки (есть журнал)? Средний
19 Все внешние сервисы имеют договоры поручения на обработку данных? Высокий
20 При изменении сайта (новая форма, сервис) обновляются документы? Средний
21 На сайте установлен SSL-сертификат (HTTPS)? Высокий
22 Есть резервное копирование баз данных? Средний
23 Разграничен доступ к админке и базам данных? Средний
24 Настроено логирование согласий пользователей (дата, IP, версия)? Высокий
25 Политика конфиденциальности соответствует реальным процессам на сайте? Критичный
26 Все тексты интерфейса, форм и описаний на русском языке? (168-ФЗ, с 01.03.2026) Критичный
27 Весь публичный контент сайта промаркирован возрастной отметкой (0+, 6+, 12+, 16+, 18+)? (436-ФЗ, обновлён 29.12.2025 N 569-ФЗ) Высокий

Интерпретация результатов:

  • 20-27 пунктов — отлично, сайт в порядке, поддерживайте актуальность;
  • 15-19 пунктов — хорошо, но есть зоны риска, устраните пробелы;
  • 10-14 пунктов — средний риск, нужна доработка в ближайшие 1-2 недели;
  • Меньше 10 — высокий риск штрафов, требуется срочная доработка.

Сколько времени и денег нужно на приведение в соответствие

Время и бюджет зависят от сложности сайта и текущего состояния документов. Вот реалистичные сценарии.

Сценарий 1: простой лендинг с 1-2 формами

Задача Время (самостоятельно) Стоимость (если делегировать)
Написать политику конфиденциальности 2-3 часа 5 000 — 10 000 руб.
Добавить чекбокс в формы 1 час 3 000 — 5 000 руб.
Настроить cookie-баннер 1-2 часа 5 000 — 8 000 руб.
Подать уведомление в РКН 1 час 3 000 — 7 000 руб.
Внутренние документы (приказ, положение) 2-3 часа 5 000 — 10 000 руб.
Итого 7-10 часов 21 000 — 40 000 руб.

Сценарий 2: интернет-магазин или b2b-сервис

Задача Время (самостоятельно) Стоимость (если делегировать)
Полный аудит сайта и процессов 4-6 часов 15 000 — 25 000 руб.
Политика конфиденциальности + согласия 4-5 часов 15 000 — 25 000 руб.
Доработка форм (5-10 форм) 3-5 часов 10 000 — 20 000 руб.
Cookie-баннер + условная загрузка скриптов 4-6 часов 15 000 — 30 000 руб.
Проверка локализации + договоры с сервисами 2-3 часа 10 000 — 15 000 руб.
Уведомление в РКН 2 часа 5 000 — 10 000 руб.
Комплект внутренних документов 5-7 часов 15 000 — 30 000 руб.
Итого 24-34 часа (3-5 дней) 85 000 — 155 000 руб.

Сценарий 3: крупный проект с интеграциями

Маркетплейс, образовательная платформа, SaaS-сервис с личными кабинетами, API, множественными интеграциями:

  • Время: 5-10 рабочих дней;
  • Стоимость делегирования: 150 000 — 350 000 рублей;
  • Требуется участие юриста, специалиста по информационной безопасности, разработчиков.

Что выгоднее: делать самому или делегировать?

Делайте самостоятельно, если:

  • У вас простой сайт (лендинг, корпоративный сайт, небольшой блог);
  • Есть время на изучение вопроса (2-3 дня);
  • Бюджет ограничен (меньше 30 000 руб.);
  • Вы готовы разбираться в нюансах законодательства.

Делегируйте юристу/агентству, если:

  • Сложный проект (интернет-магазин, платформа, маркетплейс);
  • Нет времени на самостоятельное изучение;
  • Есть бюджет от 50 000 руб.;
  • Нужны гарантии правильности и защита при проверках;
  • Используется много интеграций и зарубежных сервисов.

Типичные ошибки при приведении в соответствие и как их избежать

Ошибка Последствия Как исправить
1 Скопировали шаблон политики без адаптации Несоответствие документа реальности, штраф 50 000 — 200 000 руб. (ч. 2 ст. 13.11 КоАП) Адаптируйте под свой сайт: укажите реальные формы, сервисы, данные
2 Забыли про cookies и аналитику в политике Скрытая обработка данных, штраф 50 000 — 200 000 руб. (ч. 2 ст. 13.11 КоАП) Опишите все используемые cookies, аналитику, пиксели
3 Подали уведомление, но не обновляют при изменениях Устаревшее уведомление, штраф 100 000 — 300 000 руб. (ч. 10 ст. 13.11 КоАП) Обновляйте в течение 10 дней при добавлении форм/сервисов
4 Чекбокс есть, но форма отправляется без галочки Формальное согласие, нет реального контроля Настройте валидацию: форма не отправляется без чекбокса
5 Не логируют факт получения согласия Нет доказательств при спорах с пользователями Настройте запись: дата, время, IP, версия текста
6 Используют Google Analytics, но не указали трансграничную передачу Скрытая передача в США, штраф 100-300 тыс. руб. Укажите в политике и уведомлении РКН страны и получателей
7 Хранят данные на зарубежном хостинге Нарушение локализации, штраф 1 000 000 — 6 000 000 руб. (ч. 6 ст. 13.11 КоАП) Перенесите базу данных на российский хостинг
8 Нет внутренних документов (приказ, положение) Формальное соблюдение, предписание при проверке Создайте минимальный набор внутренних документов
9 Политика конфиденциальности недоступна по ссылке (ошибка 404, страница удалена) Формальное наличие без доступа, штраф 50 000 — 200 000 руб. (ч. 2 ст. 13.11) Проверьте работу ссылок, сделайте заметными в футере
10 Нет договоров поручения с хостингом, CRM, рассылками Неоформленная передача данных третьим лицам Запросите у провайдеров договоры поручения или ДОД

Что делать, если пришла проверка от Роскомнадзора

Проверки РКН бывают плановые (по графику) и внеплановые (по жалобам пользователей). Если к вам пришло уведомление о проверке — не паникуйте, действуйте по алгоритму.

Пошаговый план действий

  1. Внимательно прочитайте требование — там указан предмет проверки, срок предоставления документов (обычно 10-30 дней), перечень запрашиваемых сведений;
  2. Проведите внутренний аудит:
    • Проверьте актуальность политики конфиденциальности;
    • Убедитесь, что все формы с чекбоксами работают корректно;
    • Проверьте наличие уведомления в реестре РКН;
    • Соберите все внутренние документы (приказы, положения, журналы);
    • Проверьте договоры поручения с третьими лицами.
  3. Если обнаружили нарушения — срочно исправляйте:
    • Обновите политику конфиденциальности с новой датой;
    • Доработайте формы и чекбоксы;
    • Подготовьте недостающие внутренние документы;
    • Обновите уведомление в РКН (если устарело).
  4. Подготовьте пакет документов для РКН:
    • Копия политики конфиденциальности (с указанием URL на сайте);
    • Скриншоты форм с чекбоксами;
    • Подтверждение регистрации в реестре операторов ПДн;
    • Приказ о назначении ответственного;
    • Положение об обработке персональных данных;
    • Договоры поручения с третьими лицами (хостинг, CRM);
    • Описание мер защиты персональных данных;
    • Журнал учёта обращений субъектов (если есть обращения).
  5. Направьте ответ в установленный срок через личный кабинет на портале РКН или рекомендованным письмом с описью вложения;
  6. Если выявили нарушения и исправили — укажите это в ответе: «Нарушение устранено [дата], актуальная версия документов размещена на сайте, внесены изменения в уведомление»;
  7. Сохраните копии всех отправленных документов и подтверждение отправки — они потребуются при дальнейшей переписке;
  8. Если пришло предписание об устранении нарушений — устраните в указанный срок (обычно 15-30 дней) и направьте уведомление об исполнении с доказательствами;
  9. Если не согласны со штрафом — можете обжаловать в вышестоящий орган РКН или в суд в течение 10 дней с момента вынесения постановления.

Что не стоит делать при проверке

  • Игнорировать требования РКН — это приведёт к штрафу за неисполнение законного требования (ч. 1 ст. 19.7 КоАП — предупреждение или 300-500 руб. для должностных лиц, 3 000-5 000 руб. для юридических лиц);
  • Предоставлять заведомо ложные сведения — штраф увеличится, плюс административная ответственность;
  • Срочно менять всё на сайте без документирования — РКН может проверить историю через archive.org, а несоответствие версий вызовет подозрения;
  • Давать противоречивые объяснения — всё должно быть логично и последовательно.

Поддержание соответствия: что делать регулярно

Приведение сайта в соответствие 152-ФЗ — не разовая задача. Требуется регулярная поддержка и обновление.

Ежемесячно

  • Проверяйте работу форм и чекбоксов (особенно после обновлений сайта);
  • Проверяйте доступность ссылок на политику конфиденциальности;
  • Следите за новыми обращениями пользователей по ПДн и фиксируйте в журнале;
  • Проверяйте, что cookie-баннер работает корректно.

Ежеквартально

  • Проводите аудит внешних сервисов: не изменились ли условия хранения данных у провайдеров;
  • Проверяйте актуальность договоров поручения с третьими лицами;
  • Анализируйте журнал инцидентов (если были);
  • Обучайте новых сотрудников правилам работы с персональными данными.

Раз в полгода

  • Пересматривайте политику конфиденциальности на соответствие текущим процессам;
  • Проверяйте актуальность уведомления в РКН;
  • Обновляйте внутренние документы при изменении структуры или процессов;
  • Проводите внутренний аудит соответствия по чек-листу из 26 пунктов.

При каждом изменении сайта

  • Добавили новую форму — добавьте чекбокс, обновите политику, при необходимости обновите уведомление РКН;
  • Подключили новый сервис (аналитика, CRM, чат) — опишите в политике, заключите договор поручения, обновите уведомление РКН;
  • Изменили хостинг — проверьте локализацию, обновите информацию о третьих лицах;
  • Запустили новую функцию (личный кабинет, рассылки) — оцените влияние на обработку ПДн и обновите документы.

Как действовать при утечке данных

  • Настройте процедуру реагирования на утечку данных. По ст. 21.1 152-ФЗ уведомление является двухэтапным:
    • 24 часа — первичное уведомление РКН через pd.rkn.gov.ru о самом факте инцидента;
    • 72 часа — детальное уведомление по итогам расследования: причины, масштаб, принятые меры, число пострадавших субъектов.

    Нарушение каждого из сроков — отдельный состав по ч. 4 ст. 13.11 КоАП. Подготовьте шаблоны обоих уведомлений заранее.

Другие законы, которые касаются вашего сайта

152-ФЗ — не единственный закон, регулирующий работу сайта. В зависимости от бизнес-модели вам могут быть обязательны ещё несколько нормативных актов.

38-ФЗ «О рекламе» — маркировка интернет-рекламы

Если ваш сайт запускает рекламу или размещает спонсорский контент — с 2022 года каждое объявление в интернете обязано иметь токен erid, полученный через оператора рекламных данных (ОРИД), и метку «Реклама» с указанием рекламодателя. Ст. 18.1 38-ФЗ (ред. 26.12.2024 N 479-ФЗ) закрепляет полный порядок и ответственность. Штраф — до 500 000 руб. по ст. 14.3 КоАП за каждое объявление.

Это касается: таргетированной и контекстной рекламы, баннеров на сайте, нативных интеграций, спонсорских постов, email-рассылок с рекламой.

Следите за изменениями: ст. 35.1 и ст. 38 п. 7 (29.12.2025 N 575-ФЗ) вступают в силу 01.09.2026 — расширяют требования к отчётности рекламодателей. Ст. 7 ч. 7 (29.12.2025 N 520-ФЗ) вступает в силу 01.03.2027. Рекомендуем отслеживать обновления через официальный сайт РКН.

54-ФЗ «О применении ККТ» — онлайн-кассы

Если ваш сайт принимает оплату (карта, СБП, электронный кошелёк) — вы обязаны применять кассовую технику и направлять покупателю электронный чек на email или телефон. С 01.01.2026 (08.08.2024 N 273-ФЗ) действуют обновлённые требования к чекам в цифровом виде. С 2024 года (08.08.2024 N 274-ФЗ) введены обязательные требования к QR-коду на кассовом чеке. Нарушения фиксирует ФНС в ходе контрольных закупок.

Часто задаваемые вопросы по приведению сайта в соответствие 152‑ФЗ
Сколько стоит привести сайт в соответствие 152‑ФЗ?
Нужно ли уведомлять Роскомнадзор, если сайт на Tilda или WordPress?
Что делать, если проверка Роскомнадзора уже идёт?
Обязательно ли cookie‑баннер для российского сайта?
Можно ли хранить данные клиентов на зарубежном хостинге?
Что будет, если не исправить нарушения после предписания РКН?

Заключение

Приведение сайта в соответствие 152-ФЗ — это не разовая акция, а постоянный процесс, связанный с жизнью проекта.

Начните с инвентаризации данных и документов, настройте формы и cookies, подайте уведомление в Роскомнадзор, назначьте ответственного, создайте минимальный набор внутренних документов — и риски проверок и штрафов снизятся в разы.

Грамотная настройка не только защищает от регулятора, но и повышает доверие пользователей, что напрямую влияет на конверсию и репутацию бренда. В 2026 году соответствие требованиям о персональных данных — это не формальность, а конкурентное преимущество.

Используйте чек-лист из 27 пунктов для регулярной самопроверки, обновляйте документы при каждом изменении сайта и будьте готовы предоставить полный пакет документов при проверке РКН. Время на приведение в соответствие — от 7 часов для простого сайта до 5-10 дней для крупного проекта. Стоимость делегирования специалистам — от 20 000 до 350 000 рублей в зависимости от сложности.

Главное — не откладывайте: штрафы за нарушения 152-ФЗ выросли до 500 000 рублей, а блокировка сайта может обойтись бизнесу гораздо дороже, чем профилактическая работа по соответствию.

<
>
Поделиться с друзьями
Алексей

Веб-дизайнер и SEO оптимизатор. Занимаюсь созданием сайтов с 2010 года и их продвижение с 2012 года!

Оцените автора
( Пока оценок нет )
Web-Revenue.ru
Добавить комментарий

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами.