Закон о персональных данных 152-ФЗ: что нужно знать владельцам сайтов в 2025 году

Если на вашем сайте есть кнопки «Перезвонить», «Подписаться на рассылку» или «Оформить заказ», значит, вы собираете персональные данные и подпадаете под закон № 152-ФЗ. Рассказываем, как хранить и обрабатывать эти сведения, чтобы не нарваться на штраф.

• Что такое персональные данные
• О чем нужно помнить владельцам сайтов
• Как выполнить требования Роскомнадзора
• Что такое cookie
• Аналитика и реклама в сети
• Что делать при утечке личных данных
• За что еще могут оштрафовать
• Гайд «Проверяем веб-сайт на соответствие»

Современный веб-сайт — не просто виртуальная визитка компании. Это многоуровневый инструмент: он демонстрирует и продает товар, создает имидж бренда и отвечает за рекламу.

Конечно, при таком наборе задач интернет-ресурсы собирают информацию об аудитории. Иначе как узнать, что за люди среди ваших клиентов и что им нравится?

Для сбора личных сведений о пользователях в сайты «вшивают» ФОС и интерактивные кнопки для связи, например «Заказать звонок».

На первый взгляд, это просто хороший клиентский сервис — возьму номер телефона, узнаю имя и перезвоню, чтобы человек не тратил свои минуты связи. На самом деле вы занимаетесь сбором и обработкой личных данных.

Что такое персональные данные

Допустим, вы предприниматель, продаете кофемашины и запчасти к ним. У вас на сайте есть раздел с каталогом продукции, блог с полезными статьями и страница «Ремонт техники», где можно оставить заявку на выезд мастера.

Чтобы пользователь мог сохранять понравившиеся модели кофемашин в «Избранное» и в два клика отправить заявку на ремонт кофеварки, он регистрируется на сайте, то есть вводит свои персональные данные (ПД): ФИО, номер телефона и адрес электронной почты.

Теперь вы как человек, получивший личную информацию пользователя, становитесь оператором ПД.

Что относят к ПД

С 2025 года в законе № 152-ФЗ «О персональных данных» к конфиденциальным сведениям относят:

• имя, дату рождения и семейное положение;
• номер телефона и место жительства;
• паспортные данные, ИНН и СНИЛС;
• группу крови, историю болезни и результаты анализов; 
• отпечаток пальца, голос, изображение лица и сетчатки глаза;
• номер банковской карточки;
• дипломы, стаж работы, данные о зарплате и отпусках;
• соцсети;
• геолокацию, IP-адрес и файлы cookie.

В некоторых ситуациях Роскомнадзор может отнести к личным данным даже оставленные на портале отзывы.

Пользователь зарегистрировался на веб-сайте стоматологической клиники. Записался на прием через личный кабинет и оставил в базе данных свое полное имя и телефон.

После лечения он зашел на портал и под своим именем написал отзыв на работу врача. А чтобы получить скидку на второе посещение, прикрепил свое фото в холле клиники.

Имя в подписи к отзыву и фото человека подпадают под закон о персональных данных.  

Даже если компания не просит личную информацию напрямую, а, например, сайт автоматически сохраняет IP пользователей или запоминает настройки города, чтобы при следующем визите сразу показать актуальное, это тоже сбор ПД.

Закон о ПД распространяется не только на крупные сайты, но и на одностраничники и личные блоги, на которых есть ФОС, кнопки «Подписаться», «Отправить заявку» и подобные.

О чем нужно помнить владельцам сайтов

152-ФЗ «О персональных данных» призван защитить россиян от мошенничества в сети. Если крупные компании и малый бизнес будут честно рассказывать аудитории, какую частную информацию сохраняют, зачем и как используют, случаев компрометации ПД будет меньше.

Чтобы нечаянно не нарушить закон, владельцам сайтов рекомендуют:

• Не собирать информацию «на всякий пожарный». В политике конфиденциальности нужно сразу писать, что за цель обработки персональных данных. Например, для обратной связи или для оформления доставки. Если цель не названа — нарушен закон.
• Получать согласие людей на хранение их ПД. Самый распространенный способ — добавлять в ФОС предупреждение: «Нажимая кнопку "Отправить", вы соглашаетесь с политикой конфиденциальности». При этом слово «политика» нужно сопроводить ссылкой на этот документ.

• Разрешить пользователю передумать. Каждый человек может отозвать согласие и попросить удалить сведения о себе. Например, клиент подписался на рассылку, а потом захотел отписаться. Кнопка «Отписаться от рассылки» должна быть в каждом письме.
• Хранить ПД в России. Сервер, где лежит база с информацией пользователей, должен находиться на территории РФ. Это указано в ст. 18 152-ФЗ.

• Не передавать данные третьим лицам. Если вы используете сторонние сервисы, например CRM, системы аналитики, убедитесь, что они соблюдают закон, и пропишите информацию о разглашении сведений в политике конфиденциальности.

Допустим, вы сотрудничаете с сервисом рассылки. Чтобы рассылать рекламные сообщения, вы отправляете исполнителю телефоны и электронные адреса своих клиентов. При этом не знаете, где эта компания будет хранить ПД и кто получит к ним доступ. Также вы не уведомили клиентов о том, что разглашаете их данные. Формально это нарушение закона.

Чтобы не получить штраф, заключите договор об обработке персональных данных с сервисом рассылки. В документе пропишите цели, меры защиты, сроки хранения и порядок удаления личной информации.

Добавьте пункт о партнере (сервисе рассылки) в политику конфиденциальности. 

Без этих нюансов передача сведений незаконна.

• Защищать информацию от утечек. Даже если сайт небольшой, на нем должны быть базовые меры безопасности: защищенное соединение (HTTPS), сложные пароли, регулярные обновления плагинов. О любой утечке данных компания обязана сообщить в Роскомнадзор в первые сутки после случившегося.

Как выполнить требования Роскомнадзора

Вести бизнес без хотя бы косвенного знакомства с клиентами невозможно. Для успешной рекламной кампании и популяризации бренда необходима информация о целевой аудитории: пол и возраст, география и контакты. Поэтому собирать персональные данные все равно придется. Просто делайте это законно.

Подготовьте документы

Роскомнадзор настаивает, чтобы владельцы сайтов четко объясняли пользователям, какие сведения собирают, для чего и как намерены их использовать. Поэтому в первую очередь напишите политику конфиденциальности (она же политика обработки персональных данных).

В свободной форме опишите, какие ПД получает сайт и как защищает их от посторонних.

Поскольку нельзя собирать личные данные без одобрения человека, нужно составить клиентское соглашение.

Как составить политику обработки персональных данных

Политика конфиденциальности — документ, в котором владелец сайта объясняет пользователям, какие данные о них собирает, зачем и как использует.

Для него нет утвержденного текста, но есть пункты, без которых документ будет неполным.

Пропишите:

1. Общие сведения о владельце сайта. Укажите, кто отвечает за обработку данных: название компании или имя предпринимателя, адрес сайта и контакты для связи. Если вы работаете как юридическое лицо, добавьте форму собственности (например, ООО или ИП). Для частных лиц достаточно полного имени и электронной почты.
2. Цели сбора данных. Опишите, зачем вам нужны личные сведения: для идентификации пользователей, улучшения работы сервиса, отправки чеков и уведомлений, продвижения товаров и так далее.
3. Какие данные собираете. Перечислите все, что сайт запрашивает у посетителей: имя, телефон, e-mail, почтовый адрес, ссылки на соцсети, город проживания и прочее. Если используете cookie-файлы и аналитику (например, Яндекс.Метрику), тоже укажите. По закону нельзя использовать информацию, если она не упомянута в политике.
4. Как посетитель соглашается на обработку ПД: ставит галочку в чекбоксе, подписывает анкету или заявку. И как отозвать согласие: например, написать письмо на указанный адрес электронной почты. Здесь же указывают срок хранения данных.
5. Как работаете с информацией — через CRM, формы обратной связи, системы аналитики и так далее. Чем понятнее расскажете, тем меньше вопросов вызовете.
6. Как защищаете ПД: SSL-сертификат на сайте, доступ к сведениям только уполномоченных сотрудников.

Как составить клиентское соглашение

Согласие на обработку персональных данных нужно, чтобы законно получать и использовать информацию пользователей. 

Это короткий документ, которым человек подтверждает, что понял, какие данные и для чего собирает сайт, и что он не возражает.

Утвержденного текста соглашения нет — оформляйте в свободном виде.

Обычно в согласии прописаны те же пункты, что и в политике конфиденциальности: кто собирает данные, с какой целью, как эти данные защищают и кому их могут передавать.

Главное — четко указать, что пользователь осознанно соглашается с условиями и в любой момент может передумать и удалить свои данные.

Опубликуйте документы на сайте

Обычно их размещают в футере и рядом с формами обратной связи:

• в подвале сайта делают кнопки на переход в полную версию документов;
• в ФОС размещают компактный чекбокс со ссылкой на политику и соглашение. 

Когда человек заполняет ФОС, он должен подтвердить свое согласие на обработку личных сведений. Чаще всего для этого достаточно поставить галочку в чекбоксе.

В сети встречаются два вида чекбоксов:

• с отдельной галочкой, подтверждающей согласие пользователя;

• с уведомлением «Отправляя форму, вы соглашаетесь…».

Лучше использовать первый вариант с галочкой, так как формально согласие должно быть осознанным и подтвержденным отдельно, а не по умолчанию.

Важно, чтобы галочка не была проставлена автоматически и форма не отправлялась без нее.

Сообщите в Роскомнадзор

Ваша компания собирает и хранит персональные данные аудитории? Чтобы не попасть в ряды злоумышленников, сообщите об этом в Роскомнадзор (РКН). 

Для этого подайте заявление или уведомите РКН через Госуслуги.

После проверки Федеральная служба по надзору добавит вас в реестр операторов персональных данных. Как правило, это занимает до 30 дней.

Проверить, включен ли интернет-ресурс в реестр, можно на официальном сайте Роскомнадзора.

Если в будущем компания перестает работать с ПД, об этом также нужно сообщить в РКН в течение 10 рабочих дней.

Исключения

Уведомлять Роскомнадзор о работе с личной информацией не нужно, если данные обрабатывают в государственных системах, не используют в работе цифровые технологии и собирают сведения для транспортной безопасности.

Что такое cookie

Один из способов сбора и обработки личных данных — cookie-файлы. Каждый из нас наверняка встречал уведомления о них в сети.

Куки «запоминают», какие страницы открывал пользователь, что из товаров добавлял в корзину, на какой язык переключал интерфейс.

Собранная информация хранится в виде небольших текстовых файлов в браузере.

Анна зашла в интернет-магазин, добавила в корзину кофточку и платье, но не оформила покупку. Через день она вернулась на портал — вещи так и лежали в корзине.

Иван зарегистрировался в электронной почте. Ввел логин и пароль. Через пару дней он снова зашел в ящик. Сервис автоматически подтянул его данные для входа. 

Так работают cookie — сохраняют ваши следы в сети.

Сами по себе cookie безвредны: они не содержат вирусов и не дают посторонним доступа к компьютеру или смартфону человека. Но собранную ими информацию можно назвать персональной. Поэтому cookie-файлы подпадают под закон о ПД.

Как правильно настроить cookie-баннер и влияет ли он на работу сайта

Нередко владельцы сайтов переживают, что уведомление о куки портит внешний вид ресурса, мешает работе и продвижению. Мы спросили об этом Екатерину С. — сео-специалиста в московском агентстве интернет-маркетинга.

«Напрямую cookie-баннер не влияет на продвижение сайта, но может воздействовать косвенно, если ухудшает юзабилити. Такое случается, если куки-баннер плохо настроен, например перекрывает контент, блокирует работу, не закрывается или всплывает при каждом обновлении страницы и внутренних переходах.

Это плохо влияет на пользовательский опыт и уменьшает время, которое пользователь проводит на интернет-ресурсе.

Поисковые системы часто видят в этом повод для пессимизации — понижения позиций сайта в поисковой выдаче Яндекса и Google.

Чтобы баннер с предупреждением о cookie был максимально удобным, попробуйте следующее:

• Сделайте его простым и понятным. Человек должен понимать, чего от него хотят, что нужно сделать и где при необходимости получить дополнительную информацию.
• Протестируйте. После создания баннера проверьте его работу, убедитесь, что он не мешает контенту, легко закрывается и запоминает выбор посетителя».

Аналитика и реклама в сети

С 2025 года Роскомнадзор уделяет повышенное внимание рекламным и аналитическим онлайн-сервисам. Именно через них данные пользователей часто уходят за рубеж и используются без согласия владельцев.

Раньше предприниматели даже не задумывались, что иностранные счетчики, например Google Analytics, собирают личную информацию. Теперь же это инструмент для обработки персональных данных. Если такой установлен на вашем сайте, вы несете ответственность за то, что и куда он передает.

Проверьте, соответствуют ли закону рекламные и аналитические инструменты на вашем веб-сайте. Это защитит от штрафов.

Что делать, если нужна аналитика Google

Если для работы вам необходимо использовать иностранные сервисы, можно отправить запрос в Роскомнадзор.

Получив официальное разрешение, вы сможете установить Google Analytics в рамках закона. Только не забудьте прописать пункт о передаче ПД за границу в политике конфиденциальности.

Ведете бизнес в интернете? Поддерживаем! Онлайн-витрины виртуальных магазинов и чарующие карточки товаров с подробным описанием работают намного лучше продавцов-консультантов в ТЦ. Чтобы продажи в сети отнимали минимум времени и приносили максимум дохода, подключите интернет-эквайринг от Совкомбанка. 

Что делать при утечке личных данных

Замалчивать неприятную ситуацию нельзя. Владелец сайта должен оперативно сообщить в Роскомнадзор, иначе рискует получить большой штраф.

По закону оператору ПД нужно:

1. В первые сутки сообщить об утечке в РКН. Для этого заполните форму на портале службы. Опишите, что произошло, какие данные затронуты и какие меры предприняты.
2. В течение следующих трех дней отчитаться о результатах внутреннего расследования. Если найден виновник, о нем нужно сообщить.

Уведомлять, что личные сведения разглашены, нужно не только при крупных утечках, но и при взломе сайта, потере ноутбука с базой клиентов или случайной рассылке данных не тем получателям.

В форме РКН подробно расскажите:

• когда и как произошла утечка;
• какие данные попали в чужие руки (например, телефоны, пароли);
• сколько человек пострадали;
• какие меры уже приняты для исправления ситуации.

Роскомнадзор может провести проверку и запросить дополнительные сведения. К этому нужно быть готовым и заранее вести журнал инцидентов, иметь резервные копии и назначить ответственное лицо за обработку данных.

Наказания за утечку информации

Если компания не сообщила об утечке вовремя, это считается сокрытием преступления.

Возможные штрафы:

• физлицам — 50–100 тысяч ₽;
• сотрудникам компаний — 400–800 тысяч ₽;
• юрлицам и частным предпринимателям — до 3 млн ₽.

Сумма за потерю личных сведений зависит от того, сколько людей пострадали и какая информация утеряна. 

Размеры штрафов за утечку ПД для разных категорий нарушителей

Дороже всего обходится утечка биометрических и медпоказателей: до 1,5 млн ₽ — штрафы для сотрудников, до 20 млн ₽ — для организаций.

Если столкнулись с утечкой конфиденциальной информации, действуйте по закону. Федеральная служба строже относится к тем, кто пытается замять проблему.

Оборотный штраф при повторной утечке

Пожалуй, это самое неприятное обновление в законе, введенное для неисправимых нарушителей.

Если компания повторно поймана на потере личных сведений, ее оштрафуют на сумму, равную 1–3 % от выручки прошлого года. При этом сумма, от которой отсчитывают штраф, — не менее 20 млн и не более 500 млн ₽.

Для небольшого бизнеса такие деньги могут быть неподъемными. Будьте внимательны в работе.

За что еще могут оштрафовать

Роскомнадзор наказывает рублем за множество нарушений. Вот основные, о которых следует помнить.

Не уведомили РКН

Если веб-сайт собирает личную информацию пользователей, а вы не уведомили об этом Федеральную службу — значит нарушили закон. Такое правонарушение обойдется:

• в 5–10 тысяч ₽ — для обычного человека;
• в 30–50 тысяч ₽ — для сотрудника;
• в 100–300 тысяч ₽ — для юридического лица.

Собираете данные без согласия пользователей

Опубликовать на интернет-ресурсе пользовательское соглашение и добавить чекбокс с галочкой в форме обратной связи — прямая обязанность компании. Если документ отсутствует и посетитель сайта не соглашался на обработку сведений о себе, придется заплатить:

• физлицу — 10–15 тысяч ₽;
• человеку при должности — 100–300 тысяч ₽;
• юрлицу и частному предпринимателю — 300–700 тысяч ₽.

При повторном нарушении суммы вырастут вдвое: 15–30 тысяч ₽, 300–500 тысяч ₽ и от 500 тысяч до 1,5 млн ₽ соответственно. 

На сайте нет политики обработки ПД

Политика конфиденциальности — главный корпоративный документ, фиксирующий цели и способы сбора и хранения персональных данных. Он должен быть в свободном доступе на сайте.

Не хотите или забыли опубликовать политику обработки ПД — приготовьтесь отдать:      

• 1,5–3 тысячи ₽ — с физлица;  
• 6–12 тысяч ₽ — с должностного лица; 
• 10–20 тысяч ₽ — с индивидуального предпринимателя;
• 30–60 тысяч ₽ — с юрлица.

Не удалили информацию о человеке, хотя он отозвал согласие

По закону если пользователь нажал галочку «Согласен», но через некоторое время передумал, владелец сайта обязан удалить всю информацию о нем. Отказываетесь удалять либо медлите — значит заплатите:

• 2–4 тысячи ₽ — с физического лица;
• 8–20 тысяч ₽ — с сотрудника компании;
• 20–40 тысяч ₽ — с ИП;
• 50–90 тысяч ₽ — с юрлица.

При повторном несоблюдении закона штрафы составят 20–30 тысяч ₽, 30–50 тысяч ₽, 50–100 тысяч ₽ и 300–500 тысяч ₽ соответственно.

Рекомендуем прочитать весь список нарушений и наказаний за них.

Кроме того, Роскомнадзор может заблокировать сайт, если недочеты не устранены.

Привычная скидка в 50% при оперативной оплате штрафа не действует для нарушителей 152-ФЗ. Придется выложить сумму в полном объеме. 

Гайд «Проверяем веб-сайт на соответствие»

Соблюдать закон «О персональных данных» не так сложно, как кажется. Главное — действовать открыто по отношению к клиентам. Тогда проверка Федеральной службы не станет поводом для стресса, а интернет-ресурс заслужит доверие.

Чтобы обнаружить «слабые» места:

1. Закажите аудит сайта. Проверьте все формы, баннеры, ссылки на важные документы.
2. Обновите политику конфиденциальности. Текст должен быть простым и понятным любому пользователю.
3. Настройте пользовательское соглашение. Баннеры и формы должны работать корректно, а данные — сохраняться только после подтверждения.
4. Локализуйте хранение данных. Если ваш сервер находится за границей, лучше «переехать» на территорию России.
5. Назначьте ответственного за обработку персональных данных. Даже если компания небольшая, кто-то должен следить за соблюдением закона.
6. Составьте план действий на случай утечки информации. Подумайте, кто будет уведомлять Роскомнадзор и защищать ваши интересы при необходимости.

Простая и открытая коммуникация с аудиторией — лучший способ выполнить требования закона и повысить доверие к бизнесу. Стремитесь не просто избегать штрафов, а честно рассказывать пользователям, зачем компания собирает их данные, где хранит и как можно удалить личную информацию, если захочется. В сложном мире технологий человеку важно понимать, что происходит.