Персональные данные на сайте: пошаговая инструкция по 152-ФЗ

Большинство владельцев сайтов даже не подозревают, сколько персональных данных они собирают ежедневно. По определению 152-ФЗ «О персональных данных», персональными данными является любая информация, относящаяся прямо или косвенно к определённому физическому лицу (субъекту персональных данных). Давайте разберём, какие данные собирает типичный сайт.

Формы обратной связи. Самый очевидный источник ПДн. Когда пользователь заполняет форму «Заказать звонок», «Задать вопрос» или «Оставить заявку», он передаёт вам как минимум имя и номер телефона, а часто — и email-адрес. Каждая такая форма — это точка сбора персональных данных, и для каждой из них нужно получить согласие.

Форма регистрации и личный кабинет. При создании аккаунта пользователь указывает ФИО, email, пароль, иногда — дату рождения, город и другие сведения. Всё это — персональные данные, которые вы обязаны защищать в соответствии с законом.

Оформление заказов. Интернет-магазины собирают расширенный набор данных: ФИО, адрес доставки, телефон, email, а при онлайн-оплате — косвенно данные банковской карты (хотя сами данные карты обрабатывает платёжный агрегатор).

Cookies и системы аналитики. Это менее очевидный, но крайне важный источник данных. Яндекс.Метрика, Google Analytics, пиксели Facebook и VK — все они собирают:

• IP-адрес посетителя (является персональными данными согласно позиции Роскомнадзора)
• данные о браузере и устройстве (User-Agent)
• историю посещений и поведение на сайте
• геолокацию (определяется по IP)
• уникальные идентификаторы (cookie-файлы)

Онлайн-чаты и виджеты. Если на вашем сайте установлены Jivo, Carrot Quest, Telegram-виджет или любой другой чат — они также собирают персональные данные: имя пользователя, контактную информацию, историю переписки.

Формы подписки на рассылку. Даже простое поле «Введите ваш email для подписки на новости» — это сбор персональных данных. Email-адрес — это ПДн, и для его обработки нужно правовое основание.

Комментарии на сайте. Если пользователи могут оставлять комментарии, они указывают имя и email. Кроме того, система фиксирует их IP-адрес.

Таким образом, практически любой сайт собирает персональные данные. Даже если у вас нет форм — Яндекс.Метрика уже делает вас оператором ПДн. По данным Роскомнадзора за 2025 год, более 85% проверенных сайтов имели нарушения в области обработки персональных данных. Не стоит думать, что если у вас «маленький сайт» или «просто визитка», закон на вас не распространяется — 152-ФЗ распространяется на всех, кто обрабатывает персональные данные.

Чтобы привести сайт в соответствие с требованиями 152-ФЗ, необходимо выполнить пять ключевых шагов. Это минимальный набор действий, без которого ваш сайт нарушает закон. Разберём каждый шаг подробно.

Шаг 1. Разместите политику конфиденциальности. Это базовый документ, который обязателен для каждого сайта, собирающего персональные данные (ст. 18.1 152-ФЗ). Политика должна быть доступна по отдельной ссылке, размещённой в подвале каждой страницы сайта. Она описывает, какие данные вы собираете, с какой целью, как храните и защищаете, кому передаёте и как пользователь может реализовать свои права.

Шаг 2. Добавьте чекбокс согласия на обработку ПДн. Каждая форма, которая собирает персональные данные, должна содержать чекбокс с текстом согласия на обработку. Чекбокс не должен быть отмечен по умолчанию — пользователь должен поставить галочку самостоятельно (активное согласие). Текст должен содержать ссылку на политику конфиденциальности.

Шаг 3. Подайте уведомление в Роскомнадзор. Согласно ст. 22 152-ФЗ, оператор обязан уведомить Роскомнадзор о начале обработки персональных данных. Есть исключения (например, обработка данных только сотрудников в рамках трудовых отношений), но для большинства сайтов уведомление обязательно. Подать его можно через портал pd.rkn.gov.ru.

Шаг 4. Разместите политику использования cookies. С учётом позиции Роскомнадзора и европейского регулирования (если сайт доступен из ЕС), необходимо информировать пользователей об использовании cookie-файлов. Разместите баннер с информацией о cookies и ссылку на отдельную политику cookies. В этом документе укажите, какие cookies используются, зачем и как пользователь может их отключить.

Шаг 5. Подготовьте пользовательское соглашение. Если на вашем сайте есть функционал — личный кабинет, оформление заказов, подписка на сервис — вам необходимо пользовательское соглашение (оферта). Этот документ регулирует отношения между вами и пользователем, определяет правила пользования сайтом и сервисами, а также содержит раздел об обработке персональных данных.

Дополнительные действия:

• Назначьте ответственного за обработку ПДн (для организаций)
• Издайте внутренний приказ об обработке персональных данных
• Подготовьте перечень обрабатываемых персональных данных
• Обеспечьте техническую защиту данных (SSL-сертификат, шифрование, резервное копирование)
• Установите сроки хранения данных и процедуры их уничтожения

Этот чек-лист — отправная точка. Далее мы подробно разберём каждый из основных документов и требований.

Политика конфиденциальности (она же «Политика в отношении обработки персональных данных») — это главный документ, который должен быть на каждом сайте, собирающем ПДн. Его требует статья 18.1 Федерального закона №152-ФЗ: оператор обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных, и обеспечить к нему неограниченный доступ.

Что должна содержать политика конфиденциальности:

• Наименование и контактные данные оператора — полное название организации или ФИО индивидуального предпринимателя, ИНН, юридический адрес, контактный email и телефон
• Цели обработки персональных данных — конкретные и законные цели: исполнение договора, обработка заказов, маркетинговые рассылки, улучшение качества обслуживания, аналитика посещаемости
• Перечень обрабатываемых данных — какие именно данные вы собираете: ФИО, email, телефон, адрес, IP-адрес, данные cookies
• Правовые основания обработки — согласие субъекта, исполнение договора, требования законодательства
• Порядок и условия обработки — автоматизированная и неавтоматизированная обработка, сроки хранения
• Сведения о передаче данных третьим лицам — указать, кому и зачем передаются данные (хостинг-провайдер, служба доставки, платёжный агрегатор, системы аналитики)
• Сведения о трансграничной передаче — если данные передаются за пределы РФ (Google Analytics, зарубежные серверы)
• Меры защиты данных — организационные и технические меры безопасности
• Права субъекта ПДн — право на доступ, исправление, удаление, отзыв согласия, право на жалобу в Роскомнадзор
• Порядок отзыва согласия — как пользователь может отозвать своё согласие
• Сроки обработки и хранения — конкретные сроки или критерии их определения

Где разместить политику:

• На отдельной странице сайта (например, /privacy-policy/)
• Ссылку разместить в подвале (footer) каждой страницы сайта
• Ссылку указать в тексте чекбокса каждой формы сбора данных
• Ссылку разместить в баннере cookies

Как оформить: Политика должна быть написана понятным языком, без излишней юридической терминологии. Документ должен быть структурирован, разделён на пронумерованные разделы. Используйте заголовки и списки для удобства чтения. Важно: политика должна соответствовать реальным процессам на вашем сайте — не копируйте шаблон из интернета, не проверив его на соответствие вашей ситуации.

Распространённые ошибки: использование шаблонных документов без адаптации, отсутствие контактных данных оператора, неуказание конкретных целей обработки (формулировки вроде «в любых целях»), отсутствие информации о cookies и системах аналитики, неуказание третьих лиц, которым передаются данные.

С помощью конструктора Кибероснова Документы вы можете создать политику конфиденциальности, полностью соответствующую требованиям 152-ФЗ, за несколько минут. Документ будет сгенерирован с учётом специфики именно вашего сайта.

Согласие субъекта на обработку его персональных данных — одно из основных правовых оснований обработки по 152-ФЗ. Для сайта это означает, что каждая форма, через которую вы собираете данные, должна содержать механизм получения согласия.

Как реализовать согласие на сайте:

Стандартным способом является чекбокс (флажок) рядом с формой. Вот ключевые требования к его реализации:

• Чекбокс не должен быть отмечен по умолчанию. Это принципиальное требование. Согласие должно быть активным — пользователь сам ставит галочку. Предзаполненный чекбокс не считается надлежащим согласием.
• Без отмеченного чекбокса форма не должна отправляться. Реализуйте валидацию, которая не позволит отправить форму без согласия.
• Текст согласия должен быть конкретным. Он должен указывать на цель обработки и содержать ссылку на политику конфиденциальности.

Примеры текста чекбокса:

Для формы обратной связи:

«Нажимая кнопку «Отправить», я даю согласие на обработку моих персональных данных в соответствии с Политикой конфиденциальности»

Для формы заказа:

«Я даю согласие на обработку моих персональных данных для оформления и доставки заказа в соответствии с Политикой конфиденциальности»

Для формы подписки:

«Я даю согласие на обработку моего email-адреса для получения информационных и рекламных рассылок. Я могу отписаться в любой момент. Политика конфиденциальности»

Реализация в HTML:

Базовый пример кода для чекбокса согласия:

<label><input type="checkbox" name="consent" required> Я даю согласие на обработку персональных данных в соответствии с <a href="/privacy-policy">Политикой конфиденциальности</a></label>

Атрибут required обеспечивает обязательность заполнения на стороне браузера. Дополнительно реализуйте серверную валидацию — клиентскую проверку можно обойти.

Важные нюансы:

• Для каждой цели — отдельное согласие. Если вы собираете данные для обработки заказа и одновременно для маркетинговых рассылок, это должны быть два отдельных чекбокса. Нельзя «в одном флаконе» получить согласие на всё.
• Фиксируйте факт получения согласия. Храните в базе данных дату и время, IP-адрес, версию текста согласия. Это потребуется при проверке Роскомнадзора.
• Обеспечьте возможность отзыва. Пользователь имеет право отозвать согласие в любой момент. Укажите в политике, как это сделать (email, форма на сайте, личный кабинет).
• Согласие должно быть информированным. Пользователь должен понимать, на что именно он соглашается. Ссылка на политику конфиденциальности обязательна.

Для рекламных рассылок помимо 152-ФЗ также действует ст. 18 Федерального закона «О рекламе», которая требует предварительного согласия абонента на получение рекламы. Поэтому для рассылок рекомендуется использовать механизм double opt-in (двойное подтверждение).

Подача уведомления об обработке персональных данных в Роскомнадзор — обязанность, установленная статьёй 22 Федерального закона №152-ФЗ. Оператор обязан уведомить уполномоченный орган до начала обработки персональных данных. На практике многие операторы узнают об этом требовании уже после запуска сайта — в этом случае уведомление нужно подать как можно скорее.

Когда уведомление обязательно для сайта:

• Вы собираете персональные данные через формы на сайте
• На сайте установлены системы аналитики (Яндекс.Метрика, Google Analytics)
• Вы ведёте базу клиентов или подписчиков
• На сайте есть регистрация и личные кабинеты
• Вы используете CRM-систему, связанную с сайтом

Когда уведомление не требуется (исключения из ст. 22):

• Данные обрабатываются исключительно в рамках трудовых отношений (только данные работников)
• Данные получены в связи с заключением договора, стороной которого является субъект, и не передаются третьим лицам без согласия
• Данные включают только ФИО
• Данные обрабатываются без использования средств автоматизации

Важно: большинство сайтов не подпадают под исключения, поскольку используют автоматизированную обработку (базы данных, CRM, email-рассылки) и передают данные третьим лицам (хостинг, аналитика, платёжные системы).

Как подать уведомление:

• Онлайн: через портал pd.rkn.gov.ru — самый удобный способ. Заполняете электронную форму, подписываете усиленной квалифицированной электронной подписью (УКЭП) и отправляете.
• На бумаге: направляете заполненное уведомление по установленной форме в территориальное управление Роскомнадзора по месту регистрации оператора.

Что указывается в уведомлении:

• Наименование и адрес оператора
• Цели обработки персональных данных
• Категории субъектов, данные которых обрабатываются
• Перечень обрабатываемых данных
• Правовое основание обработки
• Перечень действий с данными
• Описание мер безопасности
• Сведения о трансграничной передаче
• Сведения о месте хранения данных (должно быть на территории РФ!)
• ФИО ответственного за организацию обработки ПДн

Сроки: Роскомнадзор вносит оператора в реестр в течение 30 дней с момента получения уведомления. После включения в реестр вы получите регистрационный номер. Проверить наличие организации в реестре можно на сайте Роскомнадзора.

Штраф за отсутствие уведомления: по ст. 19.7 КоАП РФ — от 3 000 до 5 000 рублей для юридических лиц. Сумма невелика, но отсутствие уведомления привлекает внимание при проверках и может повлечь более детальное изучение вашей деятельности по обработке ПДн.

Штрафы за нарушения в области персональных данных в России существенно выросли в последние годы. С 2024–2025 годов законодатель ужесточил ответственность, и теперь суммы штрафов могут быть весьма значительными даже для небольшого бизнеса.

Основные штрафы по КоАП РФ (ст. 13.11):

Примеры реальных дел:

• Интернет-магазин (2025 г.): Роскомнадзор выявил, что на сайте отсутствует политика конфиденциальности и чекбокс согласия на обработку ПДн в формах заказа. Штраф — 60 000 рублей за отсутствие политики + 300 000 рублей за обработку без согласия. Итого 360 000 рублей.
• Медицинская клиника (2024 г.): на сайте была форма записи на приём без получения согласия, при этом собирались данные о здоровье (специальная категория ПДн). Штраф — 700 000 рублей.
• Онлайн-сервис (2025 г.): компания хранила данные пользователей на серверах за пределами России. Штраф — 2 000 000 рублей с требованием локализовать данные в течение 30 дней.

Что проверяет Роскомнадзор на сайте:

• Наличие политики конфиденциальности и её содержание
• Наличие чекбоксов согласия во всех формах сбора данных
• Корректность текста согласия
• Наличие уведомления об использовании cookies
• Подачу уведомления в реестр операторов
• Место хранения данных (серверы должны быть в РФ)
• SSL-сертификат и защиту передачи данных

Кроме штрафов возможны и другие последствия: предписание об устранении нарушений, блокировка сайта (в крайних случаях), иски от субъектов ПДн с требованием компенсации морального вреда, репутационные потери.

Вывод очевиден: проще и дешевле заранее привести сайт в соответствие с 152-ФЗ, чем платить штрафы и устранять нарушения в авральном режиме.

Интернет-магазины собирают значительно больше персональных данных, чем обычные сайты, и имеют ряд дополнительных требований по 152-ФЗ. Разберём специфику e-commerce подробно.

Расширенный перечень обрабатываемых данных. Помимо стандартных ФИО, email и телефона, интернет-магазин обрабатывает:

• Адрес доставки (домашний или рабочий адрес — персональные данные)
• Данные о заказах и покупках (история покупок может раскрывать информацию о личности)
• Данные для выставления счетов и актов (ИНН, реквизиты — для юрлиц и ИП)
• Данные, связанные с оплатой (хотя сами данные карты обрабатывает платёжный шлюз, магазин может хранить последние 4 цифры, тип карты)
• Данные из CRM-системы (предпочтения, сегменты, история обращений)

Онлайн-оплата. Если на сайте подключена онлайн-оплата, вы передаёте данные клиента платёжному агрегатору (ЮKassa, Robokassa, Тинькофф Эквайринг и др.). Это передача данных третьему лицу, которая должна быть:

• Отражена в политике конфиденциальности
• Покрыта согласием пользователя
• Оформлена договором поручения обработки ПДн с платёжным агрегатором (поручение по ст. 6 ч. 3 152-ФЗ)

Доставка. Если вы передаёте данные клиента (ФИО, телефон, адрес) службам доставки — СДЭК, Почта России, Boxberry и др. — это тоже передача третьему лицу. Аналогично необходимы: упоминание в политике, согласие, договор поручения обработки.

CRM-система. Если вы используете AmoCRM, Bitrix24, RetailCRM или другую систему — данные клиентов хранятся на серверах CRM-провайдера. Убедитесь, что:

• Серверы расположены на территории РФ (требование локализации)
• С провайдером заключён договор, включающий поручение обработки ПДн
• CRM-система обеспечивает надлежащую защиту данных

Email-маркетинг. Рассылки через Unisender, Sendsay, Mailchimp и другие сервисы — это передача данных третьему лицу. Для маркетинговых рассылок необходимо отдельное согласие (нельзя включить в общее согласие на обработку заказа). Кроме того, действует ст. 18 ФЗ «О рекламе»: рекламные рассылки допускаются только с предварительного согласия адресата.

Отзывы и рейтинги. Если клиенты оставляют отзывы с указанием имени — это тоже обработка ПДн. Модерация отзывов, публикация имени покупателя — всё должно быть предусмотрено в политике и покрыто согласием.

Минимальный пакет документов для интернет-магазина:

• Политика конфиденциальности
• Пользовательское соглашение (оферта)
• Согласие на обработку ПДн (чекбокс в формах)
• Политика использования cookies
• Согласие на получение рассылок (отдельный чекбокс)
• Уведомление в Роскомнадзор
• Договор-поручение обработки с каждым контрагентом (платёжная система, доставка, CRM, рассылочный сервис)

Интернет-магазин — один из самых регулируемых видов онлайн-бизнеса в части ПДн. Конструктор Кибероснова Документы позволяет создать весь комплект документов для интернет-магазина, учитывая вашу специфику: подключённые сервисы, способы оплаты и доставки.

Подведём итог: какие именно документы необходимы для полного соответствия вашего сайта требованиям 152-ФЗ? Набор зависит от типа сайта и объёма обрабатываемых данных.

Для сайта-визитки (без форм, только аналитика):

• Политика конфиденциальности
• Политика использования cookies
• Уведомление в Роскомнадзор

Для сайта с формами обратной связи:

• Политика конфиденциальности
• Политика использования cookies
• Согласие на обработку ПДн (чекбокс)
• Уведомление в Роскомнадзор

Для сайта с регистрацией / личным кабинетом:

• Политика конфиденциальности
• Пользовательское соглашение
• Политика использования cookies
• Согласие на обработку ПДн
• Уведомление в Роскомнадзор

Для интернет-магазина:

• Политика конфиденциальности
• Пользовательское соглашение (публичная оферта)
• Политика использования cookies
• Согласие на обработку ПДн (чекбокс в формах)
• Согласие на получение рассылок (отдельный чекбокс)
• Уведомление в Роскомнадзор
• Договоры-поручения обработки с контрагентами

Для SaaS-сервиса или онлайн-платформы:

• Политика конфиденциальности
• Пользовательское соглашение
• Лицензионное соглашение (EULA)
• Политика использования cookies
• Согласие на обработку ПДн
• Уведомление в Роскомнадзор
• DPA (Data Processing Agreement) — если вы обрабатываете данные клиентов ваших пользователей

Как получить все необходимые документы:

Есть три основных способа:

• Заказать у юриста. Надёжно, но дорого (от 15 000 до 100 000 рублей в зависимости от объёма) и долго (от нескольких дней до нескольких недель).
• Скачать шаблоны из интернета. Бесплатно, но рискованно: шаблоны могут быть устаревшими, не учитывать специфику вашего бизнеса и не соответствовать актуальным требованиям закона.
• Использовать конструктор документов. Оптимальный вариант: вы отвечаете на вопросы о вашем сайте и бизнесе, а система генерирует персонализированные документы, соответствующие актуальной редакции 152-ФЗ.

Кибероснова Документы — это конструктор, который создаёт полный пакет документов по 152-ФЗ для вашего сайта за несколько минут. Вы получаете юридически корректные документы, адаптированные под вашу ситуацию: тип сайта, собираемые данные, используемые сервисы. Все документы актуальны на 2026 год и учитывают последние изменения законодательства.

Не откладывайте приведение сайта в соответствие с законом. Роскомнадзор активно проводит мониторинг сайтов, а штрафы растут с каждым годом. Начните прямо сейчас — создайте документы для вашего сайта в конструкторе Кибероснова Документы.