Проверка сайта на соответствие 152-ФЗ: чек-лист из 12 пунктов

Любой сайт, собирающий данные посетителей — имя, email, телефон, IP-адрес через аналитику — подпадает под Федеральный закон 152-ФЗ «О персональных данных». Владелец сайта автоматически становится оператором ПДн.

С 2025 года штрафы резко выросли: за отсутствие политики конфиденциальности — до 60 000 ₽, за обработку без согласия — до 75 000 ₽, за утечку — оборотные штрафы до 500 млн ₽ (420-ФЗ). Роскомнадзор проверяет сайты дистанционно — без визита в офис.

Ниже — чек-лист из 12 пунктов, по которым Роскомнадзор оценивает сайт при проверке.

1. Политика конфиденциальности опубликована на сайте

Обязательна по ч. 2 ст. 18.1 закона 152-ФЗ. Должна быть доступна по прямой ссылке с любой страницы (обычно в подвале сайта). Содержит: перечень данных, цели обработки, права субъекта, контакты оператора.

2. Под каждой формой есть чекбокс согласия

Формы обратной связи, заявки, подписки, регистрации — каждая должна иметь чекбокс с текстом: «Даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности». Чекбокс не должен быть предустановлен.

3. Cookie-баннер при использовании аналитики

Яндекс.Метрика, Google Analytics, рекламные пиксели — всё это cookie-файлы. Необходимо уведомить посетителя и получить согласие. Баннер должен появляться при первом визите.

4. SSL-сертификат (HTTPS)

Данные, передаваемые через формы, должны быть зашифрованы. Отсутствие HTTPS — нарушение ст. 19 закона 152-ФЗ (обеспечение безопасности при обработке).

5. Пользовательское соглашение

Отдельный от политики конфиденциальности документ, определяющий условия использования сайта. Особенно важен для сервисов, маркетплейсов, личных кабинетов.

6. Согласие на рассылку — отдельное

Email и SMS-рассылки регулируются одновременно 152-ФЗ и законом «О рекламе». Нужен отдельный чекбокс: «Согласен получать информационные и рекламные сообщения». Нельзя объединять с согласием на обработку ПДн.

7. Формы не собирают избыточные данные

Принцип минимизации (ст. 5 ч. 5 закона 152-ФЗ): собирайте только те данные, которые нужны для конкретной цели. Форма обратной связи не должна требовать паспортные данные.

8. Данные хранятся в России

Первичный сбор и хранение ПДн граждан РФ — на серверах в России (ч. 5 ст. 18 закона 152-ФЗ). Проверьте хостинг: серверы должны быть в РФ.

9. Указаны контакты ответственного за ПДн

В политике конфиденциальности должны быть: наименование оператора, адрес, контакты для обращений субъектов ПДн.

10. Подано уведомление в Роскомнадзор

Оператор обязан уведомить Роскомнадзор до начала обработки (ст. 22 закона 152-ФЗ). Проверьте наличие в реестре через наш инструмент.

11. Механизм отзыва согласия

Субъект вправе отозвать согласие в любой момент (ч. 2 ст. 9). На сайте должна быть форма или email для отзыва. Срок обработки — 30 дней.

12. Политика cookies

Отдельный документ или раздел в политике конфиденциальности: какие cookies используются, для чего, как отключить.

По результатам проверок Роскомнадзора, самые частые нарушения на сайтах:

• Нет политики конфиденциальности — штраф до 60 000 ₽ (ст. 13.11 ч. 3 КоАП)
• Чекбокс предустановлен — согласие считается не полученным, штраф до 75 000 ₽
• Одна галочка на всё — согласие на обработку + рассылку + передачу третьим лицам объединены. С 2022 года нужны отдельные согласия на каждую цель
• Нет cookie-баннера — формально нарушение, на практике пока штрафуют редко, но тренд на ужесточение
• Хостинг за рубежом — серверы в Европе или США, нарушение требования о локализации
• Устаревшая политика — не обновлена после изменений 266-ФЗ от 2022 года

Вы можете провести экспресс-аудит сайта самостоятельно или использовать наши инструменты:

• Аудит сайта по 152-ФЗ — автоматическая проверка наличия политики, чекбоксов, cookie-баннера
• Чек-лист 152-ФЗ — интерактивный список всех требований
• Проверка реестра РКН — узнайте, зарегистрированы ли вы как оператор

Для полноценного аудита рекомендуем использовать конструктор документов — он создаст все необходимые документы для сайта: политику конфиденциальности, пользовательское соглашение, согласия.

Если обнаружили нарушения:

1. Разместите политику конфиденциальности — создайте в генераторе за 5 минут бесплатно
2. Добавьте чекбоксы — под каждой формой, не предустановленные
3. Установите cookie-баннер — можно использовать бесплатные решения (CookieBot, CookieYes)
4. Подайте уведомление в Роскомнадзор — через портал pd.rkn.gov.ru
5. Переведите хостинг в РФ — если серверы за рубежом

Все эти шаги можно выполнить за один день. Штрафы за нарушения многократно превышают стоимость приведения сайта в порядок.