Кибероснова152-ФЗ

Как проверить сайт на 152-ФЗ: 6 категорий, штрафы и план исправления

Полный гайд по самопроверке сайта на 152-ФЗ в 2026: 6 категорий нарушений, актуальные штрафы 420-ФЗ и 589-ФЗ, оборотные санкции, пошаговый план исправления.

17 февраля 2026 г.10 мин. чтения

Зачем проверять сайт на соответствие 152-ФЗ

Любой сайт, собирающий данные посетителей — имя, email, телефон, IP-адрес через аналитику — подпадает под Федеральный закон 152-ФЗ «О персональных данных». Владелец сайта автоматически становится оператором ПДн.

С 30 мая 2025 года (420-ФЗ) штрафы для юрлиц выросли в 5–10 раз: за отсутствие политики конфиденциальности — до 60 000 ₽ (ч. 3 ст. 13.11 КоАП), за обработку без согласия — до 700 000 ₽ (ч. 2 ст. 13.11), за использование зарубежных трекеров (Google Analytics и др.) — до 6 000 000 ₽ (ч. 8 ст. 13.11), за повторное нарушение локализации — до 18 000 000 ₽ (ч. 9 ст. 13.11). За первичную утечку ПДн — фиксированный штраф от 3 000 000 ₽ до 15 000 000 ₽ (ч. 12–14 ст. 13.11, в зависимости от числа субъектов), за повторную утечку — оборотный штраф от 1% до 3% годовой выручки, но не менее 20 000 000 ₽ (ч. 15). Роскомнадзор проверяет сайты дистанционно — без визита в офис.

Ниже — чек-лист из 12 пунктов, по которым Роскомнадзор оценивает сайт при проверке.

⚡ Проверьте свой сайт прямо сейчас — бесплатно

Автоматический сканер проверит 25+ параметров за 15 секунд: политика, чекбоксы согласия, cookie-баннер, зарубежные трекеры, реестр РКН. Без регистрации.

Запустить аудит сайта →

6 категорий проверки сайта — что искать

Самопроверка сайта на 152-ФЗ строится по 6 категориям нарушений. Для интерактивной проверки по каждому пункту с отметками «есть / нет» используйте чек-лист 152-ФЗ (30 пунктов), для автоматического скана — бесплатный сканер /audit.

Категория 1. Документы и политика (5 пунктов)

  • 1.1. Политика обработки ПДн опубликована — доступна по прямой ссылке с любой страницы (ч. 2 ст. 18.1 ФЗ-152). Штраф до 60 000 ₽ для юрлиц (ч. 3 ст. 13.11 КоАП).
  • 1.2. Ссылка на политику в подвале — на каждой странице, включая лендинги, блог, контакты.
  • 1.3. Ссылка работает — не битая, не 404. Для РКН битая ссылка = отсутствие политики.
  • 1.4. Полнота по 12 разделам ст. 18.1 ФЗ-152 — наименование оператора, цели, категории субъектов и ПДн, правовые основания, перечень действий, порядок обработки, трансграничная передача, сроки хранения, порядок уничтожения, меры безопасности, контакты ответственного.
  • 1.5. Юридические реквизиты оператора — ИНН, ОГРН, полное наименование в подвале или на «Контактах».

Категория 2. Формы и согласия (5 пунктов)

  • 2.1. Все формы с ПДн-полями найдены — контакты, заявки, регистрация, корзина, обратный звонок.
  • 2.2. Чекбокс согласия под каждой формой — со ссылкой на политику. Штраф до 700 000 ₽ (ч. 2 ст. 13.11).
  • 2.3. Чекбоксы НЕ предзаполнены — посетитель ставит галочку сам. Предзаполненная = согласие не получено.
  • 2.4. Согласия на обработку и рассылку РАЗДЕЛЕНЫ — две независимые галочки (266-ФЗ).
  • 2.5. Форма не отправляет данные на зарубежный сервис — Google Forms, Typeform, Mailchimp, HubSpot запрещены. Штраф до 18 000 000 ₽ за повторное нарушение локализации.

Категория 3. Cookies и согласия (4 пункта)

  • 3.1. Cookie-баннер с кнопкой «Отклонить» — РКН (с 01.09.2023) требует реальной возможности отказа, а не только «ОК».
  • 3.2. Трекеры не ставят cookies до согласия — никаких `_ga`, `_fbp`, `_clck` до клика «Принять».
  • 3.3. Сторонние cookies перечислены в политике — Яндекс.Метрика, VK Pixel, чаты, виджеты.
  • 3.4. Флаги безопасности cookies — Secure, HttpOnly, SameSite=Lax/Strict.

Категория 4. Зарубежные сервисы — самая дорогая категория (8 пунктов)

  • 4.1. Нет Meta (Facebook, Instagram, WhatsApp SDK) — экстремистская организация в РФ.
  • 4.2. Нет Google Analytics / GTM / DoubleClick / Google Ads — штраф 1–6 млн ₽ (ч. 8 ст. 13.11).
  • 4.3. Нет Google reCAPTCHA → Яндекс SmartCaptcha.
  • 4.4. Нет Google Fonts — скачать шрифты на свой сервер.
  • 4.5. Нет Hotjar / Microsoft Clarity / FullStory / Mixpanel / Amplitude / Sentry → Вебвизор в Яндекс Метрике.
  • 4.6. Нет зарубежных embed — YouTube, Vimeo, Google Maps, Twitter/X, LinkedIn, Typeform → VK Video, Rutube, Яндекс.Карты, 2GIS.
  • 4.7. Нет Stripe / PayPal → ЮKassa, Тинькофф Касса, Сбер Acquiring.
  • 4.8. Чат-виджет указан в политике, если зарубежный (Intercom, Drift, Tawk.to) — лучше заменить на Jivo, Talk-Me, Carrot Quest.

Категория 5. Безопасность — HTTPS и headers (4 пункта)

  • 5.1. HTTPS работает — действующий SSL-сертификат (Let's Encrypt бесплатно).
  • 5.2. Автоматический редирект http→https — 301 redirect.
  • 5.3. Нет Mixed Content — все ресурсы по https://.
  • 5.4. Security headers — HSTS, X-Frame-Options, X-Content-Type-Options, CSP (минимум 3 из 4). Проверка: securityheaders.com.

Категория 6. Регистрация и локализация (4 пункта)

  • 6.1. Организация в реестре операторов РКН — по ИНН на проверке реестра. Штраф за отсутствие — до 300 000 ₽ (ч. 10 ст. 13.11).
  • 6.2. Трансграничная передача указана в уведомлении — если есть зарубежные сервисы.
  • 6.3. Все цели обработки перечислены в уведомлении РКН.
  • 6.4. Origin-сервер физически в России — Selectel, Timeweb, Beget, Yandex Cloud, VK Cloud. Cloudflare и западные CDN показывают чужой IP — проверять основной сервер.

Каждая из 30 проверок ниже — потенциальное основание для штрафа от 30 000 ₽ до 18 000 000 ₽, а после 30 мая 2025 — оборотного штрафа до 3% годовой выручки (минимум 20 млн ₽). Полная инструкция «как исправить» по каждому пункту — в нашем бесплатном PDF-чек-листе (доступен на странице /audit).

Требования к сайту по 152-ФЗ: что обязан иметь каждый сайт

Требования к сайту по 152-ФЗ действуют для любого ресурса, который собирает данные посетителей: форма обратной связи, корзина, подписка на рассылку, онлайн-запись, даже счётчик аналитики. Есть хотя бы одна такая точка сбора — вы уже оператор персональных данных. А значит, обязаны выполнить 7 требований — все они в таблице ниже. Чек-лист выше дробит их на 30 практических проверок; таблица же — юридический минимум: норма закона и штраф за каждый пропущенный пункт.

ТребованиеОснованиеШтраф за отсутствие (юрлицо)
Политика обработки ПДн опубликована и доступна с каждой формыч. 2 ст. 18.1 152-ФЗдо 60 000 ₽ (ч. 3 ст. 13.11 КоАП)
Согласие на обработку — отдельный чекбокс, не предзаполненныйст. 9 152-ФЗдо 700 000 ₽ (ч. 2 ст. 13.11 — если обязательна письменная форма согласия); в остальных случаях — до 300 000 ₽ (ч. 1)
Cookie-уведомление с реальной возможностью отказапозиция РКН: cookie = ПДндо 300 000 ₽ (ч. 1 ст. 13.11, практика РКН)
Базы с данными россиян — на серверах в РФч. 5 ст. 18 152-ФЗдо 6 000 000 ₽ (ч. 8 ст. 13.11)
Нет зарубежных трекеров, передающих ПДн (Google Analytics, Meta Pixel)ч. 5 ст. 18 + ст. 12 152-ФЗдо 6 000 000 ₽ (ч. 8 ст. 13.11), повторно — до 18 000 000 ₽ (ч. 9)
Оператор зарегистрирован в реестре РКНст. 22 152-ФЗдо 300 000 ₽ (ч. 10 ст. 13.11)
Реквизиты оператора указаны на сайтест. 9 + ст. 18.1 152-ФЗ (наименование и контакты оператора — в политике и согласии)фиксируется при проверке

Требования к документам на сайте

Минимум два документа. Первый — политика обработки персональных данных: обязательна по ст. 18.1 152-ФЗ, 12 рекомендуемых разделов — из Рекомендаций Роскомнадзора (чем она отличается от политики конфиденциальности). Второй — текст согласия под каждую цель обработки. С 1 сентября 2025 года согласие оформляется отдельно от иных документов, которые подписывает субъект (ч. 1 ст. 9 152-ФЗ в ред. 156-ФЗ от 24.06.2025). Спрятать его в оферту или пользовательское соглашение не получится. Готовые формулировки — в образце согласия для сайта, требования к cookie — в разборе «Cookies и 152-ФЗ».

Технические требования

Три пункта, которые чаще всего проваливают:

  • Хостинг в России для баз с ПДн россиян — подробно в статье о локализации персональных данных.
  • Отказ от зарубежных сервисов, обрабатывающих данные посетителей.
  • HTTPS — без шифрования данные из формы летят открытым текстом: их видит провайдер и любой в той же Wi-Fi-сети.

Замену подберёте за час: Яндекс Метрика вместо Google Analytics, SmartCaptcha вместо reCAPTCHA, локальные шрифты вместо Google Fonts. Некогда разбираться самому? Закажите аудит персональных данных с устранением под ключ — по заявке подготовим КП.

Проверьте все 7 требований за 15 секунд

Сканер увидит, чего не хватает вашему сайту: от политики до зарубежных трекеров. Бесплатно, без регистрации.

Проверить сайт →

Типичные нарушения, которые находит Роскомнадзор

По результатам проверок Роскомнадзора, самые частые нарушения на сайтах (суммы штрафов — для юрлиц в ред. 420-ФЗ от 30.05.2025):

  • Нет политики конфиденциальности — штраф до 60 000 ₽ (ч. 3 ст. 13.11 КоАП)
  • Чекбокс предустановлен или отсутствует — согласие считается не полученным, штраф до 700 000 ₽ (ч. 2 ст. 13.11)
  • Одна галочка на всё — согласие на обработку + рассылку + передачу третьим лицам объединены. С 2022 года нужны отдельные согласия на каждую цель
  • Google Analytics и зарубежные трекеры — передача IP и cookies на серверы за рубеж нарушает локализацию (ч. 5 ст. 18 152-ФЗ). Штраф до 6 000 000 ₽ (ч. 8 ст. 13.11), повторное — до 18 000 000 ₽ (ч. 9)
  • Нет cookie-баннера — Роскомнадзор квалифицирует cookies как ПДн. Штраф за обработку без согласия — до 700 000 ₽
  • Хостинг за рубежом — серверы в Европе или США, нарушение требования о локализации (та же ч. 8 ст. 13.11)
  • Устаревшая политика — не обновлена после изменений 266-ФЗ от 2022 года и 420-ФЗ от 2024 года

Полный справочник сумм — в таблице штрафов 152-ФЗ с учётом 420-ФЗ.

Как проверить сайт онлайн

Вы можете провести экспресс-аудит сайта самостоятельно или использовать наши инструменты:

Для полноценного аудита рекомендуем использовать конструктор документов — он создаст все необходимые документы для сайта: политику конфиденциальности, пользовательское соглашение, согласия.

Оборотные штрафы 2025–2026 — главный сдвиг по 420-ФЗ

Самое важное изменение после 30 мая 2025 года — введение оборотных штрафов по статье 13.11 КоАП. Это не фиксированная сумма, а процент от годовой выручки компании. Оборотный штраф применяется за повторную утечку ПДн (ч. 15 ст. 13.11):

  • 1–3% совокупной годовой выручки
  • Минимум — 20 000 000 ₽
  • Максимум — 500 000 000 ₽

При этом базовый штраф «обработка ПДн в случаях, не предусмотренных законом» (ч. 1 ст. 13.11) остаётся фиксированным — для юрлиц 150 000–300 000 ₽. Иметь сайт без правильно оформленных оснований обработки теперь — риск на сотни миллионов. Подробный разбор оборотных штрафов и формулу расчёта см. в нашей отдельной статье «Оборотные штрафы за утечку ПДн».

Утечки персональных данных — новые части 12–16 ст. 13.11

Отдельный режим штрафов введён 589-ФЗ для утечек ПДн (диапазоны для юрлиц):

  • Утечка 1 000 – 10 000 субъектов: 3–5 млн ₽ (первый раз) / 15–20 млн ₽ (повторно)
  • Утечка 10 000 – 100 000 субъектов: 5–10 млн ₽ / 20–25 млн ₽
  • Утечка свыше 100 000 субъектов: 10–15 млн ₽ / повторно — 1–3% годовой выручки, минимум 25 млн ₽
  • Утечка спецкатегорий ПДн: 10–15 млн ₽ (ч. 16, первый раз), оборотный штраф до 3% выручки (повторно)
  • Утечка биометрии: 15–20 млн ₽ (ч. 17, первый раз), оборотный штраф до 3% выручки (повторно)
  • Неуведомление РКН об утечке за 24/72 часа: 1–3 млн ₽

С 30 мая 2025 года для утечек особо крупных размеров введена уголовная ответственность по ст. 272.1 УК РФ — подробнее на странице «Уголовная ответственность по 152-ФЗ».

Полная картина всех штрафов по 152-ФЗ от 6 000 ₽ до 500 млн ₽ — в нашей статье «Штрафы за персональные данные 2026», а также в таблице штрафов и калькуляторе штрафов.

Что делать после проверки

Если обнаружили нарушения:

  1. Разместите политику конфиденциальности — создайте в генераторе за 5 минут бесплатно
  2. Добавьте чекбоксы — под каждой формой, не предустановленные
  3. Установите cookie-баннер — можно использовать бесплатные решения (CookieBot, CookieYes)
  4. Подайте уведомление в Роскомнадзор — через портал pd.rkn.gov.ru
  5. Переведите хостинг в РФ — если серверы за рубежом

Все эти шаги можно выполнить за один день. Штрафы за нарушения многократно превышают стоимость приведения сайта в порядок.

Как Кибероснова Документы закрывает проверку сайта 152-ФЗ

Проверка сайта — не разовое мероприятие. Бот РКН обходит сайты круглосуточно и может зафиксировать новое нарушение в любой момент: установили Google Analytics — фиксация трансграничной передачи, забыли обновить политику после 420-ФЗ — штраф 60-150 тыс. ₽ по ч.3 ст.13.11 КоАП. Кибероснова — SaaS-платформа, в которой документы для сайта обновляются автоматически.

Сравнение способов привести сайт в порядок

ПараметрЮрист по ИБСамостоятельноКибероснова Документы
Стоимость пакета документов для сайта100 000 – 300 000 ₽0 ₽ прямых затратБесплатно при регистрации, тариф под проект
Срок подготовки2-4 недели1-2 месяца15 минут
Учёт автомониторинга РКН (бот)Зависит от консультантаСамостоятельноШаблоны учитывают паттерны бота РКН
Обновления под 420-ФЗ + 589-ФЗПлатный апгрейдСамостоятельноАвтоматически в SaaS
Multi-org для холдинговПлатно за каждое юрлицоДублированиеОдин аккаунт = много юрлиц

Чем Кибероснова отличается

  • 6 регуляторных областей в одной подписке — 152-ФЗ, ФСТЭК Приказы №21, №117, №239, ПП РФ №1119, 187-ФЗ. Конкуренты (b-152, 152doc) — только 152-ФЗ.
  • Единый пакет для сайта + бэкенда — политика обработки + политика конфиденциальности + согласия + cookie-политика + уведомление в РКН + регламент реагирования на инциденты с правильной перекрёстной структурой.
  • Multi-org для холдингов — один аккаунт работает на все юрлица.
  • Подписка = расход на ИБ — стоимость SaaS можно зачесть в обязательные 0,1% от выручки на ИБ (смягчающий фактор по примечанию к ст.13.11 КоАП).

Заказать аудит сайта в формате «выявление + устранение под ключ» — услуга аудита персональных данных. Или самостоятельно через конструктор документов.

Мишина Анна

Мишина Анна

Эксперт Киберосновы

Специалист по техническим мерам защиты персональных данных. Опыт внедрения средств защиты информации и подготовки документов для аттестации ИСПДн. Эксперт по требованиям ФСТЭК.

техническая защитаФСТЭКИСПДншифрование

Часто задаваемые вопросы

Да. Штраф по ч. 3 ст. 13.11 КоАП в ред. 420-ФЗ (с 30 мая 2025 года): для юрлиц — от 60 000 до 150 000 ₽, для должностных лиц — от 12 000 до 24 000 ₽, для ИП — от 30 000 до 60 000 ₽. Роскомнадзор проверяет сайты дистанционно — достаточно зайти на сайт и зафиксировать отсутствие политики.
Да. Даже одна форма с полем «Имя» и «Телефон» — это сбор персональных данных. Нужна политика конфиденциальности и чекбокс согласия.
Если на сайте установлена Яндекс.Метрика или Google Analytics — вы уже собираете данные (IP-адреса, cookies). Нужна как минимум политика cookies и баннер.
При любом изменении состава собираемых данных, целей обработки, третьих лиц или законодательства. Рекомендуется пересматривать не реже 1 раза в год.
Да. Проверки проводятся как плановые (по реестру), так и внеплановые (по жалобам граждан). Любой пользователь может пожаловаться на сайт без политики конфиденциальности.

Связанные материалы

Политика конфиденциальностиГотовый шаблон для размещения на сайтеСогласие для сайтаТекст чекбокса и HTML-кодЧек-лист 152-ФЗ — 30 пунктов для интерактивной проверкиИнтерактивный инструмент: отметить «есть/нет» по 30 пунктам и сохранить прогрессБесплатный сканер /audit — 25+ автоматических проверокСканирование сайта за 15 секунд — те же параметры, что проверяет бот РКНБот Роскомнадзора 2026 — что проверяет автомониторингКак РКН автоматически проверяет сайты + чек-лист защитыПодготовка к проверке Роскомнадзора — чек-лист 2026Пошаговая инструкция и документы для проверки РКНШтрафы за персональные данные 2026Все суммы от 6 000 ₽ до 500 млн ₽ — таблица с учётом 420-ФЗОборотные штрафы за утечку ПДнФормула расчёта и способы защиты компании от миллионных санкцийПерсональные данные на сайтеЧто делать владельцу сайтаЗаказать аудит сайта на 152-ФЗРучная проверка специалистом, от 5 000 ₽

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Собрать самостоятельно