Как проверить сайт на 152-ФЗ: 6 категорий, штрафы и план исправления
Полный гайд по самопроверке сайта на 152-ФЗ в 2026: 6 категорий нарушений, актуальные штрафы 420-ФЗ и 589-ФЗ, оборотные санкции, пошаговый план исправления.
Зачем проверять сайт на соответствие 152-ФЗ
Любой сайт, собирающий данные посетителей — имя, email, телефон, IP-адрес через аналитику — подпадает под Федеральный закон 152-ФЗ «О персональных данных». Владелец сайта автоматически становится оператором ПДн.
С 30 мая 2025 года (420-ФЗ) штрафы для юрлиц выросли в 5–10 раз: за отсутствие политики конфиденциальности — до 60 000 ₽ (ч. 3 ст. 13.11 КоАП), за обработку без согласия — до 700 000 ₽ (ч. 2 ст. 13.11), за использование зарубежных трекеров (Google Analytics и др.) — до 6 000 000 ₽ (ч. 8 ст. 13.11), за повторное нарушение локализации — до 18 000 000 ₽ (ч. 9 ст. 13.11). За первичную утечку ПДн — фиксированный штраф от 3 000 000 ₽ до 15 000 000 ₽ (ч. 12–14 ст. 13.11, в зависимости от числа субъектов), за повторную утечку — оборотный штраф от 1% до 3% годовой выручки, но не менее 20 000 000 ₽ (ч. 15). Роскомнадзор проверяет сайты дистанционно — без визита в офис.
Ниже — чек-лист из 12 пунктов, по которым Роскомнадзор оценивает сайт при проверке.
⚡ Проверьте свой сайт прямо сейчас — бесплатно
Автоматический сканер проверит 25+ параметров за 15 секунд: политика, чекбоксы согласия, cookie-баннер, зарубежные трекеры, реестр РКН. Без регистрации.
Запустить аудит сайта →6 категорий проверки сайта — что искать
Самопроверка сайта на 152-ФЗ строится по 6 категориям нарушений. Для интерактивной проверки по каждому пункту с отметками «есть / нет» используйте чек-лист 152-ФЗ (30 пунктов), для автоматического скана — бесплатный сканер /audit.
Категория 1. Документы и политика (5 пунктов)
- 1.1. Политика обработки ПДн опубликована — доступна по прямой ссылке с любой страницы (ч. 2 ст. 18.1 ФЗ-152). Штраф до 60 000 ₽ для юрлиц (ч. 3 ст. 13.11 КоАП).
- 1.2. Ссылка на политику в подвале — на каждой странице, включая лендинги, блог, контакты.
- 1.3. Ссылка работает — не битая, не 404. Для РКН битая ссылка = отсутствие политики.
- 1.4. Полнота по 12 разделам ст. 18.1 ФЗ-152 — наименование оператора, цели, категории субъектов и ПДн, правовые основания, перечень действий, порядок обработки, трансграничная передача, сроки хранения, порядок уничтожения, меры безопасности, контакты ответственного.
- 1.5. Юридические реквизиты оператора — ИНН, ОГРН, полное наименование в подвале или на «Контактах».
Категория 2. Формы и согласия (5 пунктов)
- 2.1. Все формы с ПДн-полями найдены — контакты, заявки, регистрация, корзина, обратный звонок.
- 2.2. Чекбокс согласия под каждой формой — со ссылкой на политику. Штраф до 700 000 ₽ (ч. 2 ст. 13.11).
- 2.3. Чекбоксы НЕ предзаполнены — посетитель ставит галочку сам. Предзаполненная = согласие не получено.
- 2.4. Согласия на обработку и рассылку РАЗДЕЛЕНЫ — две независимые галочки (266-ФЗ).
- 2.5. Форма не отправляет данные на зарубежный сервис — Google Forms, Typeform, Mailchimp, HubSpot запрещены. Штраф до 18 000 000 ₽ за повторное нарушение локализации.
Категория 3. Cookies и согласия (4 пункта)
- 3.1. Cookie-баннер с кнопкой «Отклонить» — РКН (с 01.09.2023) требует реальной возможности отказа, а не только «ОК».
- 3.2. Трекеры не ставят cookies до согласия — никаких `_ga`, `_fbp`, `_clck` до клика «Принять».
- 3.3. Сторонние cookies перечислены в политике — Яндекс.Метрика, VK Pixel, чаты, виджеты.
- 3.4. Флаги безопасности cookies — Secure, HttpOnly, SameSite=Lax/Strict.
Категория 4. Зарубежные сервисы — самая дорогая категория (8 пунктов)
- 4.1. Нет Meta (Facebook, Instagram, WhatsApp SDK) — экстремистская организация в РФ.
- 4.2. Нет Google Analytics / GTM / DoubleClick / Google Ads — штраф 1–6 млн ₽ (ч. 8 ст. 13.11).
- 4.3. Нет Google reCAPTCHA → Яндекс SmartCaptcha.
- 4.4. Нет Google Fonts — скачать шрифты на свой сервер.
- 4.5. Нет Hotjar / Microsoft Clarity / FullStory / Mixpanel / Amplitude / Sentry → Вебвизор в Яндекс Метрике.
- 4.6. Нет зарубежных embed — YouTube, Vimeo, Google Maps, Twitter/X, LinkedIn, Typeform → VK Video, Rutube, Яндекс.Карты, 2GIS.
- 4.7. Нет Stripe / PayPal → ЮKassa, Тинькофф Касса, Сбер Acquiring.
- 4.8. Чат-виджет указан в политике, если зарубежный (Intercom, Drift, Tawk.to) — лучше заменить на Jivo, Talk-Me, Carrot Quest.
Категория 5. Безопасность — HTTPS и headers (4 пункта)
- 5.1. HTTPS работает — действующий SSL-сертификат (Let's Encrypt бесплатно).
- 5.2. Автоматический редирект http→https — 301 redirect.
- 5.3. Нет Mixed Content — все ресурсы по https://.
- 5.4. Security headers — HSTS, X-Frame-Options, X-Content-Type-Options, CSP (минимум 3 из 4). Проверка: securityheaders.com.
Категория 6. Регистрация и локализация (4 пункта)
- 6.1. Организация в реестре операторов РКН — по ИНН на проверке реестра. Штраф за отсутствие — до 300 000 ₽ (ч. 10 ст. 13.11).
- 6.2. Трансграничная передача указана в уведомлении — если есть зарубежные сервисы.
- 6.3. Все цели обработки перечислены в уведомлении РКН.
- 6.4. Origin-сервер физически в России — Selectel, Timeweb, Beget, Yandex Cloud, VK Cloud. Cloudflare и западные CDN показывают чужой IP — проверять основной сервер.
Каждая из 30 проверок ниже — потенциальное основание для штрафа от 30 000 ₽ до 18 000 000 ₽, а после 30 мая 2025 — оборотного штрафа до 3% годовой выручки (минимум 20 млн ₽). Полная инструкция «как исправить» по каждому пункту — в нашем бесплатном PDF-чек-листе (доступен на странице /audit).
Требования к сайту по 152-ФЗ: что обязан иметь каждый сайт
Требования к сайту по 152-ФЗ действуют для любого ресурса, который собирает данные посетителей: форма обратной связи, корзина, подписка на рассылку, онлайн-запись, даже счётчик аналитики. Есть хотя бы одна такая точка сбора — вы уже оператор персональных данных. А значит, обязаны выполнить 7 требований — все они в таблице ниже. Чек-лист выше дробит их на 30 практических проверок; таблица же — юридический минимум: норма закона и штраф за каждый пропущенный пункт.
| Требование | Основание | Штраф за отсутствие (юрлицо) |
|---|---|---|
| Политика обработки ПДн опубликована и доступна с каждой формы | ч. 2 ст. 18.1 152-ФЗ | до 60 000 ₽ (ч. 3 ст. 13.11 КоАП) |
| Согласие на обработку — отдельный чекбокс, не предзаполненный | ст. 9 152-ФЗ | до 700 000 ₽ (ч. 2 ст. 13.11 — если обязательна письменная форма согласия); в остальных случаях — до 300 000 ₽ (ч. 1) |
| Cookie-уведомление с реальной возможностью отказа | позиция РКН: cookie = ПДн | до 300 000 ₽ (ч. 1 ст. 13.11, практика РКН) |
| Базы с данными россиян — на серверах в РФ | ч. 5 ст. 18 152-ФЗ | до 6 000 000 ₽ (ч. 8 ст. 13.11) |
| Нет зарубежных трекеров, передающих ПДн (Google Analytics, Meta Pixel) | ч. 5 ст. 18 + ст. 12 152-ФЗ | до 6 000 000 ₽ (ч. 8 ст. 13.11), повторно — до 18 000 000 ₽ (ч. 9) |
| Оператор зарегистрирован в реестре РКН | ст. 22 152-ФЗ | до 300 000 ₽ (ч. 10 ст. 13.11) |
| Реквизиты оператора указаны на сайте | ст. 9 + ст. 18.1 152-ФЗ (наименование и контакты оператора — в политике и согласии) | фиксируется при проверке |
Требования к документам на сайте
Минимум два документа. Первый — политика обработки персональных данных: обязательна по ст. 18.1 152-ФЗ, 12 рекомендуемых разделов — из Рекомендаций Роскомнадзора (чем она отличается от политики конфиденциальности). Второй — текст согласия под каждую цель обработки. С 1 сентября 2025 года согласие оформляется отдельно от иных документов, которые подписывает субъект (ч. 1 ст. 9 152-ФЗ в ред. 156-ФЗ от 24.06.2025). Спрятать его в оферту или пользовательское соглашение не получится. Готовые формулировки — в образце согласия для сайта, требования к cookie — в разборе «Cookies и 152-ФЗ».
Технические требования
Три пункта, которые чаще всего проваливают:
- Хостинг в России для баз с ПДн россиян — подробно в статье о локализации персональных данных.
- Отказ от зарубежных сервисов, обрабатывающих данные посетителей.
- HTTPS — без шифрования данные из формы летят открытым текстом: их видит провайдер и любой в той же Wi-Fi-сети.
Замену подберёте за час: Яндекс Метрика вместо Google Analytics, SmartCaptcha вместо reCAPTCHA, локальные шрифты вместо Google Fonts. Некогда разбираться самому? Закажите аудит персональных данных с устранением под ключ — по заявке подготовим КП.
Проверьте все 7 требований за 15 секунд
Сканер увидит, чего не хватает вашему сайту: от политики до зарубежных трекеров. Бесплатно, без регистрации.
Проверить сайт →Типичные нарушения, которые находит Роскомнадзор
По результатам проверок Роскомнадзора, самые частые нарушения на сайтах (суммы штрафов — для юрлиц в ред. 420-ФЗ от 30.05.2025):
- Нет политики конфиденциальности — штраф до 60 000 ₽ (ч. 3 ст. 13.11 КоАП)
- Чекбокс предустановлен или отсутствует — согласие считается не полученным, штраф до 700 000 ₽ (ч. 2 ст. 13.11)
- Одна галочка на всё — согласие на обработку + рассылку + передачу третьим лицам объединены. С 2022 года нужны отдельные согласия на каждую цель
- Google Analytics и зарубежные трекеры — передача IP и cookies на серверы за рубеж нарушает локализацию (ч. 5 ст. 18 152-ФЗ). Штраф до 6 000 000 ₽ (ч. 8 ст. 13.11), повторное — до 18 000 000 ₽ (ч. 9)
- Нет cookie-баннера — Роскомнадзор квалифицирует cookies как ПДн. Штраф за обработку без согласия — до 700 000 ₽
- Хостинг за рубежом — серверы в Европе или США, нарушение требования о локализации (та же ч. 8 ст. 13.11)
- Устаревшая политика — не обновлена после изменений 266-ФЗ от 2022 года и 420-ФЗ от 2024 года
Полный справочник сумм — в таблице штрафов 152-ФЗ с учётом 420-ФЗ.
Как проверить сайт онлайн
Вы можете провести экспресс-аудит сайта самостоятельно или использовать наши инструменты:
- Аудит сайта по 152-ФЗ — автоматическая проверка наличия политики, чекбоксов, cookie-баннера
- Чек-лист 152-ФЗ — интерактивный список всех требований
- Проверка реестра РКН — узнайте, зарегистрированы ли вы как оператор
Для полноценного аудита рекомендуем использовать конструктор документов — он создаст все необходимые документы для сайта: политику конфиденциальности, пользовательское соглашение, согласия.
Оборотные штрафы 2025–2026 — главный сдвиг по 420-ФЗ
Самое важное изменение после 30 мая 2025 года — введение оборотных штрафов по статье 13.11 КоАП. Это не фиксированная сумма, а процент от годовой выручки компании. Оборотный штраф применяется за повторную утечку ПДн (ч. 15 ст. 13.11):
- 1–3% совокупной годовой выручки
- Минимум — 20 000 000 ₽
- Максимум — 500 000 000 ₽
При этом базовый штраф «обработка ПДн в случаях, не предусмотренных законом» (ч. 1 ст. 13.11) остаётся фиксированным — для юрлиц 150 000–300 000 ₽. Иметь сайт без правильно оформленных оснований обработки теперь — риск на сотни миллионов. Подробный разбор оборотных штрафов и формулу расчёта см. в нашей отдельной статье «Оборотные штрафы за утечку ПДн».
Утечки персональных данных — новые части 12–16 ст. 13.11
Отдельный режим штрафов введён 589-ФЗ для утечек ПДн (диапазоны для юрлиц):
- Утечка 1 000 – 10 000 субъектов: 3–5 млн ₽ (первый раз) / 15–20 млн ₽ (повторно)
- Утечка 10 000 – 100 000 субъектов: 5–10 млн ₽ / 20–25 млн ₽
- Утечка свыше 100 000 субъектов: 10–15 млн ₽ / повторно — 1–3% годовой выручки, минимум 25 млн ₽
- Утечка спецкатегорий ПДн: 10–15 млн ₽ (ч. 16, первый раз), оборотный штраф до 3% выручки (повторно)
- Утечка биометрии: 15–20 млн ₽ (ч. 17, первый раз), оборотный штраф до 3% выручки (повторно)
- Неуведомление РКН об утечке за 24/72 часа: 1–3 млн ₽
С 30 мая 2025 года для утечек особо крупных размеров введена уголовная ответственность по ст. 272.1 УК РФ — подробнее на странице «Уголовная ответственность по 152-ФЗ».
Полная картина всех штрафов по 152-ФЗ от 6 000 ₽ до 500 млн ₽ — в нашей статье «Штрафы за персональные данные 2026», а также в таблице штрафов и калькуляторе штрафов.
Что делать после проверки
Если обнаружили нарушения:
- Разместите политику конфиденциальности — создайте в генераторе за 5 минут бесплатно
- Добавьте чекбоксы — под каждой формой, не предустановленные
- Установите cookie-баннер — можно использовать бесплатные решения (CookieBot, CookieYes)
- Подайте уведомление в Роскомнадзор — через портал pd.rkn.gov.ru
- Переведите хостинг в РФ — если серверы за рубежом
Все эти шаги можно выполнить за один день. Штрафы за нарушения многократно превышают стоимость приведения сайта в порядок.
Как Кибероснова Документы закрывает проверку сайта 152-ФЗ
Проверка сайта — не разовое мероприятие. Бот РКН обходит сайты круглосуточно и может зафиксировать новое нарушение в любой момент: установили Google Analytics — фиксация трансграничной передачи, забыли обновить политику после 420-ФЗ — штраф 60-150 тыс. ₽ по ч.3 ст.13.11 КоАП. Кибероснова — SaaS-платформа, в которой документы для сайта обновляются автоматически.
Сравнение способов привести сайт в порядок
| Параметр | Юрист по ИБ | Самостоятельно | Кибероснова Документы |
|---|---|---|---|
| Стоимость пакета документов для сайта | 100 000 – 300 000 ₽ | 0 ₽ прямых затрат | Бесплатно при регистрации, тариф под проект |
| Срок подготовки | 2-4 недели | 1-2 месяца | 15 минут |
| Учёт автомониторинга РКН (бот) | Зависит от консультанта | Самостоятельно | Шаблоны учитывают паттерны бота РКН |
| Обновления под 420-ФЗ + 589-ФЗ | Платный апгрейд | Самостоятельно | Автоматически в SaaS |
| Multi-org для холдингов | Платно за каждое юрлицо | Дублирование | Один аккаунт = много юрлиц |
Чем Кибероснова отличается
- 6 регуляторных областей в одной подписке — 152-ФЗ, ФСТЭК Приказы №21, №117, №239, ПП РФ №1119, 187-ФЗ. Конкуренты (b-152, 152doc) — только 152-ФЗ.
- Единый пакет для сайта + бэкенда — политика обработки + политика конфиденциальности + согласия + cookie-политика + уведомление в РКН + регламент реагирования на инциденты с правильной перекрёстной структурой.
- Multi-org для холдингов — один аккаунт работает на все юрлица.
- Подписка = расход на ИБ — стоимость SaaS можно зачесть в обязательные 0,1% от выручки на ИБ (смягчающий фактор по примечанию к ст.13.11 КоАП).
Заказать аудит сайта в формате «выявление + устранение под ключ» — услуга аудита персональных данных. Или самостоятельно через конструктор документов.

Мишина Анна
Эксперт Киберосновы
Специалист по техническим мерам защиты персональных данных. Опыт внедрения средств защиты информации и подготовки документов для аттестации ИСПДн. Эксперт по требованиям ФСТЭК.
Часто задаваемые вопросы
Связанные материалы
Нужен полный пакет документов по 152-ФЗ?
Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.