Аудит сайта по 152-ФЗ в 2026: полная инструкция для бизнеса

Что такое 152-ФЗ простыми словами

152-ФЗ «О персональных данных» — это закон, который говорит: если вы собираете информацию о людях, вы обязаны её защищать и отчитываться, как именно. Всё. Никакой высшей математики. Сложным закон делает не суть, а количество подзаконных актов, приказов РКН и ФСТЭК, которые наросли вокруг него за 19 лет существования.

На практике под действие закона попадают:

• любая форма обратной связи, где есть имя, телефон, email;
• любая регистрация — личный кабинет, рассылка, скачивание PDF за email;
• cookie-файлы, которые идентифицируют посетителя (а это все аналитические скрипты);
• чат на сайте, окно онлайн-консультанта, форма заявки на услугу;
• CRM, в которой лежат данные клиентов и сотрудников;
• записи звонков, голосовые сообщения, биометрия (даже фото в личном кабинете).

Закон считает персональными данными любую информацию, по которой можно опознать конкретного человека — прямо или косвенно. Это значит, что cookie_id, IP-адрес и идентификатор устройства в большинстве случаев тоже ПД. Этот момент часто упускают, и именно за него ловят на штрафы.

Кому нужно соблюдать 152-ФЗ

Короткий ответ: всем, кто работает с российскими клиентами или находится в РФ. Длинный — давайте по сценариям, я встречал каждый из них на аудитах.

Сценарий 1. ИП с одним лендингом и формой «Перезвоните мне»

Подпадает. Имя и телефон — это ПД. Достаточно одной заявки в день, чтобы вы стали оператором персональных данных. Уведомление в РКН подавать нужно. Политика конфиденциальности должна быть. Согласие — должно быть. По факту 80% таких сайтов работают без всего этого, потому что владелец не знает.

Сценарий 2. ООО с интернет-магазином и CRM

Подпадает однозначно и попадает в группу «массовая обработка». Это автоматически означает: уведомление в РКН с подробной анкетой, политика обработки ПД (это другой документ, не путать с политикой конфиденциальности для пользователя), назначенный ответственный за обработку ПД, журнал учёта согласий, регламент реагирования на запросы субъектов.

Сценарий 3. Самозанятый-фрилансер с портфолио и контактной формой

Подпадает. Налоговый режим не освобождает от 152-ФЗ. Объём требований такой же, как у ИП. Уведомлять РКН — да, нужно. Это редко проверяют, но штраф за неподачу — конкретно 100–300 тыс. ₽ для должностных лиц после изменений 2025 года.

Сценарий 4. Корпоративный сайт без форм, только информация

Если на сайте нет ни одной формы и не подключены аналитические скрипты — формально вы не обрабатываете ПД. Но как только вы поставили Яндекс.Метрику, появился счётчик визитов и cookies — вы стали оператором. Я ещё не видел в дикой природе сайтов компаний без Метрики, так что считайте это правилом.

Сценарий 5. Зарубежная компания, продающая в РФ

Если ваш сайт ориентирован на россиян (русскоязычная версия, рубли в цене, доставка в РФ), вы тоже обязаны соблюдать 152-ФЗ. Локализация базы данных в РФ — обязательна. Реальный пример: Booking.com попал под блокировку из-за невыполнения этого требования.

Штрафы в 2026 году

30 мая 2025 года вступил в силу 420-ФЗ, который радикально переписал статьи 13.11 и 13.11.1 КоАП. До этого штрафы были смешные — 5 000–75 000 ₽. После — это уже отдельная статья расходов, которая способна закрыть малый бизнес.

Особенно неприятно вот что: оборотный штраф считается от годовой выручки, а не от прибыли. Если у вас компания с оборотом 200 млн ₽ и низкой маржой, штраф в 6 млн ₽ может стать чистым убытком за квартал.

Кто и как штрафует

В деле о штрафе за 152-ФЗ участвуют три органа:

• Роскомнадзор (РКН) — основной регулятор. Возбуждает дела, выносит предписания, ведёт реестр операторов ПД.
• ФСТЭК России — отвечает за технические меры защиты ПД, проверяет, есть ли у вас модели угроз и сертифицированные средства защиты для ИСПДн высоких классов.
• ФСБ — занимается криптографией: если вы используете шифрование для защиты ПД, оно должно быть сертифицировано ФСБ.

Малый бизнес чаще всего видит только РКН. Но если у вас банковское направление, медицина, образование или госконтракты — ждите визита и ФСТЭК.

Что проверяется в аудите 152-ФЗ

За 16+ лет в IT я смотрел сайты под аудит десятки раз. Реальный чек-лист — это не 10 пунктов, а 30+. Привожу его так, как использую сам, без сокращений.

Блок 1. Документы (то, что должно быть опубликовано)

1. Политика конфиденциальности — публичная, доступна с любой страницы (обычно в футере).
2. Политика обработки ПД оператора (по ч. 2 ст. 18.1) — внутренний документ, часто прикладывается в политику.
3. Согласие на обработку ПД — отдельный документ или часть пользовательского соглашения.
4. Согласие на рассылку — отдельно, если делаете email-маркетинг.
5. Согласие на cookies — отдельно для аналитики и маркетинга, не общим чекбоксом.
6. Реквизиты оператора в политике: полное наименование, ИНН, юр. адрес, контакты ответственного.

Блок 2. Технические меры на сайте

7. HTTPS — обязательно. HTTP-сайт с формой заявки = автоматическое нарушение ч. 1 ст. 19.
8. Чекбокс согласия под каждой формой, не предзаполненный, с ссылкой на политику.
9. Cookie-баннер до загрузки трекеров (не «принять всё, потому что вы уже на сайте»).
10. Поля формы помечены звёздочкой, объяснено, какие данные обязательны.
11. Капча или другой anti-spam — не для красоты, а как часть мер защиты от автоматизированного сбора.
12. Логирование событий (хотя бы попыток входа в админку).

Блок 3. Хранение и локализация

13. База данных с ПД физически в РФ (ст. 18 ч. 5). Даже если вы используете AWS — должен быть отдельный инстанс в Yandex.Cloud, VK Cloud, SberCloud или похожих.
14. Резервные копии тоже в РФ.
15. Email-сервис, через который уходят письма клиентам, — российский (UniSender, SendPulse RU, или собственный сервер). Mailchimp и SendGrid не подходят.
16. CRM в РФ — Битрикс24, AmoCRM, Мегаплан. HubSpot и Salesforce — нет.
17. Если есть трансграничная передача (например, поддержка из-за рубежа), нужно отдельное уведомление в РКН по ст. 12.

Блок 4. Реестр операторов ПД

18. Уведомление подано в РКН (можно проверить на pd.rkn.gov.ru).
19. Анкета актуальна: при смене юр. адреса, целей обработки, состава ПД — обязаны подать изменения за 10 рабочих дней.
20. Указан весь состав ПД, который реально обрабатываете (часто пропускают cookie_id, IP, поведенческие данные).

Блок 5. Внутренние процессы

21. Приказ о назначении ответственного за обработку ПД (даже если это сам директор).
22. Положение об обработке и защите ПД — внутренний документ.
23. Перечень мест хранения и обработки ПД.
24. Перечень информационных систем персональных данных (ИСПДн) с уровнем защищённости.
25. Модель угроз — для ИСПДн от УЗ-3 и выше.
26. Журнал ознакомления сотрудников с положением о ПД.
27. Журнал согласий и обращений субъектов ПД.

Блок 6. Внешние интеграции и аналитика

28. Яндекс.Метрика — настроена с анонимизацией IP, есть в политике как обработчик.
29. Google Analytics — формально нарушает локализацию, я рекомендую снимать клиентам.
30. Пиксели соцсетей (ВК, Метрика-сегменты) — описаны в политике, активируются только после согласия.
31. Чат-боты, виджеты Jivo/Talk-Me — должны быть в реестре операторов как обработчики ПД.
32. Платёжные системы (ЮKassa, Точка-Банк) — упомянуты в политике как третьи лица.

Если вы прошли по всем 32 пунктам и поставили галочку — поздравляю, вы в группе примерно 5% сайтов рунета. Остальные 95% где-то нарушают. На правовом аудите 152-ФЗ мы как раз закрываем эти пункты системно.

Самопроверка vs профессиональный аудит

Самостоятельно за час можно проверить базовые вещи. Этого хватит, чтобы избежать самых частых штрафов. На что обратить внимание:

Если на 6 и более пунктов ответили «нет» или «не знаю» — пора заказывать аудит. Самостоятельно вы закроете базу, но не увидите системные проблемы: некорректную модель данных в политике, пропущенные процессы, неправильно классифицированную ИСПДн. Это как с медициной: померить давление дома можно, но диагноз ставит врач.

Что даёт профессиональный аудит, чего нет в самопроверке

• Сверка реального потока данных на сайте с тем, что написано в политике (часто расходится).
• Анализ всех внешних скриптов и определение, что они на самом деле собирают.
• Проверка серверной части — где лежат бэкапы, как настроены права доступа, есть ли журналирование.
• Сверка анкеты в РКН с фактическим составом данных.
• Подготовка пакета документов под текущие требования (политика, согласие, приказы, журналы).
• Письменное заключение с приоритезацией нарушений — что чинить срочно, что можно отложить.

Сколько стоит аудит и почему

Рынок 152-ФЗ-аудита в России очень неровный. Цены реально варьируются от 5 000 до 300 000 ₽ — и качество тоже. Я разбиваю предложения на три категории.

Реальный пример из практики: владелец интернет-магазина бытовой техники с базой 12 000 клиентов заказал «экспресс-аудит» за 7 000 ₽. Получил типовую политику с автозаменой названия компании, шаблон согласия. Через полгода — утечка через cron-скрипт, попавший в публичный gist. По ч. 12 ст. 13.11 — штраф 5 млн ₽. Оборотный штраф висел рядом, потому что повторная утечка случилась в течение года.

«Аудит за 7 тысяч — это не аудит, это типовые документы. Это полезно как минимум. Но если у вас есть база клиентов и реальные деньги в обороте, экономить на этом — то же самое, что покупать страховку ОСАГО, но без КАСКО на новый автомобиль».

На чём не стоит экономить

• На анализе реального потока данных. Шаблон политики ничего не стоит, если он не отражает то, что у вас на самом деле.
• На сверке с РКН. Уведомление, поданное 5 лет назад, скорее всего, уже не соответствует тому, что вы делаете.
• На обучении команды. Если менеджер по продажам каждый день сливает базу в свой личный Excel — никакой аудит не поможет.

Что делать, если уже нашли нарушения

Спокойно, без паники. Я видел сайты, где не было вообще ничего — ни политики, ни согласия, ни уведомления в РКН — и собственник через 2 недели работы выходил в чистый статус. Главное — последовательность.

Этап 1. Блокеры — закрываем в первые 24 часа

1. Опубликовать политику конфиденциальности. Если нет своей — взять отраслевую и адаптировать.
2. Добавить чекбокс согласия под каждой формой со ссылкой на политику.
3. Поставить cookie-баннер. Минимум — кнопки «Принять всё / Только необходимые». До нажатия — скрипты Метрики и пр. не запускаются.
4. Включить HTTPS. Сейчас бесплатный сертификат через Let's Encrypt ставится за 5 минут.

Эти четыре действия закрывают примерно 70% штрафных составов. Дальше уже можно работать в спокойном режиме.

Этап 2. Бюрократия — закрываем за неделю

1. Подать уведомление в РКН (форма на pd.rkn.gov.ru, обычно одобряют за 30 дней).
2. Издать приказ о назначении ответственного за обработку ПД.
3. Утвердить положение об обработке ПД (внутренний документ).
4. Завести журнал учёта согласий и обращений субъектов.

Этап 3. Инфраструктура — за месяц

1. Если хостинг за рубежом — переезд в РФ. Yandex.Cloud, Selectel, Reg.ru.
2. Перевод email-рассылок с Mailchimp на UniSender/SendPulse.
3. Замена Google Analytics на Яндекс.Метрику.
4. Настройка регулярных бэкапов в РФ.

Этап 4. Команда — постоянно

Самый сложный этап, потому что это не разовая задача. Сотрудники, которые имеют доступ к ПД клиентов, должны:

• Подписать NDA и обязательство о неразглашении ПД.
• Пройти инструктаж под подпись (журнал — обязательно).
• Иметь персональные учётки в CRM, а не общую «продажник_2025».
• Знать, как реагировать на запрос субъекта («хочу узнать, что вы про меня храните»).

Пример правильного согласия на ПД

Часто спрашивают: как сделать чекбокс под формой технически правильно, чтобы не было претензий. Минимальный HTML, который я использую на клиентских проектах:

<form action="/api/lead" method="POST">
  <input type="text" name="name" placeholder="Имя" required>
  <input type="tel" name="phone" placeholder="Телефон" required>

  <label class="consent">
    <input type="checkbox" name="consent" required>
    <span>
      Нажимая «Отправить», я даю
      <a href="/policy/consent.pdf" target="_blank">согласие на обработку
      персональных данных</a> на условиях
      <a href="/privacy_policy.html" target="_blank">Политики
      конфиденциальности</a>.
    </span>
  </label>

  <button type="submit">Отправить</button>
</form>

Три важные детали:

• required на чекбоксе — отправка без галочки физически невозможна, это и есть «активное действие» по требованию закона.
• Чекбокс не предзаполнен. Предзаполненная галочка = не согласие, а навязывание (ч. 1 ст. 9).
• Ссылки на политику и на текст согласия — раздельно. На больших проектах согласие хранится как отдельный PDF с реквизитами.

Частые вопросы (FAQ)

1. Нужно ли мне это, если у меня ИП на УСН без сотрудников?

Да. Налоговый режим и наличие сотрудников не имеют значения. Имеет значение только то, обрабатываете ли вы ПД. Если в форме на сайте есть имя или телефон — вы оператор и подпадаете под 152-ФЗ в полном объёме. Уведомление в РКН — обязательно.

2. Работает ли VPN или прокси для обхода требования локализации?

Нет. Закон требует физического хранения базы в РФ. Прокси-маршрутизация не решает вопрос: при проверке РКН запросит схему данных, и если БД лежит в Германии — никакой VPN не поможет. Прокси использовался до 2022 года для серых решений, сейчас это прямой риск.

3. У меня сервер в Германии — что делать?

Переносить базу в РФ. Сам сервер с приложением может быть где угодно, но мастер-копия персональных данных российских граждан должна храниться на территории РФ (ст. 18 ч. 5). Реплика может быть за рубежом — это не нарушение. Многие компании именно так и делают: основной хостинг в РФ, фронтенд на CDN за рубежом.

4. Нужно ли уведомлять РКН для лендинга с одной формой?

Да. Объём обработки не имеет значения. Хоть 1 заявка в год — вы оператор. Подача занимает 30–40 минут на pd.rkn.gov.ru, одобрение — обычно 14–30 дней. Стоит это ровно ноль рублей. Не подать = штраф 100–300 тыс. ₽.

5. Как часто нужно делать переаудит?

Базовая рекомендация — раз в год, если на сайте ничего не меняется. По факту переаудит нужен после любого из событий: запустили новую форму, поменяли CRM, поменяли хостинг, наняли подрядчика с доступом к ПД, поменялся юр. адрес. Каждое из этих событий — повод проверить, что анкета в РКН и политика актуальны.

6. Считается ли cookie_id персональными данными?

В большинстве случаев — да. Позиция РКН и судебная практика (например, дело LinkedIn 2016 года, дело Booking 2022) однозначные: если по cookie_id можно построить профиль человека и сопоставить с другими данными, это ПД. На практике любой современный аналитический скрипт делает именно это, поэтому cookies-баннер с активным согласием — обязателен.

7. Кто платит штраф за отсутствие согласия — компания или ответственный?

По КоАП штраф накладывается на юр. лицо, а одновременно — на должностное лицо (директора или назначенного ответственного). То есть и компания платит, и человек. Для малого бизнеса штраф для ЮЛ обычно в 3–5 раз больше штрафа для ДЛ. Для крупного — наоборот, разница ничтожна.

8. Может ли РКН прийти с внеплановой проверкой?

Может. Основания: жалоба субъекта ПД, утечка, попавшая в публичное поле, материалы автоматического сканирования Главрадиочастотного центра. Плановые проверки малого бизнеса с 2022 года в основном заморожены, но внеплановые — нет. И именно после жалобы клиента я видел больше всего реальных штрафов.

Выводы

152-ФЗ — это не про юристов в галстуках, а про базовую гигиену любого сайта. С 2025 года цена халатности выросла настолько, что игнорировать вопрос дороже, чем закрыть его за пару недель работы.

Если резюмировать всё в три шага:

1. Сегодня: пройдите чек-лист самопроверки за 60 минут. Закройте блокеры — политику, чекбокс, cookie-баннер, HTTPS.
2. На этой неделе: подайте уведомление в РКН, если ещё не подавали. Издайте приказ о назначении ответственного.
3. В этом месяце: закажите профессиональный аудит 152-ФЗ или правовой аудит для надёжности. Цена в десятки раз ниже минимального штрафа.

Если вопросы остались — напишите в Telegram, отвечу лично. Не из вежливости — реально интересно, что у людей на сайтах происходит. По итогу первой беседы обычно сразу видно, нужен ли полный аудит или достаточно правок на час.