Статья · 152-ФЗ

Что нужно сайту по 152-ФЗ: чек-лист из 12 пунктов и штрафы за каждый

Обновлено: июнь 2026 Автор: ИТ-юрист AuditPortal Чтение: 9 минут

Роскомнадзор перешёл от предупреждений к штрафам, а проверка почти всегда начинается с публичной части — вашего сайта. Ниже — практический чек-лист из 12 пунктов: что должно быть на сайте по 152-ФЗ, на какую норму это опирается и сколько стоит каждое нарушение для ИП и юрлица в 2026 году.

Что в статье
  1. Кого касается 152-ФЗ
  2. Документы и согласия (1–3)
  3. Регистрация и защита (4–6)
  4. Данные и их хранение (7–9)
  5. Особые случаи и витрина (10–12)
  6. Таблица штрафов
  7. Как проверить сайт за минуту

Кого касается 152-ФЗ — включая ИП и самозанятых

Закон распространяется на любого, кто собирает данные граждан: ФИО, телефон, email, адрес, IP-адрес, cookies. Если на сайте есть хотя бы одна форма — заявка, обратная связь, подписка, заказ — или счётчик аналитики, вы по ст. 3 152-ФЗ становитесь оператором персональных данных со всеми обязанностями. Организационно-правовая форма роли не играет: требования одинаковы для ООО, ИП и самозанятого, отличается лишь размер штрафа.

Частое заблуждение — «мы данные только храним, не используем». По ст. 3 хранение само по себе является обработкой, поэтому соблюдать закон нужно в полном объёме.

Блок 1. Документы и согласия

1
Политика обработки персональных данных — опубликована и доступна

Документ обязателен по ч. 2 ст. 18.1 152-ФЗ и должен открываться с любой страницы, где собираются данные (обычно ссылка в подвале и под формами). Важно не просто наличие файла, а его содержание: политика должна реально описывать ваши цели и состав обрабатываемых данных. Шаблон «для галочки», не совпадающий с тем, что собирает сайт, Роскомнадзор не засчитывает.

Нет политики или недоступна (ст. 18.1): ИП — 10 000–20 000 ₽, ЮЛ — 30 000–60 000 ₽
2
Согласие в каждой форме — отдельным непреднажатым чекбоксом

Сбор данных без правового основания нарушает ст. 6 и ст. 9 152-ФЗ. С 1 сентября 2025 года требования ужесточили: согласие на обработку нельзя «прятать» в общем тексте и нельзя совмещать в одной галочке несовместимые цели. Чекбокс должен быть не преднажат, отправку формы без него нужно блокировать, а согласие на ПДн — отделять от согласия на рекламную рассылку.

Обработка без законного основания (ст. 6): ЮЛ — 300 000–700 000 ₽
3
Cookie-баннер с реальным правом отказа

Отдельной статьи «про cookies» в законе нет, но cookies, позволяющие идентифицировать посетителя, считаются персональными данными — а значит, на них распространяется требование о согласии. Роскомнадзор смотрит на фактический механизм: баннер должен давать активный выбор (принять / отклонить), а не просто уведомлять. Скрытая кнопка «Отклонить» и преднажатые галочки — типичная ошибка. Не переносите сюда логику GDPR: она в России неприменима напрямую.

Квалифицируется по ст. 6 / ст. 9 — как нарушение порядка обработки

Блок 2. Регистрация и защита

4
Уведомление в Роскомнадзор подано

До начала обработки оператор обязан уведомить Роскомнадзор (ст. 22 152-ФЗ). После изменений, действующих с 30 мая 2025 года, прежние исключения практически отменены — уведомление теперь обязаны подавать почти все, включая ИП и самозанятых с сайтом-визиткой. Проверить себя можно в реестре операторов на портале Роскомнадзора; подать уведомление — через Госуслуги.

Неуведомление (ст. 22): ДЛ — 30 000–50 000 ₽, ЮЛ — 100 000–300 000 ₽
5
Назначен ответственный за организацию обработки ПДн

Для юрлиц по ст. 22.1 нужен внутренний приказ о назначении ответственного. Не путайте его с ответственным за безопасность (это роль из требований по защите). Для ИП без сотрудников отдельный приказ обычно не требуется, но политика и согласия — обязательны.

Отсутствие ответственного (ст. 22.1): ДЛ — 50 000–100 000 ₽
6
HTTPS и меры защиты данных

Оператор обязан принимать организационные и технические меры защиты (ст. 19 152-ФЗ). Минимум для сайта — действующий сертификат HTTPS на всех страницах с формами; уровень защищённости информационной системы определяется по ПП РФ № 1119 (для большинства корпоративных сайтов — 3-й или 4-й). Передача данных формы по открытому HTTP — прямое нарушение.

Несоблюдение мер защиты (ст. 19): ЮЛ — 25 000–50 000 ₽

Блок 3. Данные и их хранение

7
Данные россиян хранятся на серверах в России (локализация)

Первичный сбор и хранение персональных данных граждан РФ должны происходить в базах на территории России (ч. 5 ст. 18 152-ФЗ, 242-ФЗ). С 1 июля 2025 года прямо запрещена схема «собираем за рубежом, потом реплицируем в РФ». Это один из самых дорогих пунктов.

Нарушение локализации (ст. 18 ч. 5): ЮЛ — 1 000 000–6 000 000 ₽, повторно — до 18 млн ₽
8
Контроль трекеров и трансграничной передачи

Иностранные счётчики и пиксели (Google Analytics и др.) Роскомнадзор рассматривает как трансграничную передачу данных. Такая передача требует отдельного уведомления, а в ряде случаев — письменного согласия субъекта (ст. 12 152-ФЗ). Минимум — знать, какие счётчики стоят на сайте и куда уходят данные.

Трансграничная передача без уведомления (ст. 12): ЮЛ — 1 000 000–3 000 000 ₽
9
Работает механизм прав субъекта: отзыв, уточнение, удаление

У человека должна быть реальная возможность отозвать согласие, потребовать уточнить или удалить свои данные (ст. 14, ст. 21 152-ФЗ). На практике это контактный адрес для таких обращений и регламент ответа. Игнорирование запроса об удалении — отдельный состав.

Невыполнение требований субъекта (ст. 21): ЮЛ — 50 000–90 000 ₽, повторно — до 500 000 ₽

Блок 4. Особые случаи и юридическая витрина

10
Особые правила для спецкатегорий и биометрии

Если сайт обрабатывает данные о здоровье, политических или религиозных взглядах (спецкатегории, ст. 10) либо фото/сканы для распознавания (биометрия, ст. 11) — действуют усиленные требования и письменное согласие. Это самые высокие штрафы в законе, поэтому такие данные собирают только при крайней необходимости.

Спецкатегории (ст. 10): ЮЛ до 15 млн ₽ · Биометрия (ст. 11): ЮЛ до 20 млн ₽
11
Юридическая витрина: оферта, реквизиты, цены

Для интернет-магазинов и сайтов услуг к 152-ФЗ добавляются требования ЗоЗПП: публичная оферта, реквизиты продавца, полная информация о товаре и цена в рублях. А любая реклама «лучший / №1 / гарантия» и маркетинговые баннеры подпадают под ФЗ-38 «О рекламе» с маркировкой и токеном ERID. Формы заказа при этом остаются сбором ПДн — требования складываются.

Нарушение прав потребителей и рекламы — отдельные составы КоАП (ст. 14.8, ст. 14.3)
12
Документы актуальны и совпадают с реальностью сайта

Роскомнадзор сверяет документы с тем, что фактически происходит на сайте. Политика, в которой указаны цели, не совпадающие с формами, или устаревшие согласия (без правок 2025 года) — это нарушение, даже если файлы формально есть. Документы нужно поддерживать в актуальном состоянии: законодательство по ПДн в 2024–2025 годах менялось быстро.

Несоответствие документов — квалифицируется по соответствующим статьям выше
Не хотите проверять 12 пунктов вручную?Бесплатный авто-аудит за 60 секунд покажет, что из чек-листа на вашем сайте нарушено — со ссылками на статьи и суммами штрафов.
Проверить сайт бесплатно

Таблица: нарушение → норма → штраф

Штрафы суммируются: отсутствие политики, неуведомление РКН и некорректные согласия на одном сайте складываются в сумму, кратно превышающую любую из строк ниже. Для ИП штраф по большинству «серьёзных» составов рассчитывается как для юридического лица.

НарушениеНормаШтраф для ЮЛ (и ИП)
Нет политики обработки ПДнст. 18.1 · ст. 13.11 ч. 3 КоАП30 000–60 000 ₽
Обработка без законного согласияст. 6 · ст. 13.11 ч. 1–2 КоАП300 000–700 000 ₽
Не подано уведомление в РКНст. 22 · ст. 13.11 ч. 10 КоАП100 000–300 000 ₽
Не приняты меры защиты (нет HTTPS)ст. 19 КоАП25 000–50 000 ₽
Нарушение локализации данных в РФст. 18 ч. 5 · ст. 13.11 ч. 8 КоАП1–6 млн ₽ (повторно до 18 млн)
Трансграничная передача без уведомленияст. 12 · ст. 13.11 ч. 11 КоАП1–3 млн ₽
Утечка персональных данныхст. 7, 19 · оборотные штрафы (с 30.05.2025)от 3 млн до 500 млн ₽
Незаконное использование чужих ПДнст. 272.1 УК РФуголовная ответственность, до 10 лет

Полные тексты норм, диапазоны для граждан и должностных лиц и примеры нарушений — в разборе 152-ФЗ и КоАП в нашей правовой базе.

Важно про даты

Суммы и требования приведены по состоянию на июнь 2026 года с учётом изменений 2025-го (отдельные согласия по целям — с 01.09.2025, оборотные штрафы за утечки — с 30.05.2025, запрет схемы «зарубеж → реплика в РФ» — с 01.07.2025). Законодательство по персональным данным меняется быстро — перед решениями сверяйтесь с действующей редакцией.

Как проверить свой сайт за минуту

Пройти все 12 пунктов вручную — это часы работы и риск пропустить то, что видно только в коде (тип cookie-баннера, реальная блокировка формы без согласия, иностранные трекеры). Автоматический аудит AuditPortal проверяет сайт по этому чек-листу и ещё нескольким десяткам критериев из 29 законов, сверяет ИНН в реестре операторов Роскомнадзора и показывает результат сразу на экране — бесплатно и без регистрации. Что увидит проверяющий, можно посмотреть на примере юридического заключения.

Проверьте сайт глазами РоскомнадзораБалл соответствия, число нарушений и размер штрафа — за 60 секунд.
Запустить бесплатный аудит

Коротко — частые вопросы

Нужно ли соблюдать 152-ФЗ простому сайту-визитке? Да, если есть хотя бы одна форма или счётчик аналитики — вы уже оператор.

Обязан ли ИП подавать уведомление в Роскомнадзор? Да, после изменений с 30 мая 2025 года — практически всегда; штраф за неуведомление до 300 000 ₽.

Какой максимальный штраф? За локализацию — до 6 млн ₽ (повторно до 18 млн), за утечку — оборотный до 500 млн ₽, плюс уголовная ответственность по ст. 272.1 УК.

Читайте также в правовой базе
Материал подготовлен ИТ-юристами AuditPortal (оператор — ИП Друкер Павел Михайлович, ИНН 773770789601). Мы проводим юридический аудит сайтов на соответствие законодательству РФ.

Статья носит справочно-информационный характер и не является юридической консультацией. Применимость конкретной нормы к вашему сайту определяет специалист в рамках полного аудита.