• Tilda Education
    /
  • 152-ФЗ: Что делать владельцам сайтов, чтобы избежать штрафов
I'm available for business trips to other cities for projects lasting a month or longer.

Владельцам сайтов: изменения в законе о персональных данных

Как избежать штрафов и что нужно знать о новых поправках
7 октября 2025
12 минут
Никита Володин
Консультант консалтинговой компании Б-152
Владельцы сайтов, которые размещают на сайте формы обратной связи, используют системы аналитики, собирают номера телефонов, адреса электронной почты и другую информацию посетителей, обрабатывают персональные данные.

С 1 сентября 2022 года, а также с 1 марта 2023 вступили в силу поправки в закон № 152 «О персональных данных». Появились новые требования к Политике по обработке персональных данных и трансграничной передаче, то есть отправки персональных данных на территорию иностранного государства. Если владелец сайта не будет соблюдать эти требования, он может получить штраф. Их существует более 10 видов, а общая сумма штрафов может достигать 18 миллионов рублей.
Из статьи вы узнаете:

Кого будут штрафовать?

Операторов персональных данных. Это могут быть физические и юридические лица, которые собирают и обрабатывают персональные данные, например, электронные адреса для рассылки.
Определение из закона 152-ФЗ «О персональных данных»:

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что такое персональные данные?

Любые данные о человеке, по которым его можно идентифицировать. Точного перечисления таких данных в законе нет. Например, сведения о музыкальных предпочтениях человека без дополнительной информации ни о чём не говорят, а электронная почта — это уже персональные данные.
Определение из закона 152-ФЗ «О персональных данных»:

Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Часто используемые персональные данные

Бизнес получает персональные данные через формы, которые заполняют посетители сайта, и автоматически, без участия пользователя. В первом случае человек сам передаёт свои данные, например, для оформления заказа.
Чаще всего это:
  • email;
  • телефон;
  • имя, фамилия, отчество;
  • адрес;
  • дата рождения;
  • фотография;
  • ссылка на персональный сайт и профиль в соцсетях.
Автоматически персональные данные посетителей сайта собираются при помощи cookie. Cookie  это файл с данными, который сохраняется на компьютере пользователя после посещения сайта.
В куки могут храниться:
  • данные о местоположении человека;
  • IP-адрес;
  • информация о действиях на сайте;
  • добавленные в корзину товары и так далее.
Владельцы сайтов могут использовать файлы куки, например, для показа таргетированной рекламы или отправки напоминаний об оставленных в корзине товарах. Так как перечня персональных данных в законе нет, нельзя точно сказать, входят ли куки в понятие «персональных данных». Но на практике суды и Роскомназдор признают обработку информации, собираемой при помощи куки, обработкой персональных данных.

Я не обрабатываю персональные данные, а только собираю

Хранение и сбор тоже попадают под определение обработки. Даже если вы собираете данные и через пару минут удаляете, это будет считаться обработкой персональных данных.
Определение из закона 152-ФЗ «О персональных данных»:

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Как владельцам сайтов не нарушать закон об обработке персональных данных и избежать штрафов

1
Создайте политику обработки персональных данных и разместите её на отдельной странице сайта.
На сайте, где собираются данные пользователей, обязательно нужно разместить Политику обработки персональных данных. Это документ, в котором описано, какие именно данные и для какой цели вы собираете, как храните и обрабатываете, а также кому вы можете передавать эти данные.
Воспользуйтесь бесплатным Конструктором политики обработки персональных данных Tilda
Заполните поля и получите образец документа о конфиденциальности данных
Попробовать
Политика обязательно должна содержать:
  • ссылку на сайт, к которому она применяется;
  • ФИО или название организации, которая получает согласие посетителя сайта;
  • цели обработки персональных данных.
Целью может быть отправка пользователям рассылки или предоставление доступа к образовательным материалам. Если вы собираете cookie, это также нужно указать в политике как отдельную цель.
Для каждой цели укажите:
  • кто передаёт вам данные (категории субъектов персональных данных). Это могут быть посетители сайта, ваши сотрудники, кандидаты на вакансии;
  • категории и перечень данных о пользователях, которые вы получаете;
  • способы и сроки обработки и хранения данных,
  • порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Согласно части 3 статьи 13.11 кодекса РФ об административных правонарушениях за отсутствие политики обработки персональных данных на сайте можно получить штраф в размере от 30 до 60 тысяч рублей.
Пример Политики конфиденциальности магазина, размещенный на отдельной странице: paseldo.ru
2
Создайте политику обработки персональных данных и разместите её на отдельной странице сайта.
Политика должна быть доступна на каждой странице, где собираются данные пользователей. Удобнее всего добавить ссылку в подвал сайта: он одинаковый для всех страниц, поэтому при создании новой вы точно не забудете разместить на ней ссылку на политику.
Политики конфиденциальности в футере магазина: weaveatelier.ru
3
Под каждой формой сбора данных разместите предупреждающий текст о сборе персональных данных.
Под каждой формой сбора персональных данных добавьте уведомление о том, что вы собираете данные пользователей. Для этого разместите рядом с кнопкой чек-бокс, где пользователь сможет поставить галочку, и текст «Даю согласие на обработку своих персональных данных». Если на сайте есть пользовательское соглашение (оферта), добавьте на него ссылку в текст. Если нет — на отдельной странице сайта разместите текст согласия на обработку персональных данных и добавить на него ссылку под форму.
Пример чек-бокса для получения от пользователя Согласия на обработку персональных данных
В согласии на обработку персональных данных должны быть:
  • наименование или ФИО и адрес оператора, получающего согласие;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых пользователь даёт согласие;
  • перечень действий с персональными данными и способы их обработки;
  • если вы поручаете обработку персональных данным сторонним лицам или компаниям, укажите их адрес, наименование или ФИО;
  • срок, в течение которого действует согласие, а также способ как можно его отозвать.
Обработка персональных данных пользователей без их согласия наказывается штрафом в размере от 300 до 700 тысяч рублей за первое нарушение и от 1 до 1,5 миллиона рублей — за повторное. (ст. 13.11 КоАП РФ).
В Тильде в каждом блоке с формой сбора данных есть поле, в котором можно разместить текст о согласии на обработку данных и ссылку на соглашение и таким образом выполнить требование закона.
Делаем форму обратной связи: инструкция, советы, примеры
Разбираем, как сделать форму обратной связи, чтобы получить заявки с сайта.
Читать
4
Показывайте всем новым пользователям сайта предупреждение о том, что вы собираете cookie.
Файлы cookie считаются персональными данными, поэтому всем новым посетителям сайта нужно показывать уведомление об их сборе, и получить на это согласие. Для этого на баннере добавьте кнопку «согласен» или пропишите в тексте предупреждения, например: «используя сайт, вы предоставляете согласие на обработку ваших персональных данных с помощью сервисов веб-аналитики». В текст добавьте ссылку на политику обработки персональных данных. Если пользователь не хочет, чтобы эти его данные обрабатывались, он должен покинуть сайт.
5
Подайте уведомление, чтобы внести компанию в реестр операторов персональных данных Роскомнадзора.
Владелец сайта должен уведомить РКН об обработке персональных данных. Это можно сделать на портале персональных данных. Если оператор уже подал такое уведомление — это нужно сделать заново по новой форме, утверждённой Приказом Роскомнадзора от 28.10.2022 № 180.
В законе есть три исключения, когда можно не подавать уведомление:
  • когда обрабатываемые данные включены в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • когда данные обрабатываются в рамках исполнения законодательства по устойчивому функционированию транспорта и обеспечению безопасности там;
  • когда персональные данные обрабатываются без использования средств автоматизации — только на материальных носителях.
6
Создайте регламент ответов на запросы посетителей сайта.
Пользователи могут запрашивать у владельцев сайта, для каких целей собирают их данные, как они обрабатываются и где хранятся. У компании есть 10 рабочих дней на ответ. Подготовьтесь к таким запросам заранее и закрепите во внутренних документах срок ответа.
Человек вправе потребовать прекратить обработку персональных данных — оператор обязан это сделать также в течение 10 дней.
Если компания проигнорирует запрос пользователя или ответит после окончания положенного срока, её оштрафуют на сумму от 40 до 80 тысяч рублей.
С 1 сентября 2022 года пользователь имеет право не предоставлять персональные данные, которые не нужны для исполнения договора. Например, покупатель оформляет доставку в пункт выдачи, а вы запрашиваете домашний адрес — человек может не предоставлять эти данные. Если вы откажете пользователю в доставке, то есть в исполнении договора, он вправе потребовать объяснение. В таком случае необходимо ответить: на письменный запрос — в течение 7 дней, на устный — незамедлительно.
Как сделать эффективную распродажу в интернет-магазине
Рассказываем, как подготовиться к Чёрной пятнице, не потерять клиентов во время акции и подвести итоги.
Читать
Это изменение будет особенно актуально для владельцев интернет-магазинов, поэтому им необходимо:
  • определить, какие персональные данные обязательны для исполнения договора купли-продажи, чаще всего это публичная оферта на сайте;
  • обосновать, зачем обрабатывается такое количество персональных данных;
  • исключить из оферты сбор данных, которые не используются для исполнения договора.
Выше мы рассказали о действиях, которые необходимо выполнить всем владельцам сайтов, чтобы избежать штрафов. Далее расскажем о том, что актуально для тех, кто передаёт данные на территорию иностранного государства, или поручает обработку данных третьим лицам.
7
Подайте уведомление в РКН о трансграничной передаче персональных данных.
Трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства: органу власти, иностранному физическому или юридическому лицу.
Например, если компания помогает найти обучение за рубежом, для этого получает данные граждан России и передаёт их в иностранные школы, это считается трансграничной передачей. К ней также относится использование сервисов, чьи базы данных расположены за границей (Mailchimp, Notion, Zoho CRM, Trello и другие).
С 1 марта 2023 года до начала трансграничной передачи нужно подать уведомление в РКН. Если после подачи уведомления прошло 10 рабочих дней и вы не получили ответ — можно осуществлять такую передачу. Ответ придёт только в случае запрета или ограничения передачи данных иностранному оператору.

Если вы ранее подали уведомление о трансграничной передаче, повторно отправлять его не нужно.
Также проверьте, в какие страны вы планируете передавать данные. Все страны мира, в соответствии с Приказом Роскомнадзора, делятся на обеспечивающие «адекватную» защиту персональных данных и не обеспечивающие. К странам, обеспечивающим адекватную защиту персональных данных, относятся Болгария, Польша, Литва, Словения и другие подписанты Евроконвенции, а также отдельные страны по приказу Роскомнадзора. К «неадекватным» — все остальные.
8
Проверьте поручение на обработку персональных данных.
Если вы поручаете обработку персональных данных другой компании, это должно быть прописано в договоре с ней. Поручать обработку можно, например, маркетинговым агентствам или дата-центрам — чаще всего это компании, которые работают на аутсорсе.
В тексте поручения на обработку персональных данных нужно прописать:
  • перечень персональных данных;
  • все планируемые с ними действия;
  • цели обработки персональных данных;
  • гарантии соблюдения конфиденциальности и безопасности персональных данных;
  • обязанность обработчика по запросу оператора предоставлять сведения о соблюдении требований конфиденциальности и безопасности;
  • обязанность обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных на территории РФ;
  • все требования к защите персональных данных, содержащиеся в ст. 18 и ст. 19 ФЗ № 152.
Отсутствие поручения в договоре с подрядчиком может привести к штрафу — от 100 до 300 тысяч рублей за первое нарушение, и от 300 до 500 тысяч рублей — за повторное.

Что еще нужно сделать, если вы — юрлицо

Выше назвали главные требования, которые Роскомнадзор предъявляет ко всем сайтам — неважно, физическое вы лицо или юридическое. Ниже еще несколько групп требований, которые должны дополнительно выполнять юридические лица.

Что нужно еще сделать компаниям:

1
Назначить ответственных лиц и разработать пакет внутренних документов, регламентирующих процессы обработки и защиты персональных данных.
Список необходимых нормативных документов по защите персональных данных.
2
Подписать с сотрудниками согласие на обработку персональных данных и под роспись ознакомить их с внутренними документами по персональным данным.
3
Защитить персональные данные техническими и организационными мерами.
Установить антивирусные системы, средства межсетевого экранирования, разграничить права доступа. Всё это прописано в приказе № 21 Федеральной службы по техническому и экспортному контролю.
Межсетевой экран
 — это устройство или программное решение, которое контролирует сетевой трафик между разными сегментами сети и блокирует его при подозрении на вторжение или угрозу заражения.
С 30 мая 2025 года Роскомнадзор начал штрафовать за утечки персональных данных в размере до 15 млн рублей, а при повторных утечках — в размере до 3% от годовой выручки, но не менее 20 млн рублей.
4
Если произошла утечка персональных данных, оператор теперь обязан в течение 24 часов уведомить РКН.
Сообщить предполагаемые причины утечки и оценить вред. Затем в течение 72 часов провести расследование инцидента и сообщить о его результатах. С 30 мая 2025 года невыполнение или несвоевременное выполнение обязанности по уведомлению РКН наказывается штрафом в размере от 1 до 3 миллионов рублей.
ФЗ-54: как предпринимателю
перейти на онлайн-кассу
Собрали всё, что нужно знать про изменения в законе об онлайн-кассах.
Читать

Чек-лист для владельцев сайта

1
Определите, какие персональные данные собираются на сайте.
2
Проверьте, добавлена ли на сайт политика обработки персональных данных и актуализируйте её содержание в соответствие с требованиями федерального закона «О персональных данных».
3
Добавьте ссылку на политику обработку персональных данных в подвал сайта.
4
Проверьте, чтобы под формами сбора персональных данных на сайте был чек-бокс с предупреждающим текстом о том, что пользователь соглашается на обработку персональных данных. В тексте должна быть ссылка на пользовательское соглашение или согласие на обработку персональных данных.
5
Разместите на сайте уведомление об использовании cookie.
6
Если вы не подали уведомление об обработке персональных данных в реестр операторов — сделайте это.
7
Разработайте регламент реагирования на запросы пользователей и проведите тренинг для сотрудников, обрабатывающих персональные данные.
8
Если у вас интернет-магазин, проверьте содержание оферты и формы на предмет «избыточных» персональных данных.
9
Если вы планируете осуществлять трансграничную передачу персональных данных — подайте уведомление в РКН.
10
Если вы юрлицо — разработайте пакет внутренних документов по защите персональных данных, подпишите согласие с сотрудниками на обработку персональных данных, защитите данные необходимыми мерами.
Читайте также:
Что такое контекстная реклама: просто и коротко для новичков
Теория архетипов в брендинге и дизайне
УТП: что это такое и как создать
Маркировка рекламы в интернете 2025: подробная инструкция
Аудит сайта бесплатно: пошаговая инструкция от эксперта
Как повысить конверсию в продажу с сайта с помощью чат-бота
Разработка контент-стратегии: пошаговая инструкция
Оптимизация сайта под контекстную рекламу
Квиз для сайта: как сделать маркетинговый квиз в конструкторе Tilda
Увеличение конверсии лендинга с помощью скрипта Simple Metrics
Как наказать пиратов и что делать, если ваш сайт украли
Как защитить контент от копирования: защищаем авторские права на сайт
Показать больше
Дизайн в цифровой среде
Теоретический курс Никиты Обухова по веб-дизайну
Перейти на страницу курса
Интернет-маркетинг с нуля
Курс, который научит вас продвигать свой сайт
Перейти на страницу курса