152-ФЗ · Простым языком

152-ФЗ «О персональных данных» простым языком

Что регулирует закон

152-ФЗ определяет правила обработки персональных данных — любой информации, которая прямо или косвенно относится к конкретному человеку: имя, email, телефон, IP-адрес, файлы cookie с уникальным идентификатором. Если сайт собирает хотя бы один из этих типов данных — через форму заявки, чат, регистрацию или счётчик аналитики — он становится оператором персональных данных и обязан соблюдать закон.

Кто обязан соблюдать

Требования распространяются на любой сайт с формами обратной связи, регистрацией, корзиной заказа, чатом с менеджером или счётчиками аналитики (Яндекс.Метрика, Google Analytics и подобные). Размер компании, форма собственности и посещаемость сайта значения не имеют — обязанности одинаковы для интернет-магазина и для сайта-визитки с одной формой «Оставить заявку».

Что чаще всего нарушают

Cookie-баннер оформлен неправильно

Баннер либо отсутствует вовсе, либо не позволяет отказаться от необязательных cookie до того, как аналитика уже начала собирать данные.

Чекбокс согласия отмечен по умолчанию

Пользователь должен сам поставить галочку «Согласен на обработку персональных данных» — преотмеченный чекбокс не считается действительным согласием.

Данные передаются за рубеж без уведомления

Зарубежные сервисы аналитики и рекламные пиксели нередко отправляют данные посетителей на серверы за пределами РФ — это требует отдельного уведомления и правового основания.

Политика конфиденциальности отсутствует или устарела

Документ должен быть доступен по ссылке с любой страницы сайта и отражать реальный набор собираемых данных — типовой шаблон «из интернета» без адаптации под конкретный сайт формально не защищает от штрафа.

Не подано уведомление в Роскомнадзор

Большинство операторов, ведущих автоматизированную обработку персональных данных, обязаны уведомить об этом РКН до начала обработки.

Права субъекта персональных данных

  • Получать информацию о целях и способах обработки своих данных
  • Требовать исправления неточных данных
  • Отозвать согласие на обработку в любой момент
  • Требовать удаления данных, если законных оснований для их хранения больше нет

Что грозит за нарушение

Штрафы по ст. 13.11 КоАП РФ зависят от конкретного нарушения — от 30 000 ₽ за отсутствие политики конфиденциальности до нескольких миллионов за утечку данных большого числа пользователей.

НарушениеСтатьяЮрлица
Отсутствие политики персональных данных13.11 ч.330 000 – 60 000 ₽
Обработка без письменного согласия13.11 ч.2300 000 – 700 000 ₽
Не подано уведомление в РКН13.11 ч.10100 000 – 300 000 ₽

Полная таблица штрафов — все 18 составов →

Материал носит информационный характер и не является юридической консультацией.

Вопросы

Частые вопросы

Нужно ли согласие, если сайт использует только счётчик аналитики?+
Да. Счётчики вроде Яндекс.Метрики или Google Analytics присваивают посетителю уникальный идентификатор — это уже персональные данные, и на их обработку требуется законное основание.
Распространяется ли закон на B2B-сайты без клиентских форм?+
Если на сайте нет ни одной формы, чата или счётчика, собирающего данные посетителей, требования 152-ФЗ формально не применимы — но такие сайты сегодня редкость.
Как часто нужно обновлять политику конфиденциальности?+
При каждом изменении набора собираемых данных или добавлении нового сервиса-обработчика (например, новой CRM или платёжной системы).
Обязательно ли хранить данные российских пользователей на серверах в РФ?+
Да, для большинства операторов действует требование о первичной записи, систематизации и хранении персональных данных россиян на серверах, расположенных в России.

Проверьте, соответствует ли ваш сайт 152-ФЗ

Бесплатный автоматический анализ за несколько минут.