Большинство сайтов не готовы к новым требованиям 152-ФЗ «О персональных данных». Как исправить?

7 шагов для проверки сайта на соответствие требованиям 152-ФЗ «О персональных данных»

Только 4% сайтов полностью соответствуют требованиям закона. Большинство сайтов несут потенциальные финансовые риски от 200 тыс. руб до 6 млн. рублей.

Шаг 1. Локализация сайта

Убедитесь, что ваш сайт находится на территории Российской Федерации.

Штраф: от 1 млн. до 6 млн рублей (ч.8 ст. 13.11 КоАП РФ).

Шаг 2. Cookie-баннер

Если сайт использует cookie-файлы, то необходимо" ' указать это в локальных-нормативных актах. ' разместить предупреждающий баннер для посетителей.

Штраф: Отсутствие баннера: для ИП от 10 до 20 тыс. рублей, для юридических лиц от 60 до 100 тыс. рублей (при повторном нарушении — 100–300 тыс. рублей, ч.1 ст. 13.11 КоАП РФ).

Шаг 3. Метрические программы

Использование метрик (например, Яндекс.Метрика, коллтерккинг) должно быть отражено в «Политике обработки персональных данных».

Шаг 4. Сервисы Google

Использование Google-сервисов (Analytics, почта, формы) может считаться трансграничной передачей данных и нарушением локализации.

Штраф: от 1 млн. до 6 млн руб. (ч. 8 ст. 13.11 КоАП РФ). Отключите Google Analytics и перейдите на российские аналоги.

Шаг 5. Формы сбора персональных данных

Что считается персональными данными?

С точки зрения 152-ФЗ «О персональных данных», персональные данные – это любая информация (email, ФИО, телефон, их сочетание), позволяющая идентифицировать лицо.

Виды форм сбора персональных данных:

• заявка на консультацию;
• обратный звонок;
• форма обратной связи, отзыв;
• форма регистрации;
• подписка на рассылку;

Требования к формам:

1. Под каждой формой должны быть размещен «чек-бокс» со ссылкой на:

• согласие на обработку персональных данных;
• политику конфиденциальности.

1. Чек-бокс для согласия должен быть не предустановленным — посетитель ставит галочку сам.

Штраф: Отсутствие документов: для ИП от 10 до 20 тыс. рублей, для юрлиц от 60 до 100 тыс. рублей (при повторном нарушении — 100 300 тыс. рублей, ч.1 ст. 13.11 КоАП РФ).

С 30 мая 2025 года увеличены штрафы за обработку персональных данных без согласия:

• для должностных лиц и ИП — от 50 тыс. до 100 тыс. руб.
• для юридических лиц — от 150 тыс. до 300 тыс. руб.

Шаг 6. Политика обработки персональных данных / Политика конфиденциальности

Документ должен быть размещён в открытом доступе:

• под формами сбора данных;
• в «подвале» сайта.

Убедитесь, что документ размещен на вашем сайте, что его легко найти, ссылка рабочая и ведет на корректный документ.

Штраф: Отсутствие политики: для ИП от 10 до 20 тыс. рублей, для юрлиц 30 до 60 тыс. рублей.

Документ «Политика обработки персональных данных» должен содержать следующую информацию:

• данные об Операторе персональных данных;
• цели обработки персональных данных;
• правовые основания обработки персональных данных;
• перечень мер, принимаемых Оператором и направленных на обеспечение выполнения Оператором обязанностей, предусмотренных 152-ФЗ
• информацию о передаче Оператором персональных данных третьим лицам с указанием правового основания, цели, состав передаваемых персональных данных (при осуществлении передачи)
• информацию о метрических программах и cookie-файлах

Шаг 7. Размещение фотографий сотрудников на сайте

Штраф: Отсутствие согласия: от 60 до 100 тыс. рублей за каждого сотрудника (ч.1 ст. 13.11 КоАП РФ). Штрафы суммируются.

Убедитесь, что с сотрудниками, чьи фотографии размещены на сайте, подписаны письменные согласия на распространение персональных данных.

Разместите текст: «Персональные данные опубликованы на сайте в соответствии с ч.1 ст.6 и ст. 10.1 152-ФЗ. Обработка запрещена неограниченным кругом лиц».