Легальный сайт в 2026: персональные данные, политика, согласия и уведомление в Роскомнадзор для владельца сайта

Краткий ответ

Если на сайте есть форма заявок, онлайн-запись, оплата или кнопка в мессенджер — вы оператор персональных данных по 152-ФЗ. Чтобы Роскомнадзор не прислал требование об устранении нарушений, на сайте нужны четыре вещи: политика конфиденциальности под ваш реальный бизнес, согласие пользователя под каждой формой, оферта (если сайт продаёт) и уведомление в Роскомнадзор о начале обработки. Размер бизнеса значения не имеет — ИП с одной формой обратной связи и интернет-магазин с миллионом заказов попадают под один и тот же закон. Дальше разберём, что должно быть в каждом документе, как подать уведомление в РКН и что делать, если требование уже пришло.

Оглавление

• Что значит «легальный сайт» в 2026 году и как ситуация изменилась
• Кто оператор персональных данных: ИП, самозанятый, ООО и владелец сайта с формами
• Что считается персональными данными на сайте: ФИО, телефон, email, IP, cookie и мессенджеры
• Какие документы должны быть на сайте: 4 ключевых элемента
• Политика конфиденциальности для сайта: что должно быть внутри и где её разместить
• Согласие на обработку персональных данных: почему чекбокса под формой недостаточно
• Согласие на распространение ПДн: отзывы, кейсы и фото клиентов
• Уведомление в Роскомнадзор: кому из ИП и микробизнеса оно нужно
• Как подать уведомление в Роскомнадзор пошагово
• Уведомление в РКН не подавали: что делать действующему сайту
• Как Роскомнадзор работает с нарушителями: требование, срок, штраф
• Штрафы за нарушение 152-ФЗ в 2026 году
• 152-ФЗ для ИП и микробизнеса: что нужно владельцу сайта с формой
• Cookie, Яндекс Метрика и пиксели: отдельная зона риска
• Оферта на сайте: для кого она нужна и как защитить себя как исполнителя
• Политика, оферта и пользовательское соглашение: чем отличаются три документа
• Шаблонная политика из интернета: 5 типичных дыр
• Чек-лист «Легальный сайт» за 5 минут: 10 вопросов
• Как работает наш сервис автоматической проверки сайта
• Когда хватает пакета за 14 000 ₽, а когда нужен расширенный за 20 000 ₽
• Частые вопросы клиентов перед подачей в РКН
• Источники и нормативная база
• Что делать прямо сейчас, если у вас есть сайт с формой

Обновлено 2026-05-16. Статья учитывает изменения в КоАП РФ после 420-ФЗ от 30.11.2024 года и новые суммы штрафов, действующие с 30 мая 2025 года. Если читаете в 2027 году и позже — суммы и составы рекомендуем сверить с актуальной редакцией КоАП.

Что значит «легальный сайт» в 2026 году и как ситуация изменилась

«Легальный сайт» — это короткое имя для довольно длинного состояния: на сайте есть всё, что закон требует от того, кто собирает и обрабатывает персональные данные пользователей. Никакая отдельная справка или сертификат «легального сайта» в России не выдаётся — этот термин используем мы и юристы как рабочую упаковку для понятного списка обязательств.

До 2025 года в нише было относительно тихо. Роскомнадзор проверял в основном крупные базы, утечки и громкие истории. С 30 мая 2025 года ситуация изменилась — вступили в силу поправки к КоАП РФ из федерального закона № 420-ФЗ от 30.11.2024. Штрафы за нарушения 152-ФЗ выросли в 10–60 раз, появились новые составы — отдельные штрафы за невыполнение требования Роскомнадзора и оборотные штрафы за утечки персональных данных.

После этого в нашу практику пошли запросы нового типа. До 2025 года клиенты приходили с вопросом «нужны ли мне эти документы». В 2026 году чаще всего звонят и пишут так: «У меня пришло требование из Роскомнадзора, дали 30 дней на устранение, что делать». Сайт работает, заявки шли, всё было нормально — и вдруг конкретное письмо с перечнем нарушений и сроком.

Под «легальный сайт» в 2026 году мы понимаем простой набор:

• сайт работает и собирает заявки, записи, оплаты или контакты;
• документы (политика, согласия, оферта) соответствуют тому, что реально происходит на сайте, а не написаны под усреднённую компанию из шаблона;
• уведомление о начале обработки персональных данных подано в Роскомнадзор, если это применимо к вашему случаю;
• между тем, что обещают документы, и тем, что видит пользователь на сайте, нет противоречий — иначе при первой же проверке всплывут несостыковки.

Главный сдвиг 2025–2026 годов: проверять стали микро- и малый бизнес тоже, а не только крупные базы. К нам в работу приходили сайты на 50–100 посетителей в месяц с реальными требованиями от РКН. Размер бизнеса значения не имеет — закон одинаковый для всех, кто собирает персональные данные.

Кто оператор персональных данных: ИП, самозанятый, ООО и владелец сайта с формами

Оператор персональных данных — это лицо, которое организует или осуществляет обработку персональных данных, определяет цели обработки и состав данных. Простыми словами — тот, кто решает, что собирать с пользователей, зачем и что с этим потом делать. Определение — статья 3 152-ФЗ «О персональных данных».

Когда человек открывает ваш сайт и оставляет имя в форме обратной связи, оператором становится тот, чьи это организационные решения. Если ИП решил поставить форму на сайт — он же стал оператором. Если ООО — ООО оператор. Если сайт принадлежит самозанятому фотографу — оператором становится физическое лицо в статусе самозанятого. Платформа сайта (Tilda, WordPress, Bitrix) сама по себе оператором не становится — она лишь предоставляет инструменты, аналогично хостингу или электронной почте.

Чтобы быть оператором, не нужно «подавать заявление» и не нужно быть юридическим лицом. Вы становитесь оператором по факту: как только организовали сбор данных, обязанности уже есть. Это поверхностный, но важный сдвиг — закон не привязывает оператора к размеру бизнеса или регистрации.

Конкретно по формам бизнеса в России:

• Самозанятый. Оператором становится физическое лицо в статусе плательщика НПД. Если вы как самозанятый завели сайт с формой записи на консультацию — формально вы оператор и должны соблюдать 152-ФЗ. На практике риски и проверки у самозанятых ниже, но требование из РКН прийти может — особенно если кто-то из недовольных клиентов напишет жалобу.
• Индивидуальный предприниматель. ИП — самая частая форма, которой это касается. Все ИП с сайтом, через который собирают заявки, записи, оплаты — операторы.
• Общество с ограниченной ответственностью. ООО — оператор по умолчанию: масштабы данных и проверочный фокус Роскомнадзора у юрлиц всегда выше.
• Физическое лицо без статуса предпринимателя. Это самый неоднозначный случай. Закон формально применяется, но если речь идёт о личном сайте без коммерческой деятельности, риски минимальны. Как только появляется оплата или коммерческая услуга — переходим в обычный режим.

Если у вас группа компаний с одним сайтом — оператором становится та из компаний, под чьим управлением идёт сбор данных. Это нужно зафиксировать прямо в политике, иначе при проверке Роскомнадзор не будет разбираться, кто отвечает — претензии могут уйти на всех сразу.

Подробный разбор обязанностей оператора для конкретно ИП и микробизнеса есть в нашей отдельной статье — 152-ФЗ для ИП и самозанятых в 2026 году. Здесь мы делаем упор на сайт, а там — на бизнес-процессы в целом.

Что считается персональными данными на сайте: ФИО, телефон, email, IP, cookie и мессенджеры

В 152-ФЗ персональные данные определены широко: это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (статья 3). На практике это означает, что под закон попадает гораздо больше данных, чем кажется на первый взгляд.

Однозначно являются персональными данными:

• Имя, фамилия, отчество — в любых сочетаниях и в любой форме (даже «Анна П.» при наличии других данных).
• Телефон — мобильный, рабочий, городской.
• Email — личный, корпоративный, даже если он составной и не содержит имени напрямую.
• Дата и место рождения — указанные в форме регистрации или при оплате.
• Адрес проживания или регистрации — почтовый, физический, для доставки.
• Паспортные данные — серия, номер, кем и когда выдан.
• ИНН, СНИЛС, ОГРНИП — для физлиц это персональные данные, для юрлиц — нет.
• Фотография — особенно лица, особенно с возможностью идентификации.
• Сведения о здоровье, медицинских процедурах — это уже отдельная категория, специальные ПДн с повышенными требованиями.

В серой зоне, но почти всегда являются персональными данными в контексте сайта:

• IP-адрес. Долго велись споры, но к 2026 году позиция Роскомнадзора и судебная практика однозначны: IP в связке с другими данными (поведение на сайте, поисковые запросы, история заказов) — это персональные данные.
• Cookie и идентификаторы пользователя. Если вы используете cookie для авторизации, ремаркетинга или аналитики поведения — это персональные данные. Особенно cookie рекламных сетей (Яндекс Метрика, Google Analytics, пиксели VK и MyTarget).
• Никнейм или ID в социальной сети. Если человек оставил вам контакт через Telegram, WhatsApp или ВКонтакте — это персональные данные, особенно если есть привязка к его публичной странице.
• Голосовое сообщение, фото от пользователя. Любой пользовательский контент, который содержит изображение лица или голос, формально может быть отнесён к биометрическим данным, но это отдельная сложная тема (см. нашу статью Фото «до/после» в бьюти — не биометрия).

Важный момент: одно поле — это уже персональные данные. Не нужно собирать «фамилию + паспорт + СНИЛС», чтобы стать оператором. Достаточно одной формы «Имя + телефон, перезвоним за 5 минут» — и закон применяется.

Что НЕ является персональными данными на сайте:

• Обезличенные счётчики посещений без привязки к конкретному пользователю (например, общее количество посещений за день).
• Открытые данные юридических лиц — ИНН организации, юридический адрес, ОГРН ООО.
• Названия компаний и рабочие телефоны без привязки к физлицу — например, «Бухгалтерия ООО Ромашка, тел. +7 (495) 123-45-67» — это не персональные данные.

Сомневаетесь, попадает ли ваш сайт под закон? Самый быстрый способ узнать — бесплатно прогнать сайт через наш сервис автоматической проверки. Он смотрит, какие формы есть, какие данные собираются, есть ли политика и согласие рядом. Минута на ввод URL — и короткий отчёт.

Какие документы должны быть на сайте: 4 ключевых элемента

Чтобы сайт соответствовал 152-ФЗ и не давал поводов для требования из РКН, на нём в большинстве случаев должны быть четыре вещи. Это базовый набор для среднего коммерческого сайта — у конкретного бизнеса могут быть дополнительные документы (договор оказания услуг, согласие на распространение, согласие на медицинское вмешательство и т.д.), но эти четыре нужны почти всегда.

1. Политика обработки персональных данных.

Главный документ, который объясняет, какие данные вы собираете, зачем, кому передаёте, сколько храните и как пользователь может управлять своими данными. Должна быть размещена так, чтобы пользователь мог прочитать её до того, как начнёт оставлять данные. Юридически — обязательна для всех операторов по статье 18.1 152-ФЗ.

2. Согласие на обработку персональных данных.

Отдельный документ или ясная формулировка, которую пользователь подтверждает (обычно чекбоксом под формой) каждый раз, когда оставляет данные. Не путать с политикой — политика говорит, что вы делаете, согласие говорит «я подтверждаю, что вы можете это делать». Юридически — статья 9 152-ФЗ.

3. Оферта или условия оказания услуг.

Нужна, если через сайт можно купить товар, оплатить услугу, забронировать запись с предоплатой или подписаться на платный продукт. Не путать с политикой — оферта закрывает отношения «продавец-покупатель», а не «оператор-субъект данных». Не нужна для сайтов, где есть только форма обратной связи без оплаты. Подробнее — в нашей отдельной статье Договор-оферта в 2026 году.

4. Уведомление в Роскомнадзор о начале обработки персональных данных.

Не документ на сайте, а процедура — вы подаёте в Роскомнадзор форму с описанием своей обработки данных. Закон требует подать уведомление до начала обработки, а не «когда соберётесь». Юридически — статья 22 152-ФЗ. Исключения есть, но для типичного коммерческого сайта с формой их обычно нет.

Дополнительные документы, которые могут понадобиться:

• Согласие на распространение ПДн — если на сайте размещаете отзывы клиентов с именами и фото, кейсы с реальными лицами, видеообзоры. Регулируется отдельной статьёй 10.1 152-ФЗ и приказом Роскомнадзора № 18.
• Согласие на получение рекламной рассылки — если ведёте email-, SMS- или Telegram-рассылку для тех, кто оставил контакты. Регулируется законом о рекламе и 152-ФЗ.
• Соглашение с обработчиком данных — если данные ваших пользователей куда-то передаются: в облачную CRM, к сервису email-рассылки, на платформу онлайн-записи и т.д. Это договор между вами и подрядчиком, не публичный документ на сайте.
• Внутренние документы оператора — приказ о назначении ответственного за обработку ПДн, регламент уничтожения данных, журнал учёта согласий и т.д. На сайте они не публикуются, но при проверке Роскомнадзор имеет право их запросить.

Дальше разберём подробно каждый из четырёх основных документов: что должно быть внутри, где разместить и какие самые частые ошибки.

Политика конфиденциальности для сайта: что должно быть внутри и где её разместить

Политика обработки персональных данных (она же «политика конфиденциальности», обиходное название) — главный документ оператора. По требованиям статьи 18.1 152-ФЗ оператор обязан обеспечить её доступность.

Обязательное содержание политики

Закон не даёт жёсткого шаблона, но Роскомнадзор в своих разъяснениях и судебная практика выработали список того, что должно быть в любой политике:

1. Кто оператор. Полное наименование, для ИП — ФИО полностью, ИНН/ОГРН/ОГРНИП, адрес, контакты для обращений.
2. Цели обработки данных. Не общая фраза «улучшение сервиса», а конкретный список: для связи с клиентом по заявке, для оформления договора оказания услуг, для отправки чека, для рекламных рассылок и т.д.
3. Категории субъектов данных. Кто оставляет вам данные: клиенты, потенциальные клиенты, посетители сайта, подписчики рассылки, сотрудники, контрагенты.
4. Состав обрабатываемых данных. Не «персональные данные», а конкретный перечень: имя, телефон, email, адрес доставки, история заказов, cookie и т.д.
5. Правовые основания обработки. Согласие пользователя, договор оказания услуг, требование закона.
6. Действия с данными. Сбор, запись, систематизация, хранение, уточнение, передача, удаление.
7. Срок хранения. Сколько вы храните данные после того, как пользователь перестал быть клиентом. Обычно 5 лет (срок исковой давности для договоров) или меньше, если нет оснований хранить дольше.
8. Передача третьим лицам. Кому передаёте: в CRM, бухгалтерию, на доставку, в платёжный сервис, в рекламные сети.
9. Локализация и трансграничная передача. С 1 июля 2025 года первичный сбор ПДн граждан РФ через зарубежные базы данных (Google Forms, Mailchimp напрямую, Hubspot, Stripe и т.п.) — запрещён. Если данные собираются в российской системе, а потом передаются за рубеж — это допустимо, но нужно отдельное уведомление в Роскомнадзор и описание в политике.
10. Меры защиты. Какие технические и организационные меры вы принимаете для защиты данных: пароли, шифрование, доступ только у назначенных сотрудников.
11. Права субъекта данных. Право на доступ, исправление, удаление данных, отзыв согласия.
12. Контакты для обращений. Email или адрес, куда можно написать запрос или жалобу.

Где разместить политику на сайте

Главное правило — политика должна быть доступна оттуда, где пользователь оставляет данные. Не «где-то на сайте», не «по запросу», а в одном-двух кликах от формы.

Стандартное правильное размещение:

• Ссылка в подвале сайта на всех страницах — обязательный минимум.
• Прямая ссылка на политику под каждой формой, рядом с чекбоксом согласия — желательный максимум.
• Текст ссылки — однозначный: «Политика обработки персональных данных» или «Политика конфиденциальности». Не «Подробнее», не «Соглашение», не «Правила сайта» — формулировка должна сразу говорить, о чём документ.
• Открывается в новой вкладке или в модальном окне — чтобы пользователь не терял форму, которую заполнял.

Самые частые ошибки размещения, которые мы видим:

• Политика лежит ссылкой в подвале мелким серым шрифтом и больше нигде не упоминается.
• Под формой текст «Нажимая кнопку, вы соглашаетесь с обработкой персональных данных», но ссылки на саму политику нет.
• Политика открывается отдельной страницей, и пользователь после её прочтения попадает не обратно к форме, а на главную.
• На мобильной версии сайта подвал не открывается или открывается с ошибкой — пользователь физически не может найти политику.
• Политика написана общим шаблоном с другого сайта, в ней даже название компании не поменяли.

Чек-лист самопроверки политики

Откройте свою политику и проверьте по пунктам:

• В тексте есть полное наименование вашей организации или ФИО ИП с реквизитами.
• Указан конкретный перечень целей обработки, а не «общие цели улучшения работы сайта».
• Перечислены все категории данных, которые реально собираются на сайте (включая cookie и аналитику, если они есть).
• Указано, кому передаются данные: CRM, бухгалтерия, рекламные сети.
• Если используется Яндекс Метрика, Google Analytics, рекламные пиксели — это явно указано.
• Указан срок хранения данных.
• Есть контактный email или адрес для обращений по поводу персональных данных.
• Дата последнего обновления документа стоит и не старше года.

Если хотя бы один пункт не выполняется — политика требует переработки. Шаблон из интернета почти никогда не закрывает все эти пункты под ваш реальный бизнес.

Согласие на обработку персональных данных: почему чекбокса под формой недостаточно

Согласие субъекта на обработку персональных данных — это документ или однозначное действие, которое подтверждает, что человек разрешил вам обработку своих данных. Регулируется статьёй 9 152-ФЗ. Согласие должно быть:

• Конкретным — пользователь понимает, какие именно данные, для какой цели и кому передаются.
• Информированным — у пользователя был доступ к политике до того, как он согласился.
• Сознательным — действие согласия осознанное (например, отметка чекбокса, а не «по умолчанию согласен»).
• Доказуемым — у оператора есть техническая возможность подтвердить, что согласие было.

На практике это значит: одного чекбокса под формой «Я согласен с обработкой персональных данных» недостаточно. Точнее — он сам по себе уже хорошо, но не закрывает все ситуации.

Какое согласие считается надёжным

Самый частый и работающий формат на коммерческом сайте:

1. Под формой стоит активный (не предзаполненный) чекбокс, который пользователь должен отметить сам.
2. Рядом с чекбоксом — короткий текст: «Отправляя заявку, я подтверждаю, что ознакомился с политикой обработки персональных данных и даю согласие на обработку моих данных в указанных там целях».
3. Без отметки чекбокса кнопка отправки формы не активна или форма не отправляется.
4. Факт отметки чекбокса фиксируется в CRM или базе вместе с датой, временем и IP-адресом — это и есть доказуемость.

Почему предзаполненный чекбокс — нарушение

Если пользователь зашёл на сайт, и под формой уже стоит галочка «✓ Согласен с обработкой данных», которую он не отмечал сам — это не считается сознательным действием. Роскомнадзор расценивает это как отсутствие согласия. В судебной практике 2024–2025 годов это одно из самых частых оснований для штрафа.

То же касается:

• галочка, которая ставится автоматически при наведении мыши;
• скрытый чекбокс, который пользователь не видит;
• общая фраза «нажимая кнопку, вы соглашаетесь» без отдельного действия пользователя — это в серой зоне, формально лучше иметь явный чекбокс.

Когда нужно отдельное согласие на разные цели

Одного чекбокса достаточно только для одной цели обработки. Если вы планируете данные:

• использовать для связи с клиентом по заявке;
• отправлять на эти же контакты рекламную рассылку;
• передавать в рекламные сети для ремаркетинга;
• публиковать отзыв клиента с именем на сайте —

это четыре разные цели, и под каждую желательно отдельное согласие. Минимум — нужно разделить согласие на обработку для исполнения заявки и согласие на маркетинговые рассылки. Иначе человек, оставивший контакт «чтобы позвонили по поводу услуги», получает рекламу, и это уже нарушение.

Письменное согласие — для отдельных случаев

В большинстве сценариев на сайте достаточно электронного согласия через чекбокс. Письменное согласие на отдельном бланке нужно только в специальных случаях:

• сбор биометрических данных (отпечатки, сканы лица для идентификации);
• обработка специальных категорий ПДн (здоровье, политические взгляды, религия);
• согласие на распространение ПДн (отзывы, кейсы с именами и фото) — об этом следующий раздел.

Для обычной формы заявки или подписки на рассылку достаточно электронного согласия через активный чекбокс.

Доказуемость согласия — что хранить

Если завтра придёт проверка Роскомнадзора или жалоба от клиента — вы должны иметь возможность показать, что согласие было. Это значит, что нужно сохранять:

• дату и время отметки чекбокса;
• IP-адрес пользователя;
• URL страницы, с которой пришла заявка;
• текст согласия, который был на странице в момент отправки (если редактировали — фиксировать версии);
• идентификатор формы или другой механизм связи согласия с конкретной заявкой.

Большинство нормальных CRM и сервисов форм это умеют. Если используете Tilda, Bitrix24, amoCRM, ПрофиRu — обычно встроено. Если самописная форма на сайте — нужно проверить отдельно.

Согласие на распространение ПДн: отзывы, кейсы и фото клиентов

С 1 марта 2021 года в 152-ФЗ есть отдельная статья — 10.1 «Особенности обработки персональных данных, разрешённых субъектом для распространения». Это самая часто нарушаемая статья среди микробизнеса и малых компаний — особенно тех, кто публикует отзывы клиентов на сайте или в соцсетях.

В чём суть статьи 10.1

Распространение персональных данных — это передача данных неограниченному кругу лиц. Когда вы пишете в Instagram «Мой клиент Анна сделала маникюр, вот фото её рук» — это распространение. Когда на сайте размещён видеоотзыв с лицом клиента и его именем — это распространение. Когда в кейсе на странице услуг указано «Компания "Ромашка" наш постоянный клиент с 2020 года» — формально тоже распространение (хотя для юрлиц это не персональные данные).

Закон говорит: для распространения нужно отдельное согласие, причём оформленное по специальному порядку, утверждённому приказом Роскомнадзора № 18 от 24 февраля 2021 года. Обычное согласие на обработку для распространения не подходит — нужен отдельный документ.

Что должно быть в согласии на распространение

В отличие от обычного согласия, тут жёсткие требования:

• ФИО субъекта данных и его контактные данные;
• ваши реквизиты как оператора;
• категории данных, которые разрешено распространять (имя, фото, голос, видео);
• условия и запреты на дальнейшую обработку — что распространяемые данные нельзя использовать для других целей;
• срок действия согласия;
• подпись субъекта.

Электронное согласие через чекбокс «Согласен на использование моего отзыва» не работает для статьи 10.1 — нужно либо письменное согласие с подписью, либо отдельная электронная форма, оформленная по специальной процедуре через информационную систему Роскомнадзора.

Бьюти-сегмент — отдельная зона риска

Самый частый сценарий, по которому бьюти-мастера, фотографы, врачи и онлайн-школы получают претензии: публикация фото клиентов до/после, видеоотзывов и кейсов с именами на сайте и в соцсетях без отдельного согласия на распространение.

Здесь есть нюанс: фотография лица в обычном смысле — это не биометрические данные (биометрия — это специально обработанные данные для идентификации, см. нашу статью Фото «до/после» в бьюти — не биометрия). Но фото клиента — это всё равно его персональные данные, и публикация без согласия — нарушение.

Что делать бьюти-мастеру, который хочет публиковать работы:

• На каждое фото клиента, которое планируется к публикации, оформляется отдельное согласие на распространение по утверждённой форме.
• В согласии чётко указывается, где будут публиковаться материалы: сайт, конкретные соцсети, рекламные материалы.
• Хранится подписанное согласие минимум 3 года после прекращения публикации (срок исковой давности).
• В политике на сайте отдельным пунктом указывается, что вы публикуете отзывы и кейсы только при наличии отдельного согласия.

Для онлайн-школы аналогично: если на сайте «отзыв от Марии С., прошедшей наш курс» с фото — нужно согласие Марии в письменной или специальной электронной форме на распространение.

Что делать, если согласия нет, а отзывы уже опубликованы

Это типичная ситуация в действующих бизнесах. Вариантов несколько:

1. Получить согласие задним числом. Связаться с клиентами, чьи отзывы опубликованы, и оформить согласие. Если кто-то не подписывает — отзыв убирать.
2. Обезличить. Убрать ФИО (или оставить только «Мария» без фамилии и фото), оставить текст. Это снимает большую часть рисков, но фото лица обезличить уже сложно.
3. Заменить на отзывы с площадок. Если отзыв размещён на 2GIS, Яндекс Картах, ВКонтакте — можно ссылаться на эти отзывы, не дублируя их на свой сайт. Но и тут есть нюансы — лучше согласовать с юристом.

В нашей практике бьюти-сегмент закрывает эту тему чаще всего через пакет документов «Легальный сайт» — мы готовим стандартное согласие на распространение под бизнес и инструкцию, как его собирать с клиентов.

Также есть смежная тема — авторские права на фото и видео клиента, если их делал ваш сотрудник или подрядчик. Это отдельный закон (часть 4 ГК РФ), и закрывается отдельным документом. Подробнее — в статье про авторские права для бизнеса.

Уведомление в Роскомнадзор: кому из ИП и микробизнеса оно нужно

Уведомление о намерении осуществлять обработку персональных данных — это специальная процедура, по которой оператор сообщает Роскомнадзору, что он собирается обрабатывать ПДн. Регулируется статьёй 22 152-ФЗ.

После подачи и принятия уведомления вы попадаете в Реестр операторов персональных данных, который ведёт Роскомнадзор. Реестр — публичный, доступен по адресу pd.rkn.gov.ru/operators-registry. Проверить любую компанию или ИП по ИНН — может любой желающий. Это часто делают потенциальные клиенты онлайн-школ и интернет-магазинов перед покупкой.

Сначала документы — потом уведомление

Прежде чем переходить к тому, кто и когда обязан подавать, разберёмся с порядком работы. Это самое важное место, в котором в 2025 году многие предприниматели запутались — и продолжают запутываться сейчас.

Уведомление в Роскомнадзор — это не первый шаг, а финальный. Правильная последовательность работы выглядит так:

1. Готовится политика обработки персональных данных — под фактическую обработку: какие данные собираете, в каких целях, кому передаёте, сколько храните.
2. Готовятся согласия — отдельным текстом под каждую цель: на обработку для исполнения заявки, на рассылку, на распространение (отзывы и фото).
3. Готовится оферта — если на сайте есть оплата.
4. На основе подготовленных документов готовится текст уведомления: цели обработки, категории данных, третьи лица, меры защиты — всё дословно из политики.
5. Уведомление подаётся через pd.rkn.gov.ru или Госуслуги.

То есть уведомление готовится на основе политики, а не наоборот. Текст в уведомлении и текст в политике должны совпадать по составу обработки.

Главная ошибка 2025 года. После массового шума вокруг 152-ФЗ и роста штрафов многие в спешке подали уведомления в Роскомнадзор — до того, как привели документы на сайте в порядок. Подавали с шаблонными формулировками или вообще без оформленной политики. В результате — текст уведомления не совпадает с фактической обработкой на сайте.

При проверке РКН сравнивает данные уведомления с реальной политикой и тем, что видит на сайте. Если расходятся — считается, что нет ни нормально оформленной политики, ни корректного уведомления. Это хуже, чем если бы вы вообще не подавали: к нарушениям по политике добавляется отдельное нарушение «недостоверные сведения в уведомлении». Дыра удваивается.

Поэтому правило простое: сначала документы, потом уведомление на их основе. Не наоборот.

Кто обязан подавать уведомление

По умолчанию подавать должны все операторы, кто обрабатывает персональные данные. То есть владелец почти любого коммерческого сайта с формой автоматически попадает в эту категорию.

Закон в части 2 статьи 22 перечисляет несколько исключений, при которых уведомление не нужно. Для микро- и малого бизнеса с сайтом из них значимые такие:

• Обработка данных собственных сотрудников — если оператор обрабатывает только данные своих штатных работников в рамках трудовых отношений. Подача нужна только для этого ограниченного случая, не для сайта в целом.
• Обработка для разовых пропускных систем — для типичного коммерческого сайта неприменимо.
• Обработка без использования средств автоматизации — то есть только на бумаге. Если у вас сайт с формой, эта норма к вам не относится, потому что компьютер и сайт — уже автоматизация.

Все остальные ситуации с сайтом — уведомление подавать нужно. Это касается:

• ИП с сайтом, через который собирают заявки на услуги;
• самозанятых, у которых на сайте записываются клиенты;
• интернет-магазинов с любой формой регистрации или оплаты;
• онлайн-школ, инфобизнеса, экспертных консультаций;
• салонов красоты, фотографов, мастеров маникюра — всех, кто принимает онлайн-запись.

Когда подавать: до начала обработки и на основе политики

Статья 22 говорит однозначно — уведомление подаётся до начала обработки персональных данных. На практике это означает: до того, как сайт с формой вышел в публичный доступ, и до того, как пришла первая заявка.

Но «до начала обработки» — не значит «срочно, в первый день». Это значит, что к моменту подачи у вас уже должна быть готова политика, согласия и понимание реальной обработки данных. Уведомление подтверждает то, что описано в документах, не заменяет их.

В реальности почти никто не подаёт уведомление вовремя в этом смысле. Сайт запускают, заявки начинают приходить, про уведомление вспоминают через год-два. И ещё чаще — про политику с согласиями вспоминают только после требования из РКН, а уведомление при этом или вообще не подано, или подано с расхождениями. Дальше отдельно разберём, что делать, если вы в этой ситуации.

Одно уведомление — на всю обработку

Не нужно подавать отдельное уведомление под каждую форму на сайте или под каждую цель обработки. Уведомление одно — на весь объём обработки оператора. В нём перечисляются:

• все категории обрабатываемых данных (имя, телефон, email, IP, cookie и т.д.);
• все цели обработки (исполнение заявки, рассылка, аналитика, ремаркетинг);
• все способы (электронные, бумажные, передача третьим лицам);
• все третьи лица, которым передаются данные (CRM, бухгалтерия, рекламные сети).

Если у вас несколько сайтов или несколько направлений бизнеса — всё описывается в одном уведомлении на оператора (ИП, ООО, самозанятого).

Локализация и трансграничная передача — что изменилось с 1 июля 2025

Это самая дорогая зона риска после оборотных штрафов за утечки. И до конца 2025 года правила здесь радикально изменились — поэтому многие материалы в интернете уже неактуальны.

Главное изменение. Федеральный закон от 28.02.2025 № 23-ФЗ переписал часть 5 статьи 18 152-ФЗ. С 1 июля 2025 года в России не допускается использование баз данных, находящихся за пределами территории РФ, при сборе персональных данных граждан РФ.

Прежняя норма была обязующей: «оператор обязан обеспечить локализацию в РФ». Новая — запрещающая: «использование зарубежных баз не допускается». Это разные вещи. По старой норме можно было получить требование «привести в порядок локализацию». По новой — это уже само по себе нарушение запрета, и штрафы значительно выше.

Что попадает под запрет на сборе ПДн через сайт:

• Форма заявки, которая пишет данные напрямую в зарубежную CRM (Hubspot, Salesforce, ActiveCampaign)
• Форма, которая отправляет данные в Google Forms или Google Sheets
• Подписка на рассылку через прямую интеграцию с Mailchimp, SendInBlue, Klaviyo
• Платёжные формы напрямую через Stripe, PayPal, 2Checkout без российского эквайринга-прокладки
• Чат-виджет Intercom, Drift или аналог с серверами за рубежом
• Аналитика, идентифицирующая пользователей на зарубежных серверах: Google Analytics, Mixpanel, Amplitude
• Хранение клиентской базы напрямую в Dropbox, Google Drive, OneDrive

Что НЕ запрещено. Запрет касается этапа первичного сбора. После того как данные собраны в России, дальнейшая обработка — в том числе передача в зарубежный сервис — допустима по правилам трансграничной передачи (статья 12 152-ФЗ), при условии отдельного уведомления в Роскомнадзор и оценки страны-получателя.

Рабочие схемы:

• Форма пишет в российскую CRM (amoCRM, Bitrix24 в российском дата-центре, RetailCRM, ПрофиRu), а оттуда сегмент уже экспортируется в Mailchimp для рассылки
• Оплата через российский эквайринг (CloudPayments, Robokassa, ЮKassa, Sber Pay, T-Pay), а экспорт истории в зарубежный сервис аналитики — отдельным процессом
• Полностью российская инфраструктура без трансграничной передачи: Яндекс Метрика, ВКонтакте, Mail.ru, российские облачные провайдеры

Если используете зарубежные сервисы для последующих этапов (после сбора в РФ) — нужно отдельное уведомление в Роскомнадзор о трансграничной передаче (часть 3 статьи 12 152-ФЗ), оценка адекватности защиты в стране-получателе и при определённых условиях — отдельные согласия субъектов.

Как подать уведомление в Роскомнадзор пошагово

Процедура подачи уведомления выглядит несложно — но это последний шаг в правильной последовательности, а не первый. Если перепутать порядок, уведомление превращается из защиты в источник новых рисков.

Шаг 0. Сначала — документы

Прежде чем заходить на сайт Роскомнадзора и заполнять форму уведомления, у вас должны быть готовы:

• Политика обработки персональных данных — оформленный документ под вашу реальную обработку. Не шаблон из интернета, а текст с вашими реквизитами, целями и категориями данных.
• Согласия под формами на сайте — отдельным текстом под каждую цель.
• Понимание реальной обработки — какие данные вы собираете, в каких процессах используете, кому передаёте.
• Назначенный ответственный за обработку ПДн — приказом по организации (для микробизнеса обычно сам ИП или директор).

Без этих документов подавать уведомление нельзя. В уведомлении вы описываете обработку, которая должна уже быть оформлена в политике. Если описанное в уведомлении не совпадает с тем, что лежит у вас в политике и происходит на сайте — это создаёт расхождение, на котором при проверке Роскомнадзор построит требование.

Шаг 1. Соберите данные для уведомления из готовых документов

Когда документы готовы — берёте из них данные для уведомления:

• Реквизиты оператора: для ИП — ФИО полностью, ИНН, ОГРНИП, адрес регистрации; для ООО — название, ИНН, ОГРН, юридический адрес; для самозанятого — ФИО, ИНН, паспортные данные.
• Контактные данные: телефон и email для связи с РКН по вопросам уведомления.
• Адрес местонахождения базы данных: где физически хранятся ваши данные. Если используете CRM (amoCRM, Bitrix24) — адрес их российских дата-центров (есть в их публичных документах). Если своя база на хостинге — адрес хостинг-провайдера.
• Назначенный ответственный за обработку ПДн. Берём из приказа.
• Список целей обработки — переносим из политики дословно, не переформулируя.
• Категории субъектов и данных — переносим из политики.
• Список третьих лиц, которым передаёте данные, — переносим из политики.
• Меры защиты данных — пароли, шифрование, ограничение доступа.

Главный принцип: все формулировки в уведомлении должны совпадать с политикой. Если в уведомлении напишете «обрабатываем для исполнения договора», а в политике — «также для рекламных рассылок», получится расхождение, и при проверке это вылезет.

Шаг 2. Откройте форму уведомления

Официальная форма — на сайте Роскомнадзора по адресу pd.rkn.gov.ru/operators-registry/notification/form/. Заходить лучше с компьютера, а не с телефона — форма большая, на мобильном неудобно.

Альтернативно можно подать уведомление через Госуслуги — в разделе «Бизнес → Государственный контроль → Уведомление об осуществлении обработки персональных данных». Форма та же, но с авторизацией через ЕСИА.

Шаг 3. Заполните разделы формы

Форма уведомления состоит из нескольких разделов:

1. Сведения об операторе — реквизиты из шага 1.
2. Цель обработки — отдельным полем по каждой цели. Не «общая цель», а конкретно: «Обработка данных клиентов для исполнения договора оказания услуг», «Обработка данных подписчиков для отправки информационных рассылок» и т.д.
3. Правовое основание — для каждой цели своё. Чаще всего: «Согласие субъекта данных» + «Договор оказания услуг» + «Федеральный закон 152-ФЗ».
4. Категории субъектов — клиенты, потенциальные клиенты, посетители сайта, сотрудники, контрагенты.
5. Перечень данных — точный список: ФИО, телефон, email, адрес, IP, cookie, история заказов.
6. Перечень действий — сбор, запись, систематизация, накопление, хранение, использование, передача, уничтожение.
7. Меры безопасности — что вы делаете для защиты данных.
8. Дата начала обработки — если уже работаете, ставьте честную дату, а не сегодняшнюю.
9. Срок обработки — обычно «бессрочно» или «до момента прекращения деятельности оператора».

Шаг 4. Отправьте уведомление

Подача возможна тремя способами:

• Электронно через сайт РКН — с использованием квалифицированной электронной подписи (КЭП). Самый быстрый способ, но требует наличия КЭП.
• Электронно через Госуслуги — с авторизацией через ЕСИА. Подходит для ИП и физлиц без КЭП.
• По почте на бумаге — отправить заполненную форму письмом с описью вложения в территориальное управление РКН.

Электронные способы быстрее: уведомление обрабатывается в среднем 5–10 рабочих дней. Бумажная почта может занять 1–2 месяца с учётом доставки.

Шаг 5. Получите подтверждение

После обработки уведомления вы получите:

• уведомление о включении в Реестр операторов;
• регистрационный номер оператора;
• запись в публичном реестре по вашему ИНН.

Запись в реестре можно проверить по ИНН на странице pd.rkn.gov.ru/operators-registry/operators-list. Если данные есть — всё ок, вы в реестре.

Типичные ошибки заполнения

Из практики — самые частые причины, по которым уведомление возвращают на доработку:

• Слишком общие формулировки целей — «улучшение сервиса» вместо «исполнение договора».
• Указана трансграничная передача без переноса первичного сбора в РФ, хотя с 1 июля 2025 это запрещено: одного уведомления о трансграничной передаче недостаточно, если данные собираются напрямую через зарубежный сервис.
• Дата начала обработки — будущая, хотя сайт работает уже год.
• Не назначен ответственный или указан несуществующий сотрудник.
• Меры безопасности написаны размыто — «принимаются меры по защите данных» без конкретики.

Изменение сведений в уведомлении

Уведомление подаётся один раз — но если у вас меняется обработка (добавилась рассылка, появился новый сервис, изменились реквизиты ИП) — нужно подавать уведомление об изменении сведений. Форма аналогичная, тот же ресурс РКН. Подавать рекомендуется в течение 10 рабочих дней с момента изменений.

Уведомление в РКН не подавали: что делать действующему сайту

Это самая частая ситуация в нашей практике. Сайт работает 2-3 года, заявки идут, документы какие-то есть, но в реестре операторов вас нет. Что делать.

Главное правило: не торопитесь подавать уведомление в первый же день. В 2025 году многие так и сделали — увидели заголовки про штрафы, побежали подавать уведомление с шаблонными формулировками или вообще без оформленной политики. Это создало больше проблем, чем закрыло: при проверке РКН сравнивает уведомление с фактической политикой и обработкой, расхождение становится отдельным нарушением.

Правильный порядок такой.

Шаг 1. Проверьте, нет ли вас в реестре

Зайдите на pd.rkn.gov.ru/operators-registry/operators-list, введите свой ИНН в поиск. Если запись есть — значит, уведомление кто-то подавал (вы, бухгалтер, юрист, предыдущий владелец бизнеса). Откройте запись, проверьте, актуальны ли сведения.

Если записи нет — переходите к шагу 2. Но не сразу к подаче, а к подготовке документов.

Шаг 2. Приведите документы в порядок

Перед подачей уведомления соберите комплект документов под вашу реальную обработку данных:

• политика обработки персональных данных под фактическую обработку — не шаблон;
• согласие на обработку под формы на сайте;
• оферта, если на сайте есть оплата;
• понимание реальной обработки: какие данные собираете, в каких процессах используете, кому передаёте, сколько храните.

Тогда уведомление готовится на основе этих документов — дословно перенося из политики формулировки целей обработки, категорий данных, третьих лиц и мер защиты. Это и есть правильная последовательность.

Если вы подаёте уведомление без подготовленных документов — вы заявляете в государственный реестр одну картину, а на сайте у вас другая. При проверке это вылезет в первые 10 минут, и расхождение станет отдельным нарушением.

Шаг 3. Подайте уведомление сейчас — на основе подготовленных документов

Подать уведомление никогда не поздно. Сама подача — это исполнение требования закона, и за то, что вы пришли с этим до того, как РКН прислал требование, штрафа за «опоздание» обычно не выписывают. Главное — подать с согласованным с политикой содержанием, а не с очередным шаблоном.

Важный момент: в форме уведомления есть поле «дата начала обработки». Указывайте честную дату, когда сайт реально начал работать. Не сегодняшнюю. РКН эту дату может сверить с whois домена, датой регистрации ИП и другими источниками — фальсификация даты увеличивает риски.

Шаг 4. Если уже пришло требование от РКН — действуйте быстро

Если у вас уже в руках письмо «Об устранении нарушений 152-ФЗ» — у вас есть 30 дней на исправление (стандартный срок, может варьироваться). В эти 30 дней нужно:

1. Привести документы в порядок: подготовить политику и согласия под реальную обработку (если этого ещё не сделано).
2. Подать уведомление на основе подготовленных документов — если оно было одной из претензий.
3. Исправить остальные пункты из требования: разместить политику на сайте, добавить чекбокс согласия, оформить недостающие документы.
4. Направить в РКН ответ об устранении нарушений с приложением подтверждающих документов (скриншоты сайта, копии политики, ссылки на форму уведомления).

Главное — уложиться в срок и дать конкретный ответ по каждому пункту. Если уложились — штрафа за неисполнение не будет. Подавать уведомление под давлением 30-дневного срока и без подготовленных документов — типичный путь к новому требованию через несколько месяцев.

Снижение риска: добровольное самораскрытие

В практике РКН считается смягчающим обстоятельством, если оператор:

• сам подготовил документы и привёл сайт в порядок;
• сам подал уведомление до проверки — на основе этих документов;
• сам обнаружил нарушение и исправил его;
• предоставил полную информацию по запросу.

Это не гарантия отсутствия штрафа, но реально снижает риск и размер санкции. Если у вас давно работающий сайт без уведомления — путь правильный: сначала привести документы в порядок, потом подать уведомление на их основе. Не наоборот.

В нашей практике клиенты, которые приходят с таким запросом, чаще всего берут расширенный пакет «Легальный сайт» — туда входит подготовка уведомления и сопровождение подачи плюс проверка юристом, что документы на сайте не противоречат тому, что указано в уведомлении.

Как Роскомнадзор работает с нарушителями: требование, срок, штраф

Распространённый миф: «Роскомнадзор сразу штрафует». Это не так. Реальная процедура устроена иначе, и понимание её снижает уровень паники, когда приходит первое письмо.

Откуда РКН узнаёт о нарушении

Поводов для проверки три:

1. Жалоба от субъекта данных. Любой пользователь сайта может пожаловаться в РКН, если считает, что его данные обрабатываются с нарушениями. Это самый частый триггер для микро- и малого бизнеса. Жалобу можно подать через сайт РКН без идентификации.
2. Автоматический мониторинг реестра. РКН периодически сверяет реестр операторов с активностью в сети — насколько компании работают, не ушли ли они с рынка, не подаются ли изменения вовремя.
3. Плановая проверка. Включают в план на год, уведомляют заранее. Для микробизнеса плановые проверки относительно редки.

Уведомление о проверке

При плановой проверке РКН направляет оператору уведомление о проведении проверки минимум за 3 рабочих дня до её начала. В уведомлении указаны:

• основание для проверки;
• сроки проведения;
• состав проверочной комиссии;
• предмет проверки (полный аудит или конкретные вопросы).

При внеплановой проверке (по жалобе или нарушению) уведомление направляется за 24 часа.

Запрос документов

Перед очной проверкой РКН может запросить документы:

• учредительные документы оператора;
• политику обработки персональных данных;
• образцы согласий;
• приказ о назначении ответственного;
• внутренние регламенты обработки;
• договоры с обработчиками данных;
• журнал учёта согласий.

На предоставление документов даётся 10 рабочих дней. Игнорирование запроса — отдельное нарушение со своим штрафом.

Требование об устранении нарушений

Если по итогам проверки или по документам выявлены нарушения — РКН направляет акт о проверке и предписание об устранении нарушений. В предписании указаны:

• конкретные нарушения по пунктам;
• срок устранения (обычно 30 дней, может быть от 10 до 90);
• что нужно сделать по каждому пункту;
• как сообщить об исполнении.

В подавляющем большинстве случаев первое письмо от РКН — это именно требование, а не штраф. У оператора есть время и понятный список того, что нужно исправить.

Штраф — за неисполнение требования

Штраф наступает в двух случаях:

1. Требование не исполнено в срок — оператор не сделал ничего или сделал не всё.
2. Грубое нарушение — например, утечка большой базы или умышленная обработка ПДн в коммерческих целях без согласия.

Если требование исполнено в срок и оператор предоставил подтверждение — административное производство обычно прекращается без штрафа.

Это не означает, что нужно ждать требования и реагировать только по факту. Лучше быть в реестре, иметь работающие документы и не получать письма вообще. Но понимание процедуры снимает панику — если письмо пришло, у вас есть время и понятный план действий.

Штрафы за нарушение 152-ФЗ в 2026 году

С 30 мая 2025 года вступили в силу поправки к КоАП из федерального закона № 420-ФЗ от 30.11.2024. Они существенно увеличили штрафы за нарушения 152-ФЗ и добавили новые составы. Разбираем актуальные суммы.

Базовые штрафы за нарушения 152-ФЗ

Это базовые штрафы за «обычные» нарушения. Цифры выше — после 420-ФЗ. До мая 2025 года суммы были в 10–60 раз меньше.

Штрафы за неисполнение требования РКН

Именно этот штраф клиенты называют, когда говорят «штраф на 300 тысяч от Роскомнадзора». Он наступает за неисполнение требования, не за изначальное нарушение.

Штрафы за утечки персональных данных

Полностью новый состав, введённый 420-ФЗ — оборотные штрафы за утечки ПДн (ст. 13.11 ч.10–15):

Это и есть «500 миллионов оборотный штраф», о котором все говорят. Применяется к крупным утечкам и в первую очередь к юрлицам, но самозанятые и ИП с базами клиентов формально тоже попадают под состав.

Штрафы за неуведомление Роскомнадзора

Отдельная статья — 13.11 часть 1 КоАП:

• Физлица: 5–10 тыс ₽
• ИП: 10–20 тыс ₽
• Юрлица: 30–50 тыс ₽

То есть само по себе «не подал уведомление» — это относительно небольшой штраф. Куда серьёзнее последствия, когда «не подал уведомление» становится одним из пунктов в требовании об устранении нарушений, и за неисполнение этого требования штраф уже значительно выше.

Штрафы за нарушение локализации (использование зарубежных баз при сборе)

Это самая дорогая категория штрафов после оборотных за утечки. С 1 июля 2025 года действует прямой запрет на использование зарубежных баз данных при первичном сборе ПДн граждан РФ (часть 5 статьи 18 152-ФЗ в редакции ФЗ № 23-ФЗ от 28.02.2025). Состав — часть 8 и часть 9 статьи 13.11 КоАП РФ.

Под нарушение попадают: формы, отправляющие данные напрямую в Google Forms, Mailchimp, Hubspot и т.п.; платёжные формы напрямую в Stripe / PayPal без российского эквайринга; чат-виджеты Intercom и подобные с серверами за рубежом; Google Analytics с идентификацией пользователей; хранение клиентской базы напрямую в Dropbox / Google Drive / OneDrive.

Известные публичные кейсы 2024–2025 годов: Zoom оштрафован на 15 млн ₽, Discord — на 2 млн ₽ — оба за хранение данных российских пользователей за рубежом. РКН активно мониторит крупные международные сервисы, российский малый бизнес пока чаще получает требования об устранении, но это рабочий тренд и крупные штрафы реальны.

Штрафы за неисполнение обязанности уведомить о трансграничной передаче

Если данные собраны в России, а потом легитимно передаются в зарубежный сервис — это разрешено, но требует отдельного уведомления в Роскомнадзор. За неисполнение этого требования (статья 13.11 КоАП):

• ИП: 30–50 тыс ₽
• Юрлица: 300–500 тыс ₽

Это отдельный, более мягкий состав. Не путать с локализацией — там суммы в десятки раз больше.

Реальные ситуации из практики 2025–2026

В наш чат пришёл бьюти-мастер из Подмосковья. У неё был сайт с формой записи на маникюр, политики и согласия не было, уведомления в РКН тоже. Один из клиентов пожаловался — пришло требование. На исправление дали 30 дней. Не успели — штраф 12 000 ₽ как ИП по статье 13.11 ч.3 + 15 000 ₽ за неисполнение предписания. Итого 27 000 ₽ за «забыл сделать документы».

Другой случай — онлайн-школа с базой 50 000 учеников. Бывший сотрудник забрал базу и продал. РКН зафиксировал утечку, штраф — 8 млн ₽ (категория «10 000 до 100 000 субъектов»). Школа закрылась.

Третий случай — интернет-магазин, ООО на УСН. Форма заявки на сайте писала данные напрямую в Mailchimp, а Google Analytics 4 был настроен с передачей идентификаторов пользователей. По жалобе РКН провёл проверку, зафиксировал использование зарубежных баз при сборе. Первое нарушение — штраф 2,2 млн ₽ + предписание перенастроить инфраструктуру. После перенастройки на amoCRM и Яндекс Метрику — штраф не повторился.

Не хотите оказаться в одном из этих сценариев? Соберём комплект документов под ваш сайт под ключ. Политика, согласие, оферта (если нужна), сопровождение уведомления в РКН — за 5 рабочих дней. От 14 000 ₽ за базовый пакет, 20 000 ₽ — с проверкой юристом размещения на сайте.

Посмотреть пакет «Легальный сайт» →

152-ФЗ для ИП и микробизнеса: что нужно владельцу сайта с формой

Полное руководство по 152-ФЗ для микробизнеса со всеми нюансами есть в нашей статье Персональные данные для ИП и самозанятых в 2026 году. Здесь — короткий блок «что конкретно сделать», разбитый по сегментам.

ИП-фрилансер (консультант, эксперт, копирайтер)

Минимальный набор:

• Политика на сайте под обработку данных для связи с клиентом + аналитика (если есть Метрика).
• Чекбокс согласия под единственной формой обратной связи.
• Уведомление в РКН — обычно нужно. Подавайте на ИП.
• Оферту — только если на сайте можно купить услугу с предоплатой (форма с оплатой).

В типичном сценарии «сайт-визитка с формой "оставьте заявку"» хватает базового пакета документов. Если есть рассылка — добавьте отдельное согласие на маркетинговые сообщения.

Бьюти-мастер и салон красоты

К базовому набору добавляются:

• Согласие на распространение ПДн — для отзывов и фото клиентов на сайте и в соцсетях. Подробнее — в нашей статье Фото «до/после» в бьюти.
• Согласие на медицинское вмешательство — для процедур, которые относятся к медицинским (инъекционная косметология, лазерная эпиляция, аппаратные процедуры).
• Условия онлайн-записи — короткий документ, который регулирует, что считается записью, как работает предоплата, что с переносом и отменой. Подробнее в нашей статье Клиент не пришёл на запись: возврат предоплаты.

Уведомление в РКН для бьюти-сегмента обязательно — особенно для салонов с системой онлайн-записи и базой клиентов.

Онлайн-школа и инфобизнес

Самый плотный набор документов:

• Политика с детальным описанием целей обработки: исполнение договора + рассылка + аналитика + ремаркетинг.
• Согласие на обработку на всех формах: подписка на лид-магнит, регистрация на бесплатный вебинар, оплата курса.
• Оферта — обязательно. Регулирует продажу курса, доступ, возвраты, рассрочку.
• Согласие на распространение — для отзывов учеников с фото и видео.
• Уведомление в РКН — обязательно.
• Локализация инфраструктуры — критично. С 1 июля 2025 нельзя напрямую отправлять данные с сайта в Mailchimp, Hotmart, Stripe и подобные зарубежные сервисы. Нужна российская CRM или платформа для приёма заявок и оплат, а зарубежные сервисы могут работать только с уже собранными данными.
• Образовательная лицензия — отдельный вопрос, см. нашу статью про образовательную лицензию.

Онлайн-школа — самый частый сегмент, который попадает под жалобы недовольных учеников. Документы для онлайн-школы готовим обычно по расширенному пакету.

Интернет-магазин

К базовому набору добавляются:

• Оферта — обязательно. Регулирует ассортимент, цены, доставку, возвраты, гарантии.
• Согласие на рекламу — если есть подписка на рассылку об акциях.
• Уведомление в РКН — обязательно. Почти всегда с трансграничной передачей (платёжные сервисы, доставка, реклама).
• Условия программы лояльности — если есть карты, бонусы, кэшбэк.

Для интернет-магазина риски выше: чек больше, клиентов больше, жалоб от недовольных покупателей больше.

Самозанятый

Минимальный набор, но он всё равно нужен:

• Политика на сайте — даже если сайт-визитка с формой обратной связи.
• Чекбокс согласия под формой.
• Уведомление в РКН — подавайте на физлицо с указанием статуса самозанятого.

Самозанятые часто думают, что 152-ФЗ их не касается. Касается. Жалобы от клиентов на самозанятых приходят редко, но если приходят — штраф для физлица 6–10 тыс ₽ за обработку без согласия, и до 300 тыс ₽ за неисполнение требования.

Cookie, Яндекс Метрика и пиксели: отдельная зона риска

С точки зрения 152-ФЗ cookies, идентификаторы пользователя и метрические данные — это персональные данные, если они позволяют прямо или косвенно идентифицировать пользователя. К 2026 году эта позиция Роскомнадзора и судебной практики однозначна.

Какие cookie попадают под закон

• Идентификационные — те, которые хранят ID пользователя или сессию (обычные cookie авторизации).
• Аналитические — Яндекс Метрика, Google Analytics, Mail.ru, любые сервисы, которые отслеживают поведение посетителей.
• Маркетинговые — пиксели рекламных сетей: Яндекс Аудитории, MyTarget, VK Реклама, Facebook Pixel (если ещё используется).
• Cookie третьих сторон — встроенные виджеты YouTube, Twitter/X, ВКонтакте, чаты JivoSite, Calltouch и им подобные.

Что НЕ попадает под закон

• Технические cookie, без которых сайт не работает: токен сессии, cookie корзины в интернет-магазине, выбор языка.
• Полностью анонимная статистика без привязки к конкретному пользователю.

Нужен ли cookie-banner

В России с 2026 года формального требования делать cookie-banner по образцу европейского GDPR нет. Но: если у вас на сайте есть аналитика или ремаркетинг, информация об этом должна быть в политике конфиденциальности + пользователь должен иметь возможность отказаться от обработки cookies (хотя бы через настройки браузера).

На практике рабочая схема:

• В политике отдельный раздел «Cookie и аналитические сервисы» с перечнем всего, что вы используете.
• На сайте — простое уведомление (можно банер, можно строкой в подвале): «Сайт использует cookie. Подробнее в политике». Без обязательного согласия для каждой категории, как в Европе.
• Если используете ремаркетинг — отдельное согласие на маркетинговую обработку, желательно вынесенное из общего согласия.

Яндекс Метрика и Google Analytics

Яндекс Метрика — российский сервис, обработка идёт на российской территории. Использование — безопасно с точки зрения локализации. В политике конфиденциальности нужно отразить как «передача данных ООО "Яндекс" для аналитики посещений».

Google Analytics — зарубежный сервис, данные уходят на серверы Google за пределы РФ. Это самый рискованный аналитический инструмент в 2026 году для сайта, ориентированного на российских пользователей.

С 1 июля 2025 года, после вступления в силу новой редакции части 5 статьи 18 152-ФЗ, использование Google Analytics на сайте с формами для российских пользователей в большинстве случаев попадает под запрет на использование зарубежных баз данных при первичном сборе ПДн. Google Analytics 4 идентифицирует пользователей через cookie и client_id, которые относятся к персональным данным. Сбор этих идентификаторов сразу на серверы Google = нарушение запрета.

Штраф за это нарушение — до 6 миллионов рублей для юрлица за первое нарушение, до 18 миллионов — за повторное. На порядок выше, чем штраф за неуведомление о трансграничной передаче, который применялся до 2025 года.

Что делать. В 2025 году большинство ответственных российских бизнесов перевели сайты с Google Analytics на Яндекс Метрику. Это самое простое решение: одинаковый функционал, российский дата-центр, никаких рисков локализации. Если по каким-то причинам нужно сохранить международную аналитику — она строится на основе данных, уже собранных в российской системе (например, экспорт сегментов из CRM, а не прямой сбор с сайта). Эту схему нужно отдельно описывать в политике и подавать уведомление о трансграничной передаче.

То же касается Mixpanel, Amplitude, Heap, Hotjar, Segment, Mailchimp, ActiveCampaign, Hubspot, Intercom, Stripe, PayPal и любых других сервисов, которые принимают данные напрямую с сайта.

Что писать в политике про cookies

Минимум:

• Перечень категорий cookie, которые сайт использует (технические, аналитические, маркетинговые).
• Цели использования каждой категории.
• Срок хранения cookie на устройстве пользователя.
• Как пользователь может отключить cookies (ссылка на настройки браузера).
• Информация о третьих сторонах, которым передаются данные cookie.

В нашем расширенном пакете «Легальный сайт» проверка отражения cookies и аналитики в документах — часть проверки юристом. Это часто пропущенный пункт в шаблонных политиках.

Оферта на сайте: для кого она нужна и как защитить себя как исполнителя

Оферта — это предложение заключить договор на определённых условиях, которое продавец публикует, а покупатель акцептует, совершив определённое действие (оплата, нажатие кнопки «Купить», заполнение формы заказа). Регулируется статьями 435–443 ГК РФ.

Оферта на сайте нужна, если на нём можно:

• купить товар (интернет-магазин);
• оплатить услугу (онлайн-консультация, курс, абонемент);
• забронировать запись с предоплатой;
• подписаться на платный контент или сервис.

Если на сайте только форма «оставьте заявку, мы перезвоним» — оферта не обязательна. Договор заключается позже, индивидуально, и оферта на сайте не нужна.

Главная функция оферты — защитить исполнителя

В рунете часто оферту воспринимают как «формальную бумагу для галочки». Это вредная установка. Хорошо написанная оферта защищает исполнителя (вас, не клиента) от:

• необоснованных возвратов;
• претензий по срокам, если они нечётко прописаны;
• споров о том, что считается «выполненной услугой»;
• завышенных требований клиента, которые не были согласованы.

Плохо написанная (шаблонная) оферта может, наоборот, защитить клиента в ущерб вашему бизнесу — например, дать ему право на безусловный возврат в 30 дней независимо от факта оказания услуги.

Что должно быть в оферте

Базовый минимум:

• Стороны — кто исполнитель, кто акцептант.
• Предмет договора — что именно вы продаёте: товар, услугу, доступ.
• Цена и порядок оплаты — конкретные суммы или способ их определения, какие способы оплаты, в какой момент считается, что оплата получена.
• Сроки — когда товар доставляется, когда услуга оказывается, что считается её началом и окончанием.
• Порядок акцепта — что именно клиент делает, чтобы оферта считалась принятой (оплата, нажатие кнопки, регистрация).
• Возвраты и отказы — на каких условиях возможен возврат, в какие сроки, что не возвращается.
• Ответственность — кто за что отвечает, размер компенсаций, ограничения ответственности.
• Форс-мажор — обстоятельства непреодолимой силы.
• Реквизиты исполнителя — ИП/ООО, ИНН, ОГРН, адрес.

Полный гайд по составлению оферты для микробизнеса — в нашей отдельной статье Договор-оферта в 2026 году. Здесь, в рамках темы легального сайта, ограничимся главным правилом: шаблон оферты из интернета почти никогда не подходит конкретному бизнесу. Это второй после политики документ, который мы переделываем под клиента в пакете «Легальный сайт».

Политика, оферта и пользовательское соглашение: чем отличаются три документа

В юридическом обиходе на сайте встречаются три документа, которые часто путают: политика конфиденциальности, оферта и пользовательское соглашение. Это разные документы с разными функциями. Шаблонная политика не закрывает оферту, и наоборот.

Политика говорит: «Вот какие ваши данные я собираю, зачем, кому передаю и сколько храню». Это обязательный документ для любого оператора по статье 18.1 152-ФЗ.

Оферта говорит: «Вот товар или услуга, такие цены, такие условия. Если вы соглашаетесь — оплачиваете, и мы заключили договор». Нужна сайтам с продажей. Не нужна сайтам с одной формой обратной связи без оплаты.

Пользовательское соглашение говорит: «Вот правила, как можно пользоваться этим сайтом или сервисом: что можно делать, что нельзя, как ведём себя в спорных ситуациях». Не обязательна по закону, но часто нужна для сервисов с регистрацией, личными кабинетами, контентом пользователей (отзывы, комментарии).

Один документ не заменяет другой. На типичном сайте интернет-магазина или онлайн-школы должны быть все три. На сайте-визитке самозанятого с одной формой обратной связи — достаточно политики.

Самая частая ошибка — объединить всё в один документ с названием «Пользовательское соглашение и политика конфиденциальности». С точки зрения 152-ФЗ это не считается надлежащей политикой обработки персональных данных, потому что Роскомнадзор ожидает увидеть отдельный документ с типовым названием. При проверке такое объединение — повод для замечания.

Шаблонная политика из интернета: 5 типичных дыр

В нашей практике мы видим шаблонные политики каждую неделю. Это документ, который человек или подрядчик скачал «политика для сайта образец» из выдачи, поменял название компании и поставил на сайт. Вот пять дыр, которые встречаются в 80% таких документов.

Дыра 1. Цели обработки списком «для всего»

В шаблоне часто стоит: «обработка осуществляется в целях улучшения качества обслуживания, ведения статистики, рекламы, информирования о новых услугах и иных целях». Это формально не цели, а пустая формулировка.

Роскомнадзор при проверке требует конкретный закрытый перечень целей: «1. Связь с клиентом по заявке. 2. Заключение и исполнение договора оказания услуг. 3. Бухгалтерский учёт. 4. Отправка информационных рассылок при наличии согласия». Каждая цель — отдельная запись с конкретным основанием.

Дыра 2. Не указаны третьи лица

В шаблоне часто пропущен раздел «Кому передаются данные». А в реальности у вас:

• Данные клиента уходят в CRM (amoCRM, Bitrix24, ПрофиRu).
• Бухгалтерия видит платежи и реквизиты.
• Курьерская служба получает адрес доставки.
• Email-сервис рассылок имеет всю базу подписчиков.
• Рекламные сети (Яндекс Аудитории, MyTarget) видят анонимизированные данные пользователей.
• Платёжный сервис (CloudPayments, Robokassa, ЮKassa) обрабатывает реквизиты карт.

Все эти обработчики и третьи лица должны быть в политике. Не общим списком «может передаваться третьим лицам», а конкретно: какая категория данных, кому, на каком основании.

Дыра 3. Cookie и аналитика — упоминание есть, но без сути

В шаблонах политики часто стоит общая фраза «сайт может использовать cookie». А в реальности у вас:

• Яндекс Метрика с включённым Вебвизором — это запись действий пользователя на сайте, очень глубокая аналитика.
• Google Tag Manager с целями ремаркетинга — это трансграничная передача.
• Пиксели VK, MyTarget, Telegram Ads — это передача в рекламные сети.

В политике должно быть указано: какие именно сервисы используются, что они делают, куда уходят данные.

Дыра 4. Срок хранения «по необходимости»

Закон требует конкретного срока хранения или критерия его определения. Формулировка «храним до тех пор, пока это необходимо для достижения целей обработки» — это не срок, это лазейка, которую РКН отмечает в требованиях.

Рабочие формулировки:

• «5 лет с момента последнего взаимодействия» — общий случай для коммерческого сайта (привязка к сроку исковой давности).
• «3 года после прекращения договорных отношений» — для оказания услуг.
• «Бессрочно для бухгалтерских документов» — для финансовых данных по закону о бухгалтерском учёте.

Дыра 5. Реквизиты — не ваши

Самая нелепая дыра, которую мы видим почти в каждом случае: в политике остались реквизиты компании, у которой шаблон скачали. Название, ИНН, адрес — чужие. Иногда меняют только название, оставляя ИНН первоначального владельца шаблона.

При проверке это видно сразу. Это не «недосмотр», это нарушение по существу — у пользователя нет возможности связаться с реальным оператором.

Что делать

Шаблон политики из интернета можно использовать как черновик — основу, в которую дальше под бизнес вставляют конкретные данные. Просто скачать и поставить — нельзя. Это либо переделывает юрист, либо сам владелец сайта по подробной инструкции с пониманием, что и зачем меняется. В нашем пакете «Легальный сайт» это первая работа — собрать политику под фактический сайт клиента, а не от среднего шаблона.

Чек-лист «Легальный сайт» за 5 минут: 10 вопросов

Самопроверка сайта. Ответьте «да/нет» на 10 вопросов. По каждому «нет» — это потенциальная зона риска.

1. На сайте есть отдельная страница с политикой обработки персональных данных? (Не «соглашение об использовании сайта» — именно отдельный документ с типовым названием.)

2. Ссылка на политику стоит в подвале сайта и видна на всех страницах, включая мобильную версию?

3. Под каждой формой на сайте стоит активный (не предзаполненный) чекбокс согласия, без отметки которого форма не отправляется?

4. Текст рядом с чекбоксом содержит прямую ссылку на политику обработки персональных данных, а не просто «нажимая кнопку, вы соглашаетесь»?

5. В политике указаны реквизиты вашей компании или ФИО ИП, а не чужие данные из шаблона?

6. В политике перечислены конкретные цели обработки данных (3-7 пунктов), а не общая формулировка «улучшение сервиса»?

7. В политике указаны все третьи лица, которым реально передаются данные (CRM, бухгалтерия, курьерская служба, email-сервис, платёжный сервис, рекламные сети)?

8. Сведения о вас как операторе есть в публичном реестре Роскомнадзора на pd.rkn.gov.ru/operators-registry/operators-list (проверьте по ИНН)?

9. Если на сайте есть отзывы клиентов с именами или фото — у вас есть оформленное согласие на распространение ПДн от каждого клиента?

10. Если на сайте принимается оплата — у вас есть оферта, в которой прописаны предмет, цена, сроки, возвраты и ответственность?

Расшифровка:

• 10 «да» — у вас рабочая база. Имеет смысл уточнить детали через автоскан и при необходимости заказать проверку юристом.
• 7–9 «да» — есть отдельные пропуски. Обычно закрывается базовым пакетом документов.
• Меньше 7 «да» — сайт работает в зоне риска. Если придёт жалоба или плановая проверка, требование с большой вероятностью будет.

Как работает наш сервис автоматической проверки сайта

Чтобы не сидеть с этим чек-листом вручную, мы сделали сервис автоматической проверки сайта. Он бесплатный, проверка занимает минуту. Вот как он работает.

Что делает автоскан

Вы вставляете URL сайта в форму. Сервис открывает страницы, как обычный пользователь, и смотрит:

• Есть ли формы заявок и какие данные они собирают (по полям ввода и подписям).
• Есть ли ссылка на политику на главной странице и рядом с формами.
• Есть ли чекбокс согласия под формами и не предзаполнен ли он.
• Есть ли оферта, условия оказания услуг, реквизиты — на отдельной странице или в подвале.
• Есть ли cookie-уведомление, Яндекс Метрика, Google Analytics, пиксели рекламных сетей.
• Куда идут заявки — если форма отправляется во внешний CRM или мессенджер, сервис это видит.

По итогам — короткий отчёт со светофором: что найдено, чего не найдено, что требует проверки юристом.

Что автоскан НЕ может определить

Это важно — у любой автоматической проверки есть границы. Сервис не видит:

• содержимое самой политики и согласия — он только проверяет их наличие, не качество;
• подавали ли вы уведомление в РКН — это нужно сверять с реестром по ИНН;
• какие реально процессы обработки идут внутри вашего бизнеса (CRM, подрядчики, рассылки);
• защищает ли оферта именно исполнителя;
• актуально ли уведомление в РКН под текущую обработку.

Поэтому в отчёте всегда есть раздел «Что нужно проверить юристу» — это зона, в которую автоматика не идёт принципиально.

Что после отчёта

После того как вы получили отчёт автоскана, есть три сценария:

1. «Зелёный» отчёт. Все базовые признаки на сайте найдены. Имеет смысл взять расширенный пакет с проверкой юристом, чтобы проверить содержание документов и уведомление РКН — но без срочности.
2. «Жёлтый» отчёт. Часть документов не найдена или есть очевидные проблемы (предзаполненный чекбокс, нет оферты при продаже). Имеет смысл взять базовый пакет — соберём недостающие документы.
3. «Красный» отчёт. На сайте есть формы, но политики, согласия и оферты нет. Без расширенного пакета здесь обойтись сложно — нужна не только подготовка документов, но и сопровождение их размещения.

Проверьте свой сайт сейчас. Сервис бесплатный, занимает минуту, не нужно регистрироваться.

Запустить проверку →

Когда хватает пакета за 14 000 ₽, а когда нужен расширенный за 20 000 ₽

Мы предлагаем два пакета — базовый и расширенный. Разница не в наценке, а в глубине работы: что мы готовим и проверяем ли мы потом сайт после размещения.

Базовый пакет — 14 000 ₽

Что входит:

• Политика конфиденциальности под ваш реальный бизнес.
• Согласие на обработку персональных данных под формы сайта.
• Оферта или базовый документ под продажу через сайт (если применимо).
• Подготовка и сопровождение подачи уведомления в Роскомнадзор.
• Рекомендации, что и куда разместить на сайте.

Срок: до 5 рабочих дней после заполнения брифа.

Кому подходит:

• Сайт простой — 1–2 формы, без сложной оплаты и личного кабинета.
• Вы сами уверенно правите сайт или у вас есть подрядчик, который сделает.
• Нужны документы и сопровождение РКН, и больше ничего.

Чего НЕ входит: размещения документов на сайте, доработки форм и чекбоксов, проверки живого сайта после размещения.

Расширенный пакет — 20 000 ₽

Что входит (всё из базового, плюс):

• Карта размещения документов на сайте — где должна стоять ссылка на политику, куда вставить чекбоксы под формы, как разместить оферту на странице оплаты.
• Помощь с размещением — объясняем вам или вашему подрядчику конкретные шаги под вашу платформу (Tilda, WordPress, Bitrix или самописный сайт). Что куда поставить, как сделать чекбокс активным, какой текст согласия использовать.
• Проверка сайта юристом после размещения — после того как вы разместили документы, проходим по сайту со стороны пользователя и смотрим, всё ли стоит правильно: политика рядом с формой, чекбокс активный, оферта на странице оплаты, реквизиты в подвале. Даём письменный список правок, если что-то осталось незакрытым.
• Контроль попадания в реестр операторов РКН — после подачи уведомления следим за публичным реестром. Роскомнадзор иногда задерживает или не вносит запись (бывает, что запись не появляется и через два месяца). Мы пишем им запросы и добиваемся внесения.

Срок: до 7–10 рабочих дней на документы. Контроль реестра — до момента появления записи.

Кому подходит:

• Сайт перед запуском — нельзя ошибиться с размещением.
• Несколько форм, онлайн-запись, оплата, CRM, мессенджеры, рассылка.
• Хотите быть уверены, что после подачи в РКН вас реально внесли в реестр.
• Нужна не только подготовка документов, но и помощь с размещением на живом сайте.

Чего НЕ входит: полного юридического аудита бизнеса; технических правок в CMS — мы не лезем в код сайта; размещения документов вместо вас; переписывания оферты под нестандартную бизнес-модель (маркетплейс с предоплатой, рассрочка, сложные возвраты) — это отдельная работа; безлимитного сопровождения.

Как выбрать между пакетами

Простая логика: базовый закрывает отсутствие документов, расширенный закрывает разрыв между документами и живым сайтом.

Если вы знаете свой сайт и спокойно поставите документы сами — берите базовый. Если хотите, чтобы кто-то посмотрел свежим юридическим взглядом после размещения — берите расширенный.

Не уверены — запустите бесплатный автоскан, а после отчёта мы скажем чётко, какой пакет под вашу ситуацию.

Частые вопросы клиентов перед подачей в РКН

У меня ИП и только форма обратной связи на сайте — это уже обработка персональных данных?

Да. Если посетитель оставляет имя, телефон или email — вы стали оператором персональных данных в момент, когда эти данные попали к вам. Даже если вы не записываете их в CRM, а просто получаете на почту — это уже обработка по 152-ФЗ. Нужны политика, согласие и в большинстве случаев — уведомление в Роскомнадзор.

Чем политика отличается от оферты?

Политика регулирует обработку персональных данных: какие данные собираете, зачем, кому передаёте, сколько храните. Оферта — это договор с пользователем на условиях оказания услуги или продажи товара. Это два разных документа с разными функциями. Шаблон политики не закрывает оферту, и наоборот.

Что такое уведомление в Роскомнадзор и кому оно нужно?

Уведомление о намерении осуществлять обработку персональных данных — это процедура, по которой оператор сообщает РКН о том, что собирается обрабатывать ПДн. Подаётся до начала обработки. Регулируется статьёй 22 152-ФЗ. Для обычного коммерческого сайта с формой уведомление обычно нужно — исключений из закона мало, и они касаются специфических случаев.

Я самозанятый — мне нужны политика и уведомление?

Да. Самозанятый, у которого есть сайт с формой записи или заявки, — оператор персональных данных. Жалобы от клиентов на самозанятых приходят реже, чем на ИП, но если придёт — штраф 6–10 тысяч рублей за обработку без согласия и до 300 тысяч за неисполнение требования.

У меня шаблонная политика из интернета — этого достаточно?

Чаще всего нет. Шаблонная политика обычно говорит про среднюю компанию: «передаём данные третьим лицам», «храним 5 лет», «можем отправлять рекламу». Если у вас, например, нет рассылки или наоборот стоит рассыльщик — этого в шаблоне не учтено. При проверке РКН смотрит на соответствие документа реальной обработке, не на красивые формулировки.

Какие штрафы за нарушение 152-ФЗ в 2026 году?

Базовые штрафы за нарушение порядка обработки для ИП — от 10 до 40 тысяч рублей по разным составам. Штраф за неисполнение требования РКН в срок — до 300 тысяч рублей для ИП. С 1 июля 2025 действует прямой запрет использования зарубежных баз данных при первичном сборе ПДн граждан РФ — за это до 6 миллионов рублей для юрлиц за первое нарушение и до 18 миллионов за повторное (по части 8 и 9 статьи 13.11 КоАП). Оборотные штрафы за утечки персональных данных — до 500 миллионов рублей для юрлиц. Конкретные суммы зависят от состава нарушения и редакции КоАП РФ на момент рассмотрения дела.

Если придёт требование из РКН, у меня сразу штраф?

Нет. Сначала Роскомнадзор присылает требование об устранении нарушений с конкретным списком и сроком (обычно 30 дней). Если требование исполнено в срок и вы предоставили подтверждение — штрафа не будет. Штраф наступает за неисполнение требования.

Сколько по времени готовится пакет документов?

Базовый — до 5 рабочих дней после заполнения брифа. Расширенный — 7–10 рабочих дней с учётом контрольная проверка после того, как вы разместили документы.

Можно сначала проверить сайт, а потом решить, нужен ли пакет?

Конечно. Для этого мы сделали бесплатный сервис автоматической проверки. Запустите проверку, получите отчёт — увидите, что найдено и что нужно дорабатывать. Если у вас всё в порядке — мы об этом честно скажем.

Сайт работает на Tilda / WordPress / Bitrix — подходит ли пакет?

Сами документы текстовые, подходят для любой платформы. Отличается размещение: на разных CMS немного по-разному ставятся ссылки в подвале, чекбоксы под формами и текст оферты на странице оплаты. В расширенном пакете мы даём карту размещения под вашу платформу, в базовом — текстом, дальше делаете сами или подрядчик.

Я уже подавал уведомление в РКН несколько лет назад — нужно подавать снова?

Не нужно подавать заново — нужно проверить актуальность сведений по ИНН на pd.rkn.gov.ru/operators-registry/operators-list. Если за это время вы добавили формы, рассылку, новый домен, изменили данные ИП — сведения устарели. В расширенном пакете мы это проверяем и подаём уведомление об изменениях.

Источники и нормативная база

Все утверждения в статье опираются на действующие нормативные акты и официальные ресурсы. Перед публичным использованием — рекомендуем проверить актуальность по ссылкам ниже.

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — основной закон, регулирующий обработку ПДн в России. Текст на pravo.gov.ru.
• Федеральный закон от 30.11.2024 № 420-ФЗ — изменения в КоАП РФ, ужесточение ответственности за нарушения 152-ФЗ. Текст на publication.pravo.gov.ru. Вступил в силу 30 мая 2025 года в основной части.
• Гражданский кодекс РФ, части 1 и 2 — оферта, акцепт, договор оказания услуг (статьи 432–445, 779–783).
• Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей» — права покупателя при продаже через интернет.
• Кодекс Российской Федерации об административных правонарушениях — статьи 13.11, 19.5 и связанные.
• Приказ Роскомнадзора от 24.02.2021 № 18 — об утверждении формы согласия на распространение ПДн.
• Официальный сайт Роскомнадзора по персональным данным: pd.rkn.gov.ru.
• Реестр операторов персональных данных: pd.rkn.gov.ru/operators-registry/operators-list.
• Форма уведомления об обработке ПДн: pd.rkn.gov.ru/operators-registry/notification/form.

Если читаете статью в 2027 году и позже — обязательно проверьте актуальность редакции КоАП и сумм штрафов: законодательство по ПДн меняется быстро, особенно после крупных утечек 2024–2025 годов.

Что делать прямо сейчас, если у вас есть сайт с формой

Если дочитали до сюда — у вас уже хорошая база, чтобы действовать. Конкретный план на ближайшую неделю:

Сегодня. Запустите бесплатную автоматическую проверку — посмотрите, что на сайте есть и чего нет. Это занимает минуту. После отчёта вы поймёте, в какой зоне находитесь: можно подождать, или это уже срочно.

Проверить сайт →

В ближайшие 3 дня. Проверьте, есть ли вы в реестре операторов РКН по своему ИНН. Если есть — посмотрите, актуальны ли данные. Если нет — это первая позиция, которую нужно закрыть.

На этой неделе. Откройте свою политику конфиденциальности (если она есть). Пройдитесь по чек-листу из этой статьи и отметьте, что на месте, а что нужно дополнить.

Если есть силы и время — можно собрать документы самостоятельно по нашему гайду 152-ФЗ для ИП и самозанятых, а оферту — по статье про договор-оферту.

Если нет времени разбираться — мы соберём пакет под вас. Базовый за 14 000 ₽ или расширенный за 20 000 ₽ — с проверкой юристом после размещения. Сроки и состав каждого пакета — на странице услуги.

Закрыть тему за один заход: документы, согласия и уведомление в РКН под ваш сайт.

• Бесплатно прогоните сайт через автоскан — за минуту увидите зоны риска
• Определимся с пакетом — базовый 14 000 ₽ или расширенный 20 000 ₽
• Подготовим политику, согласие и оферту под ваш реальный бизнес — за 5 рабочих дней
• Сопроводим подачу уведомления в Роскомнадзор
• Проверим живой сайт после размещения (в расширенном пакете)

Перейти к пакету «Легальный сайт» →

Если хочется сначала вживую разобраться в теме — у нас был прямой эфир «Легальный сайт за 60 минут», запись по той же ссылке. Там за час пройден тот же материал в формате разбора сайтов участников через автоскан.

Об авторе

Агентство Владимира Алдушина — бухгалтерия и право для микробизнеса с 2018 года. Юридические документы для сайтов готовят два штатных юриста с практикой по 152-ФЗ и договорной работе, юр-контроль каждого пакета — на основателе агентства.

С момента вступления в силу поправок 420-ФЗ в мае 2025 года агентство подготовило несколько сотен пакетов документов для сайтов ИП, самозанятых, бьюти-сегмента, онлайн-школ и интернет-магазинов. Работаем со всеми регионами России.

Подробнее об авторе и команде

---

Статья носит информационный характер. Опубликована 16 мая 2026 года, отражает редакцию 152-ФЗ и КоАП РФ на эту дату. Конкретные решения по вашей ситуации — лучше обсуждать с юристом или нашей командой, чтобы учесть детали бизнеса, которые в общем материале не разобраны.