Проверито
Administrator
152-ФЗ·31 марта 2026 г.

Персональные данные на сайте: полный гид для владельцев бизнеса в 2026 году

Персональные данные на сайте: полный гид для владельцев бизнеса в 2026 году

При проверке более сотни сайтов малого и среднего бизнеса за последние полгода выяснилось: у каждого — от трёх до семи нарушений в области персональных данных. Владельцы при этом уверены, что всё в порядке: «мы же политику конфиденциальности поставили». Спойлер: одной политики недостаточно, и у половины она ещё и нерабочая.

Самое обидное — привести сайт в порядок стоит от нуля до пары тысяч рублей. А штраф за одно нарушение начинается от 30 000 рублей. За несколько нарушений на одном сайте суммы складываются и легко переваливают за 200 000.

В этой статье — всё, что нужно знать о персональных данных на сайте. Без юридического жаргона, с конкретными примерами и чек-листом, который можно пройти за 15 минут.

Что вообще считается персональными данными

Персональные данные — это любая информация, по которой можно прямо или косвенно определить конкретного человека. Определение из статьи 3 закона 152-ФЗ звучит именно так, и оно намеренно широкое.

Имя, фамилия, телефон, email — это очевидно. Но персональными данными также считаются:

  • IP-адрес пользователя
  • Cookie-файлы (включая те, что ставит Яндекс.Метрика и Google Analytics)
  • Геолокация
  • Идентификатор устройства
  • Дата рождения
  • Адрес доставки
  • Платёжные данные (номер карты, хотя его обычно обрабатывает платёжная система)
  • Фотографии и аватарки
  • Данные из соцсетей при авторизации через них
  • Любые данные, которые в сочетании позволяют идентифицировать человека

Последний пункт — важный. Даже если вы собираете только email, это уже персональные данные, потому что по email-адресу часто можно установить конкретного человека. Имя + телефон — тем более.

Распространённое заблуждение

«Мы не собираем паспортные данные, значит, закон нас не касается». Это не так. Даже простая форма «Имя + телефон» для обратного звонка — это сбор персональных данных, и вы автоматически становитесь оператором ПДн по 152-ФЗ.

Типичный сайт собирает персональные данные из 6 источников: формы, аналитика, cookie, чат, личный кабинет, оплата
Типичный сайт собирает персональные данные из 6 источников: формы, аналитика, cookie, чат, личный кабинет, оплата

Какие сайты собирают персональные данные (спойлер: почти все)

Если у вас на сайте есть хотя бы один пункт из этого списка — вы оператор персональных данных:

  • Форма обратной связи (имя, телефон, email)
  • Форма «Перезвоните мне»
  • Регистрация или личный кабинет
  • Корзина и оформление заказа
  • Подписка на рассылку (даже только email)
  • Квиз, калькулятор, заявка на расчёт
  • Форма загрузки резюме
  • Чат с поддержкой, если запрашивает контакты
  • Яндекс.Метрика, Google Analytics
  • Пиксели ВКонтакте, Facebook, TikTok
  • Авторизация через соцсети
  • Онлайн-запись (на приём, на услугу)
  • Комментарии к статьям

За шесть месяцев проверок не нашлось ни одного коммерческого сайта, который бы не собирал персональные данные. Даже одностраничный сайт-визитка с единственной формой «Оставьте заявку» — уже оператор.

Особый случай — аналитика. Яндекс.Метрика ставит cookie, собирает информацию о поведении пользователя, его устройстве и местоположении. Google Analytics делает то же самое плюс передаёт данные за рубеж. Если у вас стоит хоть один счётчик — вы собираете ПДн, даже если на сайте нет ни одной формы.

Что закон требует от владельца сайта

152-ФЗ и подзаконные акты предъявляют к оператору ПДн целый набор требований. Ниже они сгруппированы по тому, что нужно сделать именно на сайте — это то, что проверяет Роскомнадзор дистанционно, не приходя к вам в офис.

1. Политика конфиденциальности

Документ, описывающий, какие данные вы собираете, зачем и как обрабатываете. По статье 18.1 закона 152-ФЗ, оператор обязан опубликовать его в свободном доступе. Обычно размещают ссылку в подвале каждой страницы.

Политика должна содержать обязательные разделы: перечень собираемых данных, цели обработки, правовые основания, сроки хранения, порядок отзыва согласия, информацию о передаче третьим лицам и трансграничной передаче, контакты ответственного. Подробнее о том, как составить политику правильно, — в нашем материале о политике конфиденциальности.

Главные ошибки: шаблон из интернета 2018 года с чужим названием компании, отсутствие раздела про cookie, битая ссылка на документ после переезда сайта.

2. Согласие на обработку ПДн в каждой форме

Каждая форма, которая собирает данные пользователя, должна иметь чекбокс с текстом вроде «Я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности». Ссылка на политику — обязательна и должна быть кликабельной.

Чекбокс должен быть пустым по умолчанию. Предзаполненный чекбокс — это не активное согласие, и РКН считает это нарушением. Подробнее об этом — в статье о согласии на обработку персональных данных.

Самая частая ошибка: чекбокс есть на главной форме, а на форме в поп-апе или на странице «Контакты» — забыли. Инспектор проверяет все формы.

3. Информация об операторе

Пользователь должен знать, кто именно обрабатывает его данные. Название организации (или ФИО ИП), ИНН, юридический адрес, контакты ответственного за обработку ПДн. Это можно указать в политике конфиденциальности или вынести отдельно — главное, чтобы информация была доступна.

На большинстве сайтов этого нет. В политике написано «Компания» или «Администрация сайта» без конкретики. Это нарушение статьи 18.1 152-ФЗ.

4. Уведомление о cookie

Если на сайте установлены Яндекс.Метрика, Google Analytics, пиксели соцсетей или любые другие скрипты, использующие cookie, — нужен баннер с уведомлением. Текст должен сообщать, что сайт использует cookie, и давать возможность узнать подробнее (ссылка на политику или отдельную страницу о cookie).

Казалось бы, мелочь, но формально отсутствие уведомления — нарушение. А поставить баннер — дело пяти минут.

5. Уведомление Роскомнадзора

По статье 22 закона 152-ФЗ, оператор обязан уведомить Роскомнадзор о начале обработки персональных данных. Уведомление подаётся через сайт pd.rkn.gov.ru. Это бесплатно и занимает 15-20 минут.

Есть исключения: данные сотрудников по трудовому договору можно обрабатывать без уведомления. Но данные клиентов, посетителей сайта, подписчиков рассылки — под исключения не попадают. Если вы собираете данные через сайт, уведомление обязательно.

Штраф за неуведомление: 3 000 — 5 000 рублей для ИП, 30 000 — 50 000 для юрлиц. Не гигантский, но зачем его получать, если подать уведомление — бесплатно?

6. Пользовательское соглашение

Если на сайте есть регистрация, оформление заказов, подписка на платный контент — нужно пользовательское соглашение. Это не требование 152-ФЗ напрямую, но Гражданский кодекс и закон «О защите прав потребителей» обязывают предоставить публичную оферту. А в ней должны быть пункты об обработке данных.

Чек-лист: 6 элементов, которые должны быть на каждом сайте по 152-ФЗ
Чек-лист: 6 элементов, которые должны быть на каждом сайте по 152-ФЗ

Как Роскомнадзор проверяет сайты

Многие думают, что проверка РКН — это комиссия в офисе с папками документов. На самом деле проверка сайта — дистанционная. Инспектор открывает ваш сайт в браузере и последовательно проверяет:

  • Есть ли ссылка на политику конфиденциальности (обычно в подвале). Кликает, проверяет — открывается ли документ
  • Содержит ли политика обязательные разделы: оператор, данные, цели, сроки, порядок отзыва
  • Есть ли чекбоксы согласия во всех формах. Проверяет каждую форму, в том числе в поп-апах
  • Не предзаполнен ли чекбокс
  • Есть ли ссылка на политику рядом с чекбоксом
  • Есть ли баннер о cookie (если стоят счётчики)
  • Указан ли оператор ПДн с ИНН и адресом
  • Ищет ИНН компании в реестре операторов ПДн — подано ли уведомление

Вся проверка занимает 15-30 минут. Каждое найденное нарушение фиксируется скриншотом — и это отдельный протокол. Штрафы за разные нарушения складываются.

Проверки бывают плановые (по графику, публикуется на сайте РКН заранее) и внеплановые (по жалобе конкурента, клиента, бывшего сотрудника). Плюс РКН активно развивает автоматический мониторинг — боты сканируют сайты и выявляют очевидные нарушения.

Штрафы: сколько стоит нарушение

С конца 2024 года штрафы за нарушения в области ПДн выросли кратно. Вот актуальные суммы по основным составам статьи 13.11 КоАП:

Обработка без согласия: для ИП — 20 000 — 40 000 рублей, для юрлиц — 30 000 — 150 000. Повторно для юрлиц — 300 000 — 500 000.

Отсутствие или неполнота политики: для ИП — 10 000 — 20 000, для юрлиц — 30 000 — 60 000. Повторно — до 300 000.

Неуведомление РКН: для ИП — 3 000 — 5 000, для юрлиц — 30 000 — 50 000.

Типичный сайт с тремя нарушениями (нет согласия, неполная политика, нет уведомления РКН) получает 90 000 — 260 000 рублей штрафов за одну проверку. Подробнее о штрафах и как они складываются — в нашей статье о штрафах за персональные данные.

Штрафы по 152-ФЗ суммируются
Штрафы по 152-ФЗ суммируются

Топ-10 ошибок, которые встречаются на каждом втором сайте

Вот десятка лидеров по результатам полугода проверок — от самых частых к менее частым, но всё равно массовым.

Ошибка 1: Политика скопирована с чужого сайта

Вместе с чужим названием компании, ИНН и адресом. На практике встречался сайт автосервиса в Екатеринбурге с политикой от стоматологии в Москве. Просто скопировали через Ctrl+C и не перечитали. РКН расценивает это как отсутствие политики вообще.

Ошибка 2: Чекбокс есть только на одной форме

На главной форме поставили, а на форме обратного звонка — нет. На странице «Контакты» — нет. В поп-апе «Получить скидку» — нет. В квизе — нет. Инспектор проверяет все формы, и каждая без чекбокса — отдельное нарушение.

Ошибка 3: Предзаполненный чекбокс

Чекбокс есть, но он уже с галочкой по умолчанию. По закону согласие должно быть активным — пользователь сам ставит галочку. Предзаполненный чекбокс — это принуждение, а не согласие.

Ошибка 4: Ссылка на политику ведёт на 404

Поменяли CMS, перенесли сайт, обновили дизайн — а ссылка /privacy-policy теперь отдаёт «Страница не найдена». Никто не кликает по ссылке в подвале, поэтому никто не замечает. Кроме инспектора.

Ошибка 5: Нет баннера о cookie

Яндекс.Метрика стоит на 90% сайтов. Баннер о cookie — на 20%. Кажется, что «все так делают и ничего», но РКН всё активнее проверяет этот пункт.

Ошибка 6: Оператор не указан

В политике написано «Администрация сайта» или просто «Компания». Без ИНН, без юридического адреса, без ответственного. По закону пользователь должен точно знать, кто обрабатывает его данные.

Ошибка 7: Нет раздела о cookie в политике

Политика описывает имена и телефоны, но ни слова про cookie, аналитику, пиксели. А это тоже персональные данные, которые нужно перечислять и для которых нужно указывать цели и основания обработки.

Ошибка 8: Нет информации о трансграничной передаче

Google Analytics передаёт данные в США. Mailchimp — тоже. Даже если вы используете AWS для хранения — формально данные уходят за рубеж. Это трансграничная передача, и её нужно описать в политике. Про это забывают почти все.

Ошибка 9: Нет порядка отзыва согласия

Пользователь имеет право отозвать согласие на обработку своих данных. Но как это сделать, если в политике не указан ни email, ни форма для отзыва? Закон требует описать процедуру.

Ошибка 10: Не подано уведомление в РКН

Проверяется за 10 секунд: инспектор ищет ваш ИНН в реестре операторов ПДн на сайте РКН. Нет записи — нарушение. Подать уведомление — бесплатно, занимает 20 минут. Не подать — штраф 30 000 — 50 000 рублей для юрлица.

Топ-10 ошибок в области персональных данных — встречаются на каждом втором сайте
Топ-10 ошибок в области персональных данных — встречаются на каждом втором сайте

Чек-лист: проверьте свой сайт за 15 минут

Вот пошаговый чек-лист. Откройте свой сайт в браузере и пройдитесь по каждому пункту.

Блок 1: Политика конфиденциальности

  • Ссылка на политику есть в подвале каждой страницы
  • Ссылка работает (не отдаёт 404 или пустую страницу)
  • В политике указан оператор: полное наименование, ИНН, адрес
  • Перечислены все виды собираемых данных (включая cookie, IP)
  • Указаны цели обработки для каждого типа данных
  • Указаны правовые основания обработки
  • Указаны сроки хранения данных
  • Описан порядок отзыва согласия (email или форма)
  • Есть раздел о передаче данных третьим лицам
  • Есть раздел о трансграничной передаче (если используете зарубежные сервисы)
  • Указан ответственный за обработку ПДн с контактами

Блок 2: Формы и согласия

  • Каждая форма на сайте имеет чекбокс согласия на обработку ПДн
  • Чекбокс не предзаполнен (пустой по умолчанию)
  • Рядом с чекбоксом — кликабельная ссылка на политику конфиденциальности
  • Проверены все формы: главная, обратный звонок, контакты, поп-апы, квизы, подписка
  • Кнопка отправки заблокирована, пока не поставлена галочка

Блок 3: Cookie и аналитика

  • Есть баннер/уведомление о cookie при первом визите
  • Баннер содержит ссылку на подробную информацию
  • В политике описаны cookie, которые используются на сайте
  • Указаны цели использования cookie (аналитика, реклама, функциональность)

Блок 4: Регуляторные требования

  • Уведомление об обработке ПДн подано в Роскомнадзор (проверить: pd.rkn.gov.ru)
  • Информация в уведомлении актуальна (если поменяли данные — нужно обновить)
  • Если есть регистрация/заказы — есть пользовательское соглашение

Если хотя бы один пункт — нет или не уверены, это потенциальное нарушение. Каждое может обойтись в десятки тысяч рублей штрафа.

Отдельные случаи: интернет-магазины, лендинги, SaaS

Интернет-магазин

Самый «тяжёлый» случай по объёму данных. Собираете имя, телефон, email, адрес доставки, иногда паспортные данные (для дорогих товаров), историю заказов. Плюс cookie, аналитика, ретаргетинг.

Нужно: политика конфиденциальности (подробная, с перечнем всех данных), пользовательское соглашение, публичная оферта, чекбоксы на каждом шаге (регистрация, оформление заказа, подписка), баннер cookie, уведомление РКН.

Особое внимание — оформлению заказа без регистрации. Даже если пользователь не создаёт аккаунт, при оформлении заказа он вводит свои данные, и чекбокс согласия обязателен.

Лендинг

Одна страница, одна-две формы. Кажется, что всё просто. Но на лендингах чаще всего встречаются нарушения — именно потому, что их делают быстро, в Тильде или конструкторе, и о юридических документах не думают.

Минимум: политика конфиденциальности (можно на отдельной странице), чекбокс в каждой форме, баннер cookie, ссылка на политику в подвале.

SaaS-сервис

Дополнительная сложность: вы не только оператор данных своих пользователей, но и, возможно, обработчик данных пользователей ваших клиентов. Если ваш SaaS хранит или обрабатывает ПДн третьих лиц, нужны дополнительные документы: соглашение об обработке данных (DPA), описание мер безопасности.

Но на уровне сайта — те же требования: политика, чекбоксы, cookie-баннер, уведомление.

Что делать прямо сейчас

Если вы дочитали до этого места — вы уже знаете больше, чем 90% владельцев сайтов. Осталось применить.

Шаг 1. Пройдитесь по чек-листу выше. Это можно сделать за 15-20 минут вручную. Откройте сайт, проверьте каждый пункт. Записывайте, что не в порядке.

Шаг 2. Исправьте критичное. Сначала — чекбоксы во все формы, рабочая ссылка на политику, базовая информация об операторе. Это закрывает самые частые нарушения.

Шаг 3. Обновите или замените политику конфиденциальности. Проверьте, что в ней есть все обязательные разделы и что она отражает реальную ситуацию с данными на вашем сайте.

Шаг 4. Подайте уведомление в Роскомнадзор, если ещё не подали. Это бесплатно: pd.rkn.gov.ru.

Шаг 5. Поставьте баннер cookie, если стоит аналитика.

Если не хотите проверять вручную или не уверены, что ничего не пропустили — мы сделали «Проверито». Сервис открывает ваш сайт в реальном браузере, проходит по всем страницам и формам, проверяет каждый пункт из этого чек-листа. Через 5-15 минут — PDF-отчёт с оценкой по каждому критерию и конкретными рекомендациями, что исправить.

Проверка стоит от 299 рублей. Штраф за одно нарушение — от 30 000. Математика простая.

Фрагмент PDF-отчёта Проверито — оценки по критериям, найденные нарушения, рекомендации
Фрагмент PDF-отчёта Проверито — оценки по критериям, найденные нарушения, рекомендации
9
Проверито

Автоматическая проверка вашего сайта на соответствие 152-ФЗ и 168-ФЗ. PDF-отчёт с рекомендациями за 5–15 минут.

Проверить сайт

Читайте также

Проверка сайта Роскомнадзором: как проходит, что смотрят, как подготовиться и не получить штраф

Роскомнадзор проверяет сайты — и это уже не теория, а регулярная практика. Разбираемся, как проходят проверки, что именно смотрят, как к ним подготовиться и что делать, если проверка уже началась.