152-ФЗ для веб-проекта: чек-лист соответствия

152-ФЗ «О персональных данных» применим почти ко всем сайтам, которые собирают хотя бы email или телефон. Соблюдение требований — это не «тяжёлые юридические процедуры», а понятный чек-лист на 1–2 недели работы юриста и 3–5 дней технической интеграции. Ниже — полный разбор для владельцев сайтов и веб-сервисов: кто признаётся оператором, как подавать уведомление в РКН (включая отдельное уведомление о трансграничной передаче), что такое специальные категории ПДн, какие меры защиты обязательны по приказу ФСТЭК № 21, какие штрафы введены 158-ФЗ от 30.11.2024 (с обновлённой ст. 13.11 КоАП и оборотными штрафами 1–3% выручки), что делать в течение 24 и 72 часов при утечке, и какие пункты должны быть в политике обработки ПДн на сайте.

Что считается персональными данными

По ст. 3 152-ФЗ персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физлицу (субъекту ПДн). На сайте к ПДн относятся:

• ФИО, дата рождения, пол;
• номер телефона, email, мессенджеры;
• адрес доставки, паспортные данные, ИНН;
• сведения о здоровье (медицина, фитнес, страхование);
• финансовые данные (за исключением реквизитов платёжной карты — их хранит платёжный провайдер);
• IP-адрес, user-agent, идентификатор устройства;
• cookies, идентификаторы сессии, fingerprint браузера;
• история заказов, история входов, действия в личном кабинете;
• геолокация (если сайт её запрашивает).

Если сайт собирает или хранит хоть один из этих типов данных — он работает с ПДн и автоматически попадает под действие 152-ФЗ со всеми обязанностями оператора. Лендинг с одной формой «оставить заявку» — уже оператор.

Кто является оператором

По ст. 3 152-ФЗ оператор — это лицо, которое самостоятельно или совместно с другими организует и/или осуществляет обработку ПДн, а также определяет цели и состав обрабатываемых данных. Для веб-проекта это означает:

• Оператор — владелец сайта: ИП или юрлицо, которое запустило сайт для своих бизнес-целей.
• Хостинг-провайдер — НЕ оператор, а обработчик (по ст. 6 ч. 3 152-ФЗ). Между владельцем и провайдером нужен договор обработки.
• Разработчик-подрядчик на этапе разработки и поддержки — также обработчик, не оператор.
• Сервисы CRM, рассылок, аналитики — обработчики или сооператоры, в зависимости от того, для своих ли целей они используют данные.

Если сайт работает в интересах нескольких юрлиц (маркетплейс, агрегатор) — это совместная обработка, требующая соглашения о распределении обязанностей по ст. 9 ч. 1.

Категории ПДн и их режимы

152-ФЗ выделяет четыре категории, каждая со своим режимом обработки:

Если медицинский сайт собирает анкеты с диагнозами — это специальная категория. Если онлайн-сервис делает идентификацию пациента по селфи — это биометрия с обязательной интеграцией с ЕБС через bio.rt.ru. Большинство коммерческих сайтов работают только с общими ПДн, но при проектировании это нужно явно подтвердить и зафиксировать в локальном акте.

Специальные категории ПДн: отдельные правила

Спецкатегории по ст. 10 152-ФЗ требуют:

1. Отдельного письменного (или эквивалентного электронного) согласия — нельзя «упаковать» спецкатегории в общее согласие на обработку ПДн.
2. Отдельного основания, перечисленного в ст. 10 ч. 2: согласие субъекта; защита жизни и здоровья при невозможности получить согласие; общественные интересы; медицинская/социальная цель при условии профессиональной тайны; судебная деятельность.
3. Усиленных мер защиты — как минимум УЗ-2, шифрование при хранении (AES-256 или ГОСТ Р 34.12-2015 «Кузнечик»), сегментация сети, строгая ролевая модель.
4. Регистрации в ЕБС для биометрии, используемой для идентификации (КоАП ст. 13.11.4 — отдельные штрафы за нарушения ЕБС).
5. Уголовной ответственности за незаконный сбор и распространение спецкатегорий — ст. 137 УК РФ (нарушение неприкосновенности частной жизни), ст. 272–274 УК РФ (неправомерный доступ к компьютерной информации, нарушение правил эксплуатации средств хранения).

Для большинства сайтов спецкатегории — повод не собирать их вовсе, если бизнес-цель это позволяет. Если собираете — выделяйте в отдельный сегмент инфраструктуры с собственным контуром защиты.

Уведомление Роскомнадзора: пошаговая инструкция

По ст. 22 152-ФЗ оператор обязан до начала обработки ПДн уведомить РКН о своём намерении это делать.

Где подавать. Личный кабинет на портале pd.rkn.gov.ru (электронно с УКЭП руководителя или ИП). Альтернатива — заказное письмо в территориальное управление РКН по месту регистрации оператора. Электронный путь занимает минуты, бумажный — недели.

Какие поля заполняются:

1. Наименование/ФИО оператора (полное и сокращённое).
2. ИНН, ОГРН (или ОГРНИП).
3. Юридический и фактический адреса.
4. Контактный телефон, email, сайт.
5. Цели обработки ПДн (конкретно: «оформление заказов», «доставка товара», «информационная рассылка по согласию», а не «улучшение сервиса»).
6. Правовое основание (152-ФЗ, ГК РФ, ТК РФ, отраслевые законы).
7. Категории субъектов ПДн (клиенты, сотрудники, контрагенты, посетители сайта).
8. Перечень обрабатываемых ПДн поименно (ФИО, телефон, email, адрес доставки, IP, cookies — если относите их к ПДн).
9. Способы обработки (с использованием средств автоматизации, без них, смешанная).
10. Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.
11. Срок или условие прекращения обработки (например, «до отзыва согласия субъекта»).
12. Описание мер защиты (со ссылкой на приказ ФСТЭК № 21 и применимый УЗ).
13. ФИО и контакты ответственного за организацию обработки ПДн (ст. 22.1).
14. Сведения о трансграничной передаче (если она планируется — ставите отметку и подаёте отдельное уведомление, см. ниже).
15. Сведения о местонахождении баз данных (страна, провайдер, ЦОД).

Срок рассмотрения — до 30 дней; на практике уведомление принимается в течение 5–10 рабочих дней. После этого оператор появляется в публичном Реестре операторов ПДн на сайте РКН — любой человек или контрагент может проверить ваш статус.

После изменений. При смене целей, состава ПДн, мер защиты, ответственного, юр. адреса — нужно подать уведомление об изменениях в течение 10 рабочих дней (ст. 22 ч. 7).

Освобождения от уведомления (ст. 22 ч. 2) на коммерческий сайт обычно не распространяются — даже сбор только email для рассылки требует уведомления.

Уведомление о трансграничной передаче ПДн

После 266-ФЗ от 14.07.2022 (вступил в силу с 01.03.2023) трансграничная передача ПДн требует отдельного уведомления в РКН — это самостоятельная процедура, а не пункт в общем уведомлении.

Когда обязательно:

• использование зарубежных облаков (AWS, GCP, Azure, Cloudflare для хранения и обработки);
• зарубежные CDN (Cloudflare, Fastly, Akamai), если они кэшируют ПДн;
• зарубежная аналитика (Google Analytics 4, Mixpanel, Amplitude, Hotjar);
• email-рассылки через зарубежные сервисы (Mailchimp, SendGrid, Postmark);
• передача лидов в Telegram, WhatsApp, зарубежные мессенджеры;
• зарубежные платёжные шлюзы и antifraud-сервисы;
• любая интеграция с SaaS, чьи серверы за пределами РФ.

Срок подачи — не позднее 10 рабочих дней до начала трансграничной передачи. Подаётся через тот же личный кабинет на pd.rkn.gov.ru, отдельной формой.

Что указывается:

1. Реквизиты оператора (как в общем уведомлении).
2. Перечень стран-получателей.
3. Сведения об иностранных получателях (наименование, адрес).
4. Цели передачи.
5. Категории и перечень передаваемых ПДн.
6. Правовое основание передачи (согласие, договор, закон).
7. Описание мер защиты, применяемых иностранным получателем.
8. Оценка адекватности защиты ПДн в стране-получателе.

Реакция РКН. В течение 10 рабочих дней регулятор может запретить или ограничить передачу в страны, не обеспечивающие адекватной защиты. Список «адекватных» стран утверждён приказом РКН № 274 от 05.08.2022. США, Великобритания, ЕС в список не входят — для них применяется особый режим: передача допустима только при наличии одного из исключений ст. 12 ч. 4 (согласие субъекта на трансграничную передачу в страну без адекватной защиты, защита жизни/здоровья, исполнение договора, заключённого по инициативе субъекта).

Игнорирование уведомления о трансграничной передаче — типовая претензия при проверках и одно из частых оснований для штрафа.

Локализация ПДн по 242-ФЗ и 587-ФЗ

ФЗ-242 от 21.07.2014 (через ст. 18 ч. 5 152-ФЗ) обязывает операторов обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан РФ в базах данных, расположенных на территории РФ. ФЗ-587 от 28.12.2022 уточнил формулировки и расширил контроль.

Что считается обработкой по ст. 3 п. 3 152-ФЗ — ровно эти действия плюс использование, передача, обезличивание, блокирование, удаление, уничтожение.

Схема локализации для веб-проекта:

1. Пользователь отправляет форму на сайте.
2. Сервер-приёмник физически расположен в РФ (Yandex Cloud, VK Cloud, Selectel, Timeweb, Reg.ru).
3. Первичная запись ПДн делается в БД на российском хостинге — это закрывает требование 242-ФЗ.
4. Дальнейшая передача за рубеж (зарубежная CRM, рассылка, аналитика) допустима только при наличии согласия на трансграничную передачу и поданного уведомления в РКН.

Бэкапы — тоже в РФ. Иностранные облака допустимы исключительно для производных, обезличенных или агрегированных данных. Cloudflare как WAF/CDN — допустим в режиме «без терминации TLS на иностранных узлах»; если Cloudflare расшифровывает трафик с ПДн на узлах за рубежом, это уже трансграничная передача.

Российские провайдеры с готовой аттестацией соответствия 152-ФЗ: Yandex Cloud (ИСПДн до УЗ-1), VK Cloud, Selectel, Cloud.ru. Они выдают аттестат, который прикладывается к локальному акту оператора.

Согласие на обработку: форма и обязательные пункты

Согласие — основное правовое основание для обработки ПДн (ст. 9 152-ФЗ). Форма:

• Письменная — обязательна для специальных категорий, биометрии, для случаев из ст. 9 ч. 4.
• Электронная — допустима для общих ПДн при условии, что форма позволяет подтвердить факт согласия (активный чекбокс плюс журнал согласий в БД).
• Конклюдентная (вытекающая из действий) — допускается ограниченно, в споре сложно доказать.

Обязательные пункты согласия (ст. 9 ч. 4):

1. ФИО, адрес, паспорт субъекта (для веба — данные, которые субъект ввёл сам).
2. Наименование/ФИО и адрес оператора (с ИНН/ОГРН/ОГРНИП и контактом для запросов).
3. Конкретная цель обработки (не «улучшение сервиса», а «оформление заказа», «доставка», «уведомления о статусе»).
4. Перечень обрабатываемых ПДн поименно.
5. Перечень действий с ПДн.
6. Срок действия согласия.
7. Порядок отзыва.

Без любого из этих пунктов согласие признаётся ничтожным, и обработка считается незаконной.

Согласие на ПДн и согласие на маркетинговые рассылки — два разных документа. Их нельзя принимать одной кнопкой: РКН считает такое согласие ничтожным (нарушение принципа конкретности целей).

Что должно быть на сайте

Минимальный набор:

• Страница /privacy (или /политика-обработки-пдн) с действующей политикой обработки ПДн.
• Отдельный документ согласия /consent с конкретным текстом (то, под чем фактически подписывается пользователь).
• Активный (не предвыбранный) чекбокс согласия на каждой форме сбора ПДн.
• Ссылка на политику в подвале сайта со всех страниц (включая внутренние и админ-разделы).
• Cookie-баннер с возможностью отказа от не-обязательных cookie и раздельным выбором категорий (необходимые / аналитические / маркетинговые).
• Контакты ответственного за обработку ПДн в политике или на отдельной странице.
• Кнопки/формы для реализации прав субъекта: запрос данных, исправление, удаление, отзыв согласия.

Cookies и 242-ФЗ: баннер согласия

Cookies в практике РКН и судов отнесены к ПДн в части идентификаторов сессии и аналитических cookies. Это означает:

• Баннер согласия обязателен для аналитических и маркетинговых cookies — до получения согласия эти cookies ставить нельзя.
• Раздельный выбор категорий: «технические» (без согласия, по правовому основанию исполнения договора), «аналитические», «рекламные».
• Журнал согласий на cookies в localStorage или серверной БД — с версией текста и timestamp.
• Возможность отзыва в любой момент через ту же кнопку, которой принимали.
• Описание каждого cookie в политике cookies или приложении к политике обработки ПДн: имя, цель, срок жизни, тип (first-party / third-party).

Яндекс Метрика — российский сервис, отдельная трансграничная передача не требуется. Google Analytics 4 — зарубежный, требует уведомления о трансграничной передаче и отдельного согласия пользователя; на практике многие операторы перешли на Метрику или отечественные альтернативы (Roistat, Top.Mail.Ru).

Передача ПДн третьим лицам

Каждый раз, когда сайт отправляет данные пользователя во внешнюю систему (CRM, ЮKassa, Tinkoff, Telegram, Yandex Metrika, GA4), это передача третьему лицу. Обязательства:

1. Указать в политике, кому передаются данные и зачем (с категориями получателей).
2. Получить согласие пользователя на эту передачу.
3. Если третье лицо за пределами РФ — оформить отдельное уведомление о трансграничной передаче.
4. Заключить с третьим лицом договор обработки (поручение по ст. 6 ч. 3) — для российских обработчиков; для зарубежных получателей-операторов — полноценный договор о передаче.
5. Контролировать соблюдение обработчиком мер защиты — оператор отвечает перед субъектом за нарушения со стороны обработчика.

Российские CRM (amoCRM, Bitrix24, RetailCRM) — операторы и обработчики ПДн на территории РФ, передача проще. Зарубежные сервисы (HubSpot, Intercom, Salesforce, Pipedrive) — требуют трансграничной передачи и часто непригодны без серьёзных юридических рисков.

Меры защиты по приказу ФСТЭК № 21

Приказ ФСТЭК России № 21 от 18.02.2013 устанавливает технические и организационные меры защиты ПДн в информационных системах. Минимальный набор для веб-проекта:

• Сертифицированные СЗИ — антивирус, межсетевой экран, средства анализа защищённости (для УЗ-1 и УЗ-2 — обязательны сертификаты ФСТЭК).
• Разграничение доступа — ролевая модель, отдельные учётные записи для администраторов и операторов, журналирование входов.
• Шифрование при передаче — TLS 1.2+ на всех страницах с формами и в API, HSTS, отключение устаревших шифров.
• Шифрование при хранении — для специальных категорий и биометрии — обязательно (AES-256 или ГОСТ «Кузнечик»); для общих ПДн — рекомендуется хотя бы шифрование бэкапов.
• Маскирование ПДн в логах — никаких ФИО, телефонов, email в stdout/stderr и файлах логов.
• Журналирование действий — все операции с ПДн (просмотр, изменение, экспорт, удаление) пишутся в неизменяемый журнал с timestamp, ID оператора и описанием действия.
• Резервное копирование — регулярные шифрованные бэкапы с тестовым восстановлением; ротация ключей шифрования бэкапов.
• Защита от вредоносного кода — антивирус на серверах, контроль целостности файловой системы.
• Обнаружение вторжений — IDS/IPS на периметре, мониторинг аномалий.
• Парольная политика — длина 12+, смена раз в 90 дней, 2FA для административного доступа.
• Физическая защита — для собственных серверов; для облака — аттестат соответствия провайдера.

Уровни защищённости УЗ-1 — УЗ-4

Уровень защищённости (УЗ) определяется по постановлению Правительства РФ № 1119 от 01.11.2012 на основе:

• типа ПДн (общие, специальные, биометрические, общедоступные);
• количества субъектов (до 100 000 или больше);
• актуальности угроз (1, 2 или 3 типа).

Большинство коммерческих сайтов малого и среднего бизнеса попадают в УЗ-4 или УЗ-3. Сайты медицинских клиник, фитнес-клубов с данными о здоровье, крупных банков и страховых — УЗ-2 и выше с обязательными сертифицированными СЗИ.

Уровень определяется самостоятельно на этапе проектирования через модель угроз (методика ФСТЭК «Базовая модель угроз», 2008) и фиксируется в локальном акте «Об определении уровня защищённости ИСПДн».

Хранение и удаление ПДн

По ст. 5 ч. 7 152-ФЗ ПДн обрабатываются не дольше, чем требуется для целей. После достижения цели данные подлежат удалению или обезличиванию (ст. 21 ч. 4). Срок хранения должен быть указан в политике и в согласии.

Практические сроки:

• ПДн в активных заказах — до завершения исполнения договора;
• ПДн для маркетинговой рассылки — до отзыва согласия;
• ПДн для бухгалтерских целей — 5 лет (НК РФ);
• логи и журналы — обычно 6–12 месяцев;
• бэкапы — с автоматической ротацией и шифрованием.

В архитектуре сайта нужен планировщик удалений: фоновая задача раз в сутки находит записи с истёкшим сроком и удаляет/обезличивает их с записью в журнал. Без этого первая же проверка РКН зафиксирует нарушение принципа ограничения сроков.

Права субъекта ПДн

Субъект имеет (ст. 14, 20, 21 152-ФЗ):

• право на доступ к своим ПДн (получить копию того, что хранится);
• право на исправление неточных данных;
• право на удаление ПДн (если цели достигнуты или нет правового основания);
• право отозвать согласие в любой момент;
• право на информацию о третьих лицах, которым переданы данные;
• право на обжалование действий оператора в РКН и в суд.

Срок ответа — 10 рабочих дней с возможностью продления ещё на 5. На сайте права реализуются через личный кабинет, форму обращения или email ответственного за обработку. Обращение должно содержать ФИО, паспортные данные или иной идентификатор, описание запроса и подпись (или ЭЦП). Без этих сценариев первая же жалоба в РКН превратится в проверку с типовой претензией «не обеспечена реализация прав субъекта».

Политика обработки ПДн

Политика — публичный документ, в котором оператор раскрывает свои подходы к обработке ПДн. По ст. 18.1 ч. 2 152-ФЗ её нужно разместить в открытом доступе (на сайте по постоянной ссылке) и упомянуть во всех формах сбора ПДн.

Структура политики:

1. Общие положения, реквизиты оператора, ответственный за организацию обработки.
2. Цели обработки (детализированно по типам субъектов).
3. Категории субъектов и состав ПДн.
4. Правовые основания (согласие, договор, закон, иные основания ст. 6).
5. Перечень действий с ПДн.
6. Сроки обработки и условия удаления.
7. Меры защиты (организационные и технические со ссылкой на приказ ФСТЭК № 21 и применимый УЗ).
8. Передача третьим лицам (с категориями получателей) и трансграничная передача.
9. Использование cookies и аналогичных технологий.
10. Права субъектов и порядок их реализации.
11. Порядок изменений политики и история версий.
12. Контакты для запросов и обжалования.

Политика обновляется при любом изменении состава ПДн, целей или мер защиты. История версий хранится в публичном виде, чтобы при проверке можно было показать, какая редакция действовала в любой момент времени.

DPO: ответственный за обработку ПДн

По ст. 22.1 152-ФЗ оператор обязан назначить ответственного за организацию обработки ПДн. Для крупных операторов (банки, маркетплейсы, госорганы, операторы спецкатегорий с большим объёмом) это обязательно отдельный сотрудник с профильной квалификацией. Для малого и среднего бизнеса допустимо совмещение с другими ролями (ИТ-директор, юрист, владелец ИП).

Обязанности ответственного:

• организация внутреннего контроля соответствия 152-ФЗ;
• информирование сотрудников о требованиях закона;
• приём и обработка обращений субъектов;
• взаимодействие с РКН (уведомления, ответы на запросы, проверки);
• участие в реагировании на инциденты с ПДн.

Реквизиты ответственного указываются в политике обработки ПДн и в уведомлении в РКН. При смене ответственного — обновляется и политика, и уведомление в РКН (10 рабочих дней).

Штрафы по обновлённой ст. 13.11 КоАП (после 158-ФЗ от 30.11.2024)

С 30.05.2025 вступила в силу новая редакция ст. 13.11 КоАП РФ (158-ФЗ от 30.11.2024) — штрафы значительно ужесточены, особенно за утечки. Введены оборотные штрафы за повторные утечки. Цифры:

Уголовная ответственность. За незаконный сбор и распространение спецкатегорий — ст. 137 УК РФ (нарушение неприкосновенности частной жизни), штраф до 200 000 ₽ или лишение свободы до 2 лет; с использованием служебного положения — до 4 лет. За неправомерный доступ к ПДн в информационной системе — ст. 272 УК РФ, до 7 лет; за нарушение правил эксплуатации средств хранения — ст. 274 УК РФ.

С 11.12.2024 действует отдельный состав ст. 272.1 УК РФ «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные» — штраф до 700 000 ₽ или лишение свободы до 4 лет; за крупный масштаб (более 100 000 субъектов или спецкатегории) — до 8 лет.

Самая болезненная позиция — оборотный штраф за повторную утечку: для бизнеса с выручкой от 700 млн ₽ один инцидент может обойтись в 20 млн ₽, а для крупного ритейла — в сотни миллионов.

Что делать при утечке ПДн: 24 и 72 часа

ФЗ-266 от 14.07.2022 ввёл обязанность оператора уведомлять РКН об инцидентах (ст. 21 ч. 6 152-ФЗ). С 30.05.2025 несоблюдение сроков — отдельный штраф до 3 млн ₽.

В течение 24 часов с момента обнаружения утечки или попытки несанкционированного доступа:

1. Подать в РКН первичное уведомление через личный кабинет на pd.rkn.gov.ru.
2. В уведомлении указать: факт инцидента, предполагаемые причины, категории и количество затронутых субъектов, состав скомпрометированных ПДн, предположительный ущерб.
3. Уведомить НКЦКИ (Национальный координационный центр по компьютерным инцидентам), если инцидент относится к КИИ, и ФСТЭК — для аттестованных систем.

В течение 72 часов — направить в РКН детальное уведомление с результатами внутреннего расследования, описанием технических причин (уязвимость, инсайдер, фишинг), списком предпринятых мер, планом устранения и оценкой остаточного риска.

Уведомление субъектов. Если субъекты могут быть идентифицированы — уведомить их об утечке (через email, SMS, личный кабинет, push). Текст должен содержать: факт инцидента, состав скомпрометированных данных, рекомендации (сменить пароль, отозвать платёжные карты, проверить выписки), контакты для вопросов. Для крупных утечек дополнительно — публичное раскрытие на сайте.

Внутренние действия:

• немедленно изолировать скомпрометированный сегмент (отключить от сети, заблокировать учётные записи);
• сменить ключи API, доступы к БД, секреты CI/CD, пересоздать сертификаты;
• провести ротацию всех секретов, к которым мог быть получен доступ;
• собрать и сохранить аудит-логи (доступа, действий, сетевые), снять образы скомпрометированных серверов для криминалистики;
• провести внутреннее расследование силами ИБ-команды или подключить внешнего консультанта (attestation третьей стороны — рекомендовано для отчёта в РКН);
• документировать всё — переписку, действия, временные метки, решения. Этот журнал нужен для возможной проверки и для смягчения наказания.

В архитектуре проекта должен быть регламент инцидента: ответственный за реагирование, шаблоны уведомлений в РКН, контакты НКЦКИ и ФСТЭК, процедуры изоляции и восстановления, шаблон уведомления субъектов. Регламент — отдельный локальный акт оператора, утверждённый приказом руководителя.

Шаблон первичного уведомления об инциденте (24 часа)

Пример формулировок для подачи в личный кабинет РКН:

Уведомление о факте неправомерной/случайной передачи (предоставления, распространения, доступа) персональных данных. Оператор: [наименование, ИНН, ОГРН]. Дата и время обнаружения инцидента: [YYYY-MM-DD HH:MM МСК]. Предполагаемые причины: [уязвимость в коде/несанкционированный доступ к учётной записи/иное]. Затронутые категории субъектов: [клиенты сайта]. Категории и состав ПДн: [ФИО, телефон, email, адрес доставки]. Предположительное количество субъектов: [N]. Принятые срочные меры: [изоляция сегмента, ротация ключей, смена паролей, информирование субъектов]. Ответственный за коммуникацию: [ФИО, должность, контакт]. Детальное уведомление по результатам расследования будет направлено в течение 72 часов.

Аудит соответствия

Раз в год полезен внутренний аудит соответствия 152-ФЗ:

• инвентаризация всех мест хранения ПДн (БД, бэкапы, логи, файлы, очереди сообщений, кеши);
• сверка фактических процессов с описанными в политике и согласии;
• проверка журналов на полноту и неизменяемость;
• тестирование сценариев отзыва согласия и удаления;
• проверка договоров с подрядчиками, хостингом, CRM, аналитикой на актуальность;
• pen-test и сканирование на уязвимости;
• проверка сроков уведомлений в РКН (общее, об изменениях, о трансграничной передаче).

Для крупных операторов раз в 1–3 года проводится внешний аудит аккредитованным консультантом или лицензиатом ФСТЭК — с выдачей заключения, которое предъявляется при проверках РКН и снижает риск штрафа.

Чек-лист соответствия 152-ФЗ для веб-проекта

Минимальный набор до публичного запуска (используйте как самопроверку):

1. Определён оператор (ИП/юрлицо), назначен ответственный по ст. 22.1.
2. Подано уведомление в РКН об обработке ПДн через pd.rkn.gov.ru.
3. Подано отдельное уведомление о трансграничной передаче (если применимо).
4. Политика обработки ПДн опубликована на сайте по постоянной ссылке.
5. Документ согласия на обработку ПДн опубликован отдельно.
6. На каждой форме сбора ПДн — активный (не предвыбранный) чекбокс согласия.
7. Согласие на ПДн и согласие на маркетинг — раздельные чекбоксы и формулировки.
8. Cookie-баннер с раздельным выбором категорий и кнопкой отзыва.
9. Реализованы сценарии прав субъекта: доступ, исправление, удаление, отзыв.
10. Первичная БД — на хостинге в РФ; бэкапы — в РФ, шифрованные.
11. TLS 1.2+ на всех страницах с формами и в API; HSTS.
12. Шифрование БД для спецкатегорий, маскирование ПДн в логах.
13. Журнал согласий с хешем версии текста, timestamp и IP.
14. Журнал действий с ПДн (просмотр, изменение, экспорт, удаление).
15. Договоры обработки с подрядчиками, хостингом, CRM, рассылками.
16. Определён уровень защищённости (УЗ-1 — УЗ-4) на основе модели угроз.
17. Внедрены меры защиты по приказу ФСТЭК № 21 для соответствующего УЗ.
18. Регламент реагирования на инциденты (24/72 часа в РКН).
19. Регламент ответа на запросы субъекта (10 рабочих дней).
20. Локальный акт «Об организации обработки ПДн» утверждён приказом.

Итого

Сайт, собирающий ПДн граждан РФ, — это оператор по 152-ФЗ со всеми обязанностями: уведомление РКН (общее и отдельное о трансграничной передаче через pd.rkn.gov.ru), политика обработки и согласие с 7 обязательными пунктами, локализация первичной записи на серверах в РФ, реализация прав субъекта, меры защиты по приказу ФСТЭК № 21 в зависимости от УЗ, регламент инцидентов с уведомлением 24/72 часа. Спецкатегории (здоровье, биометрия, политические/религиозные взгляды) требуют отдельного согласия, усиленных мер и риска уголовной ответственности по ст. 137 и 272.1 УК РФ. Штрафы по обновлённой ст. 13.11 КоАП после 158-ФЗ от 30.11.2024 — до 18 млн ₽ за нарушение локализации и до 500 млн ₽ за повторную утечку (оборотный 1–3% выручки). Минимальный пакет — 20 пунктов из чек-листа выше — закрывает 90% типовых претензий и блокирует крупные штрафы.

Частые вопросы

Когда сайт становится оператором персональных данных по 152-ФЗ?+

Если сайт собирает хотя бы один из видов данных: ФИО, телефон, email, адрес, паспортные данные, ИНН, IP-адрес, cookies (с спорной квалификацией, но безопаснее считать ПДн), идентификатор устройства, история заказов или входов, геолокация. Вы — оператор персональных данных. Дальше обязательства: уведомление в РКН, политика на сайте, согласие пользователя, локализация хранения в РФ, меры защиты по приказу ФСТЭК № 21. Практически любой сайт с формой контактов попадает под 152-ФЗ — даже простой лендинг с одной формой «оставить заявку» или подпиской на рассылку.

Как подать уведомление в Роскомнадзор о начале обработки ПДн?+

Уведомление подаётся через личный кабинет на pd.rkn.gov.ru (с УКЭП руководителя или ИП) либо на бумаге заказным письмом в территориальное управление РКН. В форме указываются: наименование/ФИО оператора, ИНН, ОГРН/ОГРНИП, юр. адрес, контакты, цели обработки, правовое основание, категории субъектов и ПДн поименно, способы и перечень действий с ПДн, срок обработки, описание мер защиты со ссылкой на приказ ФСТЭК № 21 и применимый УЗ, ФИО ответственного по ст. 22.1, сведения о трансграничной передаче, местонахождение баз данных. Срок рассмотрения до 30 дней, на практике 5–10 рабочих дней. После — оператор появляется в публичном Реестре операторов ПДн. При изменениях (цели, состав ПДн, ответственный, юр. адрес) — уведомление об изменениях в течение 10 рабочих дней.

Что такое уведомление о трансграничной передаче и когда оно нужно?+

После 266-ФЗ от 14.07.2022 (с 01.03.2023) трансграничная передача ПДн требует отдельного уведомления в РКН — не позднее 10 рабочих дней до начала передачи. Подаётся через личный кабинет на pd.rkn.gov.ru отдельной формой. Обязательно при использовании зарубежных облаков (AWS, GCP, Azure), CDN (Cloudflare, Fastly), аналитики (GA4, Mixpanel, Hotjar), email-сервисов (Mailchimp, SendGrid), интеграций с Telegram, WhatsApp, любых SaaS с серверами вне РФ. В уведомлении указываются страны-получатели, иностранные получатели, цели передачи, категории и состав ПДн, правовое основание, меры защиты у получателя, оценка адекватности защиты в стране-получателе. РКН в течение 10 рабочих дней может запретить или ограничить передачу в страны без адекватной защиты (список — приказ РКН № 274 от 05.08.2022). США, Великобритания, ЕС в список не входят.

Что такое специальные категории ПДн и какие к ним требования?+

По ст. 10 152-ФЗ спецкатегории — это раса, национальность, политические и религиозные взгляды, состояние здоровья, интимная жизнь, судимость. Биометрия (фото лица, отпечатки, голос, ДНК) — отдельная категория по ст. 11 с регистрацией в Единой биометрической системе. Требования: отдельное письменное (или эквивалентное электронное) согласие, отдельное правовое основание из ст. 10 ч. 2, усиленные меры защиты не ниже УЗ-2, шифрование при хранении (AES-256 или ГОСТ Кузнечик), сегментация сети, строгая ролевая модель. За незаконный сбор и распространение спецкатегорий — уголовная ответственность по ст. 137 УК РФ (до 4 лет с использованием служебного положения), ст. 272 УК РФ (до 7 лет за неправомерный доступ), ст. 272.1 УК РФ с 11.12.2024 (до 8 лет за крупный масштаб).

Какие штрафы за нарушение 152-ФЗ в 2025–2026 году после 158-ФЗ?+

С 30.05.2025 действует новая редакция ст. 13.11 КоАП (158-ФЗ от 30.11.2024). Для юрлиц: обработка без согласия — 300 000–700 000 ₽; отсутствие политики на сайте — 30 000–60 000 ₽; невыполнение запроса субъекта — 40 000–80 000 ₽; нарушение локализации в РФ — 1–6 млн ₽, повторно 6–18 млн ₽; утечка 1 000–10 000 субъектов — 3–5 млн ₽; утечка 10 000–100 000 — 5–10 млн ₽; утечка более 100 000 — 10–15 млн ₽; повторная утечка (оборотный) — 1–3% выручки за прошлый год, минимум 20 млн ₽, максимум 500 млн ₽; неуведомление РКН об инциденте в срок — 1–3 млн ₽. Уголовно по ст. 272.1 УК РФ — до 8 лет за крупный масштаб или спецкатегории.

Что делать при утечке ПДн: пошаговый план на 24 и 72 часа?+

В течение 24 часов с момента обнаружения утечки — подать в РКН первичное уведомление через pd.rkn.gov.ru с указанием факта, причин, затронутых субъектов и состава ПДн. Параллельно уведомить НКЦКИ (если КИИ) и ФСТЭК (для аттестованных систем). В течение 72 часов — направить в РКН детальное уведомление с результатами внутреннего расследования и планом мер. Уведомить субъектов ПДн (через email, SMS, личный кабинет) с описанием состава скомпрометированных данных и рекомендациями. Внутренние действия немедленно: изолировать скомпрометированный сегмент, сменить все ключи API и доступы к БД, провести ротацию секретов CI/CD, собрать и сохранить аудит-логи, снять образы серверов для криминалистики, провести расследование (рекомендована attestation третьей стороны), документировать всё для возможной проверки РКН. За нарушение сроков уведомления — отдельный штраф 1–3 млн ₽.

Как организовать локализацию ПДн и cookie-баннер на сайте?+

Локализация по 242-ФЗ и 587-ФЗ: первичная запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ — в БД на серверах в РФ (Yandex Cloud, VK Cloud, Selectel, Timeweb, Cloud.ru с аттестатом соответствия). Бэкапы — тоже в РФ, шифрованные. Cloudflare как WAF/CDN допустим только без терминации TLS на иностранных узлах. Cookie-баннер обязателен для аналитических и маркетинговых cookies — до согласия их ставить нельзя. Раздельный выбор категорий: технические (без согласия), аналитические, рекламные. Журнал согласий в localStorage и/или серверной БД с версией текста и timestamp. Возможность отзыва в любой момент через ту же кнопку. Описание каждого cookie в политике (имя, цель, срок, тип). Яндекс Метрика — российская, отдельная трансграничная передача не нужна; Google Analytics 4 — зарубежный, требует уведомления о трансграничной передаче и отдельного согласия пользователя.