152-ФЗ «О персональных данных» простым языком
Что регулирует закон
152-ФЗ определяет правила обработки персональных данных — любой информации, которая прямо или косвенно относится к конкретному человеку: имя, email, телефон, IP-адрес, файлы cookie с уникальным идентификатором. Если сайт собирает хотя бы один из этих типов данных — через форму заявки, чат, регистрацию или счётчик аналитики — он становится оператором персональных данных и обязан соблюдать закон.
Кто обязан соблюдать
Требования распространяются на любой сайт с формами обратной связи, регистрацией, корзиной заказа, чатом с менеджером или счётчиками аналитики (Яндекс.Метрика, Google Analytics и подобные). Размер компании, форма собственности и посещаемость сайта значения не имеют — обязанности одинаковы для интернет-магазина и для сайта-визитки с одной формой «Оставить заявку».
Что чаще всего нарушают
Cookie-баннер оформлен неправильно
Баннер либо отсутствует вовсе, либо не позволяет отказаться от необязательных cookie до того, как аналитика уже начала собирать данные.
Чекбокс согласия отмечен по умолчанию
Пользователь должен сам поставить галочку «Согласен на обработку персональных данных» — преотмеченный чекбокс не считается действительным согласием.
Данные передаются за рубеж без уведомления
Зарубежные сервисы аналитики и рекламные пиксели нередко отправляют данные посетителей на серверы за пределами РФ — это требует отдельного уведомления и правового основания.
Политика конфиденциальности отсутствует или устарела
Документ должен быть доступен по ссылке с любой страницы сайта и отражать реальный набор собираемых данных — типовой шаблон «из интернета» без адаптации под конкретный сайт формально не защищает от штрафа.
Не подано уведомление в Роскомнадзор
Большинство операторов, ведущих автоматизированную обработку персональных данных, обязаны уведомить об этом РКН до начала обработки.
Права субъекта персональных данных
- Получать информацию о целях и способах обработки своих данных
- Требовать исправления неточных данных
- Отозвать согласие на обработку в любой момент
- Требовать удаления данных, если законных оснований для их хранения больше нет
Что грозит за нарушение
Штрафы по ст. 13.11 КоАП РФ зависят от конкретного нарушения — от 30 000 ₽ за отсутствие политики конфиденциальности до нескольких миллионов за утечку данных большого числа пользователей.
| Нарушение | Статья | Юрлица |
|---|---|---|
| Отсутствие политики персональных данных | 13.11 ч.3 | 30 000 – 60 000 ₽ |
| Обработка без письменного согласия | 13.11 ч.2 | 300 000 – 700 000 ₽ |
| Не подано уведомление в РКН | 13.11 ч.10 | 100 000 – 300 000 ₽ |
Полная таблица штрафов — все 18 составов →
Материал носит информационный характер и не является юридической консультацией.
Частые вопросы
Нужно ли согласие, если сайт использует только счётчик аналитики?+
Распространяется ли закон на B2B-сайты без клиентских форм?+
Как часто нужно обновлять политику конфиденциальности?+
Обязательно ли хранить данные российских пользователей на серверах в РФ?+
Проверьте, соответствует ли ваш сайт 152-ФЗ
Бесплатный автоматический анализ за несколько минут.
Регламент