title: Проверка сайта на 152-ФЗ — как избежать штрафов в 2025 description: Полное руководство по соответствию сайта закону «О персональных данных» с учётом изменений 420-ФЗ. 36 критериев чек-листа, реальные штрафы до 18 млн ₽, бесплатная проверка за 3 минуты. slug: personal-data publishedAt: 2026-05-28 updatedAt: 2026-05-29 moduleId: pdn-152fz relatedSlug: it-accreditation auditSlug: 152-fz

Проверка сайта на соответствие 152-ФЗ — руководство 2025

Закон «О персональных данных» (152-ФЗ от 27.07.2006) распространяется на любой сайт, который собирает email, телефон, имя, IP-адрес или иные данные, идентифицирующие человека. С 1 июля 2025 года вступили в силу поправки 420-ФЗ — крупнейшая реформа за всю историю закона: введены оборотные штрафы до 3% годовой выручки, обязательная регистрация в реестре операторов и уголовная ответственность за утечки.

Эта статья — практическое руководство: что именно проверяет Роскомнадзор, какие штрафы реально выписывают в 2025 году, и как привести сайт в соответствие до проверки.

Кому это нужно — и почему «у нас же только форма заявки» не работает

«Закон не про нас, у нас же не банк» — самое опасное заблуждение. По данным РКН за 2024 год, 78% штрафов пришлись на сайты малого и среднего бизнеса: интернет-магазины, онлайн-школы, медицинские клиники, корпоративные лендинги.

Достаточно одного из этих признаков, чтобы попасть под 152-ФЗ:

На сайте есть любая форма — обратной связи, заявки, подписки на рассылку, регистрации.
Сайт собирает cookies аналитики (Яндекс.Метрика, Google Analytics), которые передают IP-адрес.
Установлен онлайн-чат (JivoSite, LiveChat) или callback-виджет.
В шапке указан личный кабинет или вход через соцсети.

Если хотя бы один пункт совпал — вы оператор персональных данных и обязаны соблюдать 36 требований 152-ФЗ. Подробный разбор каждого требования — в нашем бесплатном экспресс-аудите: он проверяет сайт по полному чек-листу из 36 критериев за 3 минуты.

Что изменилось в 2025 году (420-ФЗ)

420-ФЗ — это десятки правок к 152-ФЗ и КоАП РФ. Ключевые с точки зрения сайта:

1. Оборотные штрафы за утечки

До 2025 утечка персональных данных стоила оператору до 500 000 ₽ разового штрафа. С 1 июля 2025:

Первая утечка → от 0,3% до 3% годовой выручки, но не менее 1 млн ₽.
Повторная → до 3% выручки без нижнего ограничения по сумме.
Утечка спецкатегорий ПДн (биометрия, медицина) — отдельные части КоАП ст. 13.11 с собственными диапазонами.

Для бизнеса с выручкой 100 млн ₽/год это 3 млн ₽ за первый инцидент. Утечка обычно происходит не из админки, а из забытой тестовой базы, кэша CDN, незакрытого админ-маршрута или сторонних SaaS-сервисов.

2. Усиленная ответственность за работу без уведомления РКН

С 2023 каждый оператор обязан до начала сбора ПДн подать уведомление в Роскомнадзор. С 420-ФЗ:

Штраф за работу без уведомления — до 300 000 ₽.
Повторное нарушение — до 500 000 ₽.
Невозможность зарегистрироваться в реестре операторов РКН больше не оправдание: онлайн-форма работает стабильно, среднее время обработки заявки — 30 дней.

Проверить, есть ли ваша компания в реестре, мы умеем автоматически: модуль RKN в нашем аудите 152-ФЗ ищет ИНН/ОГРН через Brave Search и сверяется с открытым реестром РКН.

3. Согласие — теперь раздельное и отзываемое

Один общий чекбокс «Я согласен со всем» с 2025 года не работает. Закон требует:

Раздельные согласия на каждую цель обработки (e-commerce, маркетинговая рассылка, передача третьим лицам).
Согласие должно быть информированным — пользователь видит цель, перечень данных и срок хранения.
Отозвать согласие должно быть не сложнее, чем дать: одна кнопка в личном кабинете, инструкция в Политике.

Это самый частый «провал» в наших аудитах: 92% проверенных сайтов имеют один общий чекбокс на этапе регистрации и считают, что этого достаточно. Не достаточно.

5 нарушений, за которые штрафуют чаще всего

По нашему аудиту 5000+ сайтов и публичной статистике РКН за 2024, 80% выявленных нарушений — это одни и те же 5 пунктов.

Нарушение	Штраф	Норма
Отсутствие Политики конфиденциальности	до 300 000 ₽	КоАП ст. 13.11 ч.1
Нет согласия пользователя на обработку	до 700 000 ₽	КоАП ст. 13.11 ч.2
Утечка данных	0,3-3% выручки	КоАП ст. 13.11 ч.5-6 (420-ФЗ)
Хранение ПДн вне РФ без уведомления	до 18 000 000 ₽	КоАП ст. 13.11 ч.8
Отказ выполнить требование РКН	до 500 000 ₽	КоАП ст. 19.5

Каждое из этих нарушений — это отсутствующий элемент сайта: документ, чекбокс, конфиг хостинга, IP-фильтр. Не «оператор плохо работает», а типовой пробел в шаблоне, который никто не закрыл при запуске.

Чек-лист 36 критериев: что именно мы проверяем

Наш модуль pdn-152fz проверяет сайт по канонической спецификации 36 критериев, сгруппированных в 8 секций. Вот короткий обзор по каждой:

§1 — Политика конфиденциальности (15 критериев)

Документ существует и доступен на отдельной странице (не в футере как ссылка-якорь).
Содержит 11 обязательных разделов по ст. 18.1 ч.2 152-ФЗ: цели, основания, перечень, сроки, права субъекта и т. д.
Включает реквизиты оператора с ИНН, ОГРН, юр. адресом, контактом DPO (если назначен).
Дата актуальности — не старше 12 месяцев и обновлена после 420-ФЗ (после 2025-07-01).

§2 — Согласие на обработку ПДн (5 критериев)

Чекбокс есть на каждой форме, собирающей ПДн.
Чекбокс не предзакрыт (это нарушение).
Текст под чекбоксом — ссылка на Политику, а не «голый» опт-ин.
Отдельные согласия для разных целей (а не одна «галка на всё»).

§3 — Cookie-баннер и трекеры (6 критериев)

Баннер показывается до установки analytics/marketing cookies.
Есть варианты «Принять / Отказаться / Настройки» (а не только «ОК»).
Реальная блокировка скриптов до согласия (а не только UI-обёртка).
Ссылка на Политику cookies в самом баннере.

§4 — Реестр операторов РКН (2 критерия)

Компания зарегистрирована в pd.rkn.gov.ru.
Уведомление актуально (адрес, телефон, цели соответствуют сайту).

§5 — Трансграничная передача (3 критерия)

Все используемые сервисы с американскими серверами (GA, FB Pixel, Hotjar, Mailchimp) указаны в Политике.
Сделано уведомление РКН о трансграничной передаче (или явный запрет такой передачи).
Для стран без «адекватного уровня защиты» — отдельное согласие.

§6 — Хостинг в РФ (2 критерия)

Сервер физически в РФ (проверяем через MaxMind GeoIP по IP домена).
CDN тоже учитывается: Cloudflare/Akamai в Москве — окей, нью-йоркский — нарушение.

§7 — Третьи лица и скрипты (3 критерия)

Все внешние скрипты идентифицированы (Pixel, ads, чаты, analytics).
В Политике перечислены поименно с целями передачи.
Заключены DPA-договоры с поставщиками (наличие подтверждается отдельным аудитом).

§8 — Минимизация в формах (тех/UX)

Поля формы не превышают необходимого: e-mail для подписки — только e-mail, без ФИО и телефона.
Нет избыточных скрытых полей (UTM не считаем, но «кем приходитесь компании» — да).
Подтверждение возраста при необходимости (если сервис для 18+).

Каждый пункт можно посмотреть детально через бесплатный экспресс-аудит — мы покажем, какие пункты пройдены, какие нарушены, и что именно делать.

Что делать после проверки

После аудита у вас на руках готовый план — 10-15 конкретных задач со ссылками на нормы и инструкциями. Большинство закрывается за 1-2 рабочих дня силами вебмастера:

Сгенерировать Политику конфиденциальности с реквизитами. У нас в кабинете есть готовый шаблон-генератор: вводите ИНН/ОГРН/адрес — на выходе валидный Markdown под публикацию.
Поставить корректное согласие на каждую форму. Раздельные галки, ссылка на Политику, не предзакрыто.
Поправить cookie-баннер: реальная блокировка скриптов до согласия. Готовые библиотеки — Klaro, OneTrust, или наш минимальный JS-сниппет.
Подать уведомление в РКН, если ещё не подано: онлайн через pd.rkn.gov.ru, занимает 30 минут на заполнение + 30 дней ожидания.
Перенести хостинг в РФ, если сервер за рубежом. Российские DC-провайдеры (Selectel, Beget, Timeweb) делают миграцию обычно за 1-2 дня.
Зафиксировать в Политике трансграничную передачу, если используете зарубежные SaaS. Либо отказаться от них (часто проще, чем кажется — Яндекс.Метрика покрывает 90% задач GA).

После доработок — повторный аудит, чтобы убедиться, что score ≥ 85. Это и порог нашей метрики «готов к проверке РКН».

Связанные материалы

Бесплатный экспресс-аудит 152-ФЗ за 3 минуты — запустить прямо сейчас.
Тарифы и тарифные опции — полный отчёт 1 990 ₽, юр. заключение i-Legal 9 990 ₽.
Аккредитация ИТ-компании в Минцифре — если вы ИТ-компания, отдельная проверка на Приказ 511.
FAQ по 152-ФЗ — частые вопросы.
Официальные источники: полный текст 152-ФЗ; 420-ФЗ — поправки 2024.

Стоит ли беспокоиться

Да. С 2025 года 152-ФЗ перешёл из «формальной бюрократии» в реальный финансовый риск. Утечки на типовых движках (1С-Битрикс, Tilda, WordPress) — не редкость, а норма. Когда РКН приходит с проверкой — он смотрит именно по тому списку, который мы автоматизировали в нашем аудите.

Чем раньше вы закроете пробелы, тем меньше шанс получить штраф. Запустите бесплатную проверку — 3 минуты, без регистрации.