Любой сайт с формой обратной связи, регистрацией или подпиской собирает персональные данные. По 152-ФЗ его владелец — оператор ПДн со всеми вытекающими обязанностями: от публикации политики конфиденциальности до уведомления Роскомнадзора об утечке в течение 24 часов. В этом руководстве — полный чек-лист требований к защите персональных данных на сайте, конкретные примеры реализации и актуальные штрафы за нарушения.
Какие персональные данные собирает ваш сайт
Прежде чем выполнять требования закона, определите, какие именно персональные данные собирает ваш сайт. В большинстве случаев их больше, чем кажется на первый взгляд.
Данные из форм (регистрация, заказ, подписка)
Каждая форма на сайте, в которую пользователь вводит информацию о себе, — это точка сбора ПДн. Типичные данные:
- Форма регистрации: ФИО, email, телефон, дата рождения, логин, пароль
- Форма заказа: ФИО, телефон, email, адрес доставки, платёжные реквизиты
- Форма обратной связи: имя, email, телефон, текст обращения
- Форма подписки: email, иногда имя
- Форма обратного звонка: телефон, иногда имя
- Чат на сайте: всё, что вводит пользователь, включая имя и контактные данные
Даже одно поле «email» — это уже персональные данные, если адрес позволяет идентифицировать человека (например, ivan.ivanov@company.ru). Один email в форме подписки делает вас оператором ПДн по 152-ФЗ.
Данные аналитики (cookies, IP-адреса)
Помимо данных из форм, сайт собирает техническую информацию автоматически:
- IP-адрес — является персональными данными по позиции Роскомнадзора, если может быть соотнесён с конкретным пользователем
- Cookies — файлы, сохраняемые в браузере пользователя; содержат идентификаторы, настройки, историю действий
- Яндекс.Метрика и Google Analytics — собирают геолокацию, устройство, поведение на сайте, реферер
- Рекламные пиксели (VK, Facebook, Google Ads) — отслеживают конверсии и формируют профили пользователей
- Вебвизор (Яндекс.Метрика) — записывает действия пользователя на сайте, включая ввод данных в формы
Если на вашем сайте установлен счётчик аналитики — вы уже собираете ПДн в объёме, достаточном для признания вас оператором. Проверьте, какие данные фактически передаются в аналитические системы.
Вы — оператор ПДн, даже если не знали об этом
По ст. 3 152-ФЗ оператор — любое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных. Если ваш сайт собирает хотя бы email через форму подписки — вы оператор ПДн. Это не зависит от:
- Размера организации (ИП с лендингом — тоже оператор)
- Количества собранных данных (даже 1 запись — обработка ПДн)
- Знания о требованиях закона (незнание не освобождает от ответственности)
- Наличия юридического лица (физические лица-предприниматели — тоже операторы)
Требования 152-ФЗ к сайтам: что обязательно
Политика конфиденциальности — содержание и размещение
Политика обработки персональных данных (политика конфиденциальности) — обязательный публичный документ по ст. 18.1 152-ФЗ. Оператор обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн.
Обязательное содержание политики конфиденциальности для сайта:
| Раздел | Что указать |
|---|---|
| Общие положения | Наименование оператора, ИНН, юридический и фактический адрес |
| Цели обработки | Конкретные цели: исполнение договора, маркетинг, аналитика |
| Категории ПДн | Перечень: ФИО, email, телефон, IP-адрес, cookies и т.д. |
| Категории субъектов | Клиенты, посетители сайта, подписчики, сотрудники |
| Правовые основания | Согласие субъекта, исполнение договора, законный интерес |
| Действия с ПДн | Сбор, запись, систематизация, хранение, передача, удаление |
| Сроки хранения | Конкретные сроки для каждой цели обработки |
| Порядок уничтожения | Как и когда ПДн будут удалены |
| Права субъекта | Доступ, исправление, удаление, отзыв согласия |
| Контакты для обращений | Email, адрес, ответственный за обработку ПДн |
Политика размещается ссылкой в футере (подвале) сайта — доступна с любой страницы. Ссылка должна быть видна до начала сбора ПДн, то есть пользователь должен иметь возможность ознакомиться с политикой перед заполнением любой формы.
Генерировать политику конфиденциальности и другие документы по защите ПДн можно в Модуле документов ИБ платформы КиберОснова. Шаблоны соответствуют требованиям 152-ФЗ и актуализируются при изменениях законодательства.
Согласие на обработку ПДн — реализация в формах
Согласие субъекта на обработку ПДн (ст. 9 152-ФЗ) — основное правовое основание для сбора данных через формы сайта. Требования к реализации:
Правильная реализация:
- Чекбокс «Я согласен на обработку персональных данных» не отмечен по умолчанию
- Рядом с чекбоксом — ссылка на политику конфиденциальности
- Отправка формы невозможна без активации чекбокса
- Для разных целей (исполнение заказа, маркетинговая рассылка) — отдельные чекбоксы
- Согласие сохраняется в базе данных с временной меткой и IP-адресом
Типичные нарушения:
- Чекбокс отмечен по умолчанию — согласие не является свободным и осознанным
- Текст «Нажимая кнопку, вы соглашаетесь...» без чекбокса — спорная конструкция, Роскомнадзор считает её недостаточной
- Отсутствие ссылки на политику конфиденциальности
- Один общий чекбокс на все цели обработки (маркетинг + исполнение договора)
Роскомнадзор при проверках проверяет формы сайта на наличие механизма получения согласия. Скриншоты форм без чекбоксов прикладываются к акту проверки как доказательство нарушения.
Хранение данных на серверах в России
Ч. 5 ст. 18 152-ФЗ обязывает оператора обеспечить локализацию баз данных с ПДн граждан РФ на территории Российской Федерации. Это означает:
- Первичная база данных с ПДн российских пользователей должна находиться на сервере в РФ
- Хостинг самого сайта (фронтенд, статика) может быть за рубежом
- Допускается трансграничная передача ПДн в страны, обеспечивающие адекватную защиту (перечень Роскомнадзора), но первичное хранение — в РФ
- Использование зарубежных CRM (HubSpot, Salesforce) для хранения ПДн россиян — нарушение, если данные не дублируются на сервере в РФ
Штраф за нарушение локализации: до 6 000 000 руб. (ч. 8 ст. 13.11 КоАП РФ), за повторное нарушение — до 18 000 000 руб. (ч. 9 ст. 13.11 КоАП РФ).
Уведомление Роскомнадзора
По ст. 22 152-ФЗ оператор обязан уведомить Роскомнадзор о начале обработки ПДн до начала обработки. Уведомление подаётся через портал pd.rkn.gov.ru и содержит:
- Сведения об операторе (наименование, ИНН, адрес)
- Цели обработки ПДн
- Категории ПДн и субъектов
- Правовые основания обработки
- Меры, принятые для обеспечения безопасности ПДн
- Дату начала обработки
После подачи уведомления оператор включается в Реестр операторов ПДн Роскомнадзора. Проверить наличие записи можно на сайте rkn.gov.ru. Отсутствие уведомления — административное правонарушение (ст. 19.7 КоАП РФ, штраф до 5 000 руб. для юридических лиц).
SSL-сертификат и шифрование данных
Зачем нужен HTTPS для форм с ПДн
SSL-сертификат обеспечивает шифрование данных между браузером пользователя и сервером. Без SSL (протокол HTTP) все данные, введённые в формы, передаются открытым текстом и могут быть перехвачены:
- В публичных Wi-Fi сетях (кафе, аэропорты, торговые центры)
- Провайдером интернет-услуг
- При атаке «человек посередине» (MITM)
Ст. 19 152-ФЗ обязывает оператора принимать необходимые организационные и технические меры для защиты ПДн от неправомерного доступа. Передача ПДн по незащищённому каналу — очевидное нарушение этого требования.
Какой SSL-сертификат выбрать
| Тип сертификата | Подходит для | Стоимость | Срок выпуска |
|---|---|---|---|
| DV (Domain Validation) | Блоги, лендинги, небольшие сайты | Бесплатно (Let's Encrypt) — 5 000 руб./год | Минуты |
| OV (Organization Validation) | Корпоративные сайты, интернет-магазины | 5 000 — 20 000 руб./год | 1–3 дня |
| EV (Extended Validation) | Банки, платёжные системы, госструктуры | 15 000 — 50 000 руб./год | 3–7 дней |
Для большинства сайтов, собирающих ПДн, достаточно OV-сертификата. Для минимального соответствия подойдёт и бесплатный Let's Encrypt (DV), но он не подтверждает организацию.
Проверка корректности настройки
После установки SSL убедитесь:
- Все страницы доступны по HTTPS (не только формы)
- Настроен автоматический редирект с HTTP на HTTPS (301-редирект)
- Нет «mixed content» — все ресурсы (изображения, скрипты, стили) загружаются по HTTPS
- Сертификат не просрочен (настройте мониторинг срока действия)
- Поддерживаются актуальные протоколы (TLS 1.2+, не SSLv3/TLS 1.0)
Cookie-баннер и уведомление об использовании cookies
Когда cookie-баннер обязателен
В российском законодательстве нет прямого аналога GDPR ePrivacy Directive, обязывающего показывать cookie-баннер. Однако рекомендуется размещать уведомление, если сайт:
- Использует системы аналитики (Яндекс.Метрика, Google Analytics)
- Применяет рекламные трекеры и пиксели ретаргетинга
- Персонализирует контент на основе поведения пользователя
- Собирает cookies, которые могут идентифицировать пользователя
- Ориентирован на аудиторию из ЕС (обязательно по GDPR)
На практике cookie-баннер демонстрирует добросовестность оператора и снижает риски при проверках Роскомнадзора.
Как правильно реализовать уведомление
Минимальный cookie-баннер для российского сайта содержит:
- Информацию о том, что сайт использует cookies
- Цели использования (аналитика, функциональность, реклама)
- Ссылку на политику конфиденциальности (раздел о cookies)
- Кнопку «Принять» или «Согласен»
- Возможность отказаться от необязательных cookies (рекомендуется)
Управление согласиями на cookies
Продвинутая реализация включает разделение cookies на категории:
| Категория | Описание | Можно отключить |
|---|---|---|
| Необходимые | Авторизация, корзина, безопасность | Нет |
| Аналитические | Яндекс.Метрика, Google Analytics | Да |
| Маркетинговые | Рекламные пиксели, ретаргетинг | Да |
| Функциональные | Язык, настройки отображения | Да |
Записи о согласиях на cookies хранятся как доказательство осознанного выбора пользователя. Эта практика особенно важна, если сайт работает с аудиторией из ЕС.
Защита форм от утечек данных
Валидация и санитизация вводимых данных
Каждое поле формы — потенциальная точка входа для атакующего. Базовые меры защиты:
- Валидация на стороне клиента — проверка формата данных до отправки (email, телефон, длина строки)
- Валидация на стороне сервера — обязательная проверка всех входных данных; клиентскую валидацию можно обойти
- Санитизация — очистка введённых данных от потенциально опасных символов и конструкций
- Ограничение длины полей — предотвращение переполнения буфера
- CAPTCHA или reCAPTCHA — защита от автоматизированных атак и ботов
Защита от SQL-инъекций и XSS
SQL-инъекции и межсайтовый скриптинг (XSS) — две наиболее распространённые атаки на веб-формы:
SQL-инъекция: злоумышленник вводит в поле формы SQL-код, который выполняется на сервере и даёт доступ к базе данных с ПДн. Защита: параметризированные запросы (prepared statements), ORM, WAF (Web Application Firewall).
XSS (Cross-Site Scripting): злоумышленник внедряет JavaScript-код, который выполняется в браузере других пользователей и может похитить cookies, токены авторизации, ПДн из форм. Защита: экранирование вывода, Content-Security-Policy (CSP), HttpOnly-флаг для cookies.
Ограничение доступа к базе данных
- Минимальные привилегии для учётной записи веб-приложения (только SELECT, INSERT, UPDATE — без DROP, ALTER)
- Разделение баз данных: ПДн — в отдельной БД с усиленной защитой
- Шифрование ПДн при хранении (AES-256)
- Регулярное резервное копирование с шифрованием бэкапов
- Мониторинг аномальных запросов к БД
Что делать при утечке ПДн с сайта
Уведомление РКН в течение 24 часов
С 2025 года оператор обязан уведомить Роскомнадзор об утечке ПДн в течение 24 часов через портал pd.rkn.gov.ru. Уведомление содержит:
- Описание инцидента (характер, время обнаружения)
- Категории и приблизительное количество затронутых ПДн
- Категории и приблизительное количество субъектов ПДн
- Возможные последствия утечки
- Принятые и планируемые меры по устранению
Внутреннее расследование за 72 часа
В течение 72 часов после обнаружения утечки оператор обязан:
- Провести внутреннее расследование с привлечением специалистов ИБ
- Установить причины инцидента (уязвимость, ошибка конфигурации, атака)
- Определить масштаб утечки (какие данные, сколько записей)
- Принять меры по устранению (закрыть уязвимость, сменить пароли, обновить ПО)
- Направить в Роскомнадзор результаты расследования
Штрафы за утечку (2025-2026)
| Нарушение | Штраф (юридическое лицо) |
|---|---|
| Утечка ПДн (до 1 000 субъектов) | до 3 000 000 руб. |
| Утечка ПДн (1 000 — 10 000 субъектов) | до 5 000 000 руб. |
| Утечка ПДн (10 000 — 100 000 субъектов) | до 10 000 000 руб. |
| Утечка ПДн (более 100 000 субъектов) | до 15 000 000 руб. |
| Повторная утечка | до 500 000 000 руб. или 1–3% годовой выручки |
| Неуведомление РКН об утечке | до 3 000 000 руб. |
Штрафы за утечки ПДн многократно выросли с 2025 года. Стоимость защиты сайта — от нескольких десятков тысяч рублей. Стоимость утечки — миллионы. Экономика очевидна.
Чек-лист: защита ПДн на сайте (12 пунктов)
Используйте этот чек-лист для самопроверки. Каждый пункт соответствует конкретному требованию 152-ФЗ или рекомендации Роскомнадзора.
Документы и правовые основания:
- 1. Политика конфиденциальности опубликована на сайте со ссылкой в футере
- 2. Политика содержит все обязательные разделы (оператор, цели, категории ПДн, сроки, права субъектов)
- 3. Подано уведомление в Роскомнадзор о начале обработки ПДн
Формы и согласия:
- 4. Каждая форма содержит чекбокс согласия на обработку ПДн (не отмечен по умолчанию)
- 5. Рядом с чекбоксом — ссылка на политику конфиденциальности
- 6. Согласия сохраняются в базе данных с временной меткой
Технические меры:
- 7. Установлен SSL-сертификат, все страницы доступны по HTTPS
- 8. Настроен редирект с HTTP на HTTPS (301)
- 9. База данных с ПДн размещена на сервере в Российской Федерации
Безопасность:
- 10. Формы защищены от SQL-инъекций и XSS (параметризированные запросы, экранирование вывода)
- 11. Настроено регулярное резервное копирование БД
- 12. Разработан план реагирования на утечку (уведомление РКН в 24 часа)
Пройти полный аудит соответствия сайта и организации требованиям 152-ФЗ можно с помощью платформы КиберОснова. Система проверяет выполнение требований, формирует отчёт о несоответствиях и генерирует необходимые документы ИБ.
Типичные нарушения и штрафы
Отсутствие политики конфиденциальности
Самое распространённое нарушение. По данным проверок Роскомнадзора, до 40% сайтов российских компаний не имеют опубликованной политики конфиденциальности или размещают формальный документ, не соответствующий требованиям ст. 18.1 152-ФЗ.
Штраф: до 60 000 руб. для юридических лиц (ч. 3 ст. 13.11 КоАП РФ). При повторном нарушении — до 100 000 руб.
Предзаполненный чекбокс согласия
Чекбокс «Я согласен на обработку ПДн», отмеченный по умолчанию, — не является надлежащим согласием. Согласие должно быть свободным, осознанным и конкретным (ст. 9 152-ФЗ). Предзаполненный чекбокс не отвечает критерию свободного волеизъявления.
Штраф за обработку ПДн без надлежащего согласия: до 150 000 руб. (ч. 2 ст. 13.11 КоАП РФ), за повторное нарушение — до 500 000 руб.
Хранение данных за рубежом
Использование зарубежных SaaS-сервисов (Mailchimp, HubSpot, Google Forms) для сбора и хранения ПДн россиян без локализации базы данных в РФ — нарушение ч. 5 ст. 18 152-ФЗ.
Штраф: до 6 000 000 руб. (ч. 8 ст. 13.11 КоАП РФ). Роскомнадзор активно проверяет локализацию данных — именно по этому основанию были заблокированы LinkedIn и частично ограничены другие зарубежные сервисы.
Автоматизация комплаенса 152-ФЗ для сайта
Выполнение всех требований вручную — трудоёмкий процесс, особенно для организаций с несколькими сайтами и веб-сервисами. SGRC-система позволяет автоматизировать ключевые задачи:
- Генерация документов: политика конфиденциальности, согласия на обработку ПДн, уведомление в РКН — по актуальным шаблонам
- Реестр ИСПДн: учёт всех информационных систем, включая сайты, с классификацией по уровням защищённости
- Контроль мер защиты: чек-лист обязательных мер по 152-ФЗ и приказу ФСТЭК №21 с отслеживанием статуса
- Управление инцидентами: сценарий реагирования на утечку с автоматическим формированием уведомления в РКН
- Аудит соответствия: регулярная проверка выполнения требований с отчётом для руководства
Если ваш сайт собирает персональные данные и вы хотите привести его в соответствие 152-ФЗ — запросите демо платформы КиберОснова. Специалисты проведут экспресс-аудит и покажут, как автоматизировать комплаенс для вашей организации.
FAQ — Частые вопросы о защите ПДн на сайте
Обязателен ли SSL-сертификат для защиты ПДн на сайте?
Прямого указания на SSL в 152-ФЗ нет. Однако ст. 19 обязывает оператора принимать меры для защиты ПДн от несанкционированного доступа. Передача данных через формы без шифрования — очевидный риск. Роскомнадзор учитывает наличие SSL при проверках, а браузеры отображают предупреждения на сайтах без HTTPS.
Нужен ли cookie-баннер на российском сайте?
Российское законодательство не содержит прямого требования о cookie-баннере. Однако cookies могут содержать ПДн, и если они используются для идентификации — это обработка ПДн по 152-ФЗ. Рекомендуется размещать уведомление при использовании аналитики и рекламных трекеров.
Обязательно ли хранить данные пользователей сайта в России?
Да. Ч. 5 ст. 18 152-ФЗ требует локализации баз данных с ПДн граждан РФ на территории России. Хостинг фронтенда может быть за рубежом, но первичная БД с ПДн — в РФ. Штраф за нарушение — до 6 000 000 руб., за повторное — до 18 000 000 руб.
Что делать, если с сайта произошла утечка ПДн?
В течение 24 часов уведомить Роскомнадзор через pd.rkn.gov.ru. В течение 72 часов провести внутреннее расследование и направить результаты. Параллельно — устранить уязвимость, сменить скомпрометированные учётные данные, уведомить затронутых субъектов ПДн.
Нужно ли согласие пользователя для каждой формы на сайте?
Да. Каждая форма, собирающая ПДн, должна содержать механизм получения согласия — чекбокс, не отмеченный по умолчанию, со ссылкой на политику конфиденциальности. Для разных целей обработки рекомендуется получать отдельные согласия. Записи о согласиях хранятся как доказательство для Роскомнадзора.
Какая ответственность за отсутствие политики конфиденциальности?
Штраф по ч. 3 ст. 13.11 КоАП РФ: до 60 000 руб. для юридических лиц, до 100 000 руб. за повторное нарушение. Помимо штрафа, Роскомнадзор выдаёт предписание с конкретными сроками устранения. Сформировать политику, соответствующую требованиям 152-ФЗ, можно автоматически в платформе КиберОснова.
