Как соблюдать 152-ФЗ: персональные данные и защита пользователей на вашем сайте
Наталия Усова для раздела Академия
С 30 мая 2025 года в закон «О персональных данных» (152-ФЗ) внесли существенные изменения, и теперь практически каждый, у кого есть сайт, автоматически попадает в зону ответственности. Если вы собираете любые данные от пользователей — даже просто email или телефон, — вам стоит внимательно ознакомиться с новыми требованиями. При несоблюдении вы рискуете получить большие штрафы от 15 тысяч до 20 миллионов рублей. Давайте разберемся как настроить обработку данных правильно.
Что такое персональные данные — и почему ваш сайт их уже собирает
Под персональными данными понимаются любые сведения, позволяющие прямо или косвенно идентифицировать человека. Это не только очевидные вещи вроде ФИО или паспорта, но также и IP-адрес, cookie или поведение на сайте, которые собираются в статистику в личном кабинете или при помощи метрики и аналитики. Все это считается личной информацией.
То есть условно мы можем разделить данные пользователей на:
- личные — имя, телефон, email, паспортные и биометрические данные;
- технические и поведенческие — IP-адрес, геолокация, история посещений, cookie-файлы.
Если вы ведёте блог, продаёте онлайн-курсы, предлагаете консультации, и при этом собираете заявки через формы или подключаете аналитику — вы уже оператор персональных данных, и попадаете под действие закона.
Какие действия считаются обработкой данных
Важно понимать: под «обработкой» подразумевается любое действие с данными:
- сбор (например, через форму обратной связи на сайте или через чат поддержки);
- хранение (в CRM, таблице, облаке);
- передача (в том числе между сервисами, например если вы передаете данные с сайта в метрику или аналитику для дальнейшего анализа);
- изменение, удаление и даже однократное использование.
Считается, что вы обработали данные даже если вы просто получили телефон клиента через форму и сразу его удалили.
Что изменилось в 2025 году
Теперь по законодательству предусматриваются более высокие штрафы за несоблюдение закона о персональных данных.
Раньше штраф за отсутствие уведомления составлял до 5 000 ₽.
Теперь за несоблюдение требований применяется статья 13.11 КоАП РФ, а суммы штрафов выросли в разы: до 20 миллионов рублей.
Стоит обратить особое внимание на то, что использование зарубежных сервисов без уведомления Роскомнадзора может быть расценено как трансграничная передача данных, что квалифицируется как отдельное нарушение.
Как понять, что вы обязаны соблюдать 152-ФЗ
Вы подпадаете под закон, если на вашем сайте есть:
- Форма обратной связи, подписки или оформления заказа.
- Интеграция аналитики, CRM, чат-ботов, рассылок.
- Cookie-баннер или любая система, отслеживающая поведение пользователя.
Даже одна строчка — поле для ввода телефона — делает вас оператором данных.
Как привести сайт в соответствие с законом
Если вы используете платформу 🌱kvitly, вы можете легко настроить сайт в соответствии с законом 152-ФЗ, ведь наша платформа уже ориентирована на соблюдение требований. Сервера размещаются на территории Российской Федерации.
Алгоритм настройки сайта универсален и подойдёт для любой платформы:
Шаг 1: Подготовьте документы
Вам нужно подготовить документы:
- Политику конфиденциальности — описывает, какие данные вы собираете и зачем.
- Согласие на обработку данных — пользователь должен добровольно его принять (галочкой или кликом по кнопке).
Разместите ссылки на эти документы в футере сайта и в формах, рядом с чекбоксом.
Шаг 2: Добавьте чекбокс согласия
Перед отправкой формы пользователь должен явно выразить согласие. Лучше, если галочка не будет проставлена заранее — это нарушает добровольность.
Шаг 3: Используйте только российские сервисы
Проверьте список сервисов, которые вы используете для управления вашим бизнесом.
Это могут быть:
- зарубежные сервисы хранения и сбора информации (например, Google Forms, CloudFlare, Notion);
- аналитика или рассылки через иностранные платформы (Mailchimp, Google Analytics),
Использование всех этих и подобных сервисов, считается трансграничной передачей данных. Чтобы не получить штраф и соблюдать законодательство, нужно либо уведомить Роскомнадзор, либо перейдите на российские аналоги сервисов, которые вы используете (например, Яндекс Метрика, Unisender, Selectel, Mindbox и пр.). Сейчас существует множество аналогов иностранных сервисов, которые не уступают зарубежным по качеству, просто воспользуйтесь поиском, чтобы подобрать наиболее удобный или функциональный.
Шаг 4: Укажите дата-центр хранения данных
Если вы работаете с 🌱kvitly, укажите:
ЦОД: АО «Селектел», г. Санкт-Петербург, ул. Цветочная, д. 21, лит. А
🌱kvitly, размещает сайты на российских серверах, соответственно, используя наш сервис для храниения и передачи данных, вы не осуществляете трансграничную передачу.
Как уведомить Роскомнадзор
Чтобы продолжать работать и принимать заявки через сайт, в обязательном порядке нужно уведомить Роскомнадзор о том, что вы собираете персональные данные. Сделать это можно тремя способами:
- Через портал Госуслуги;
- С помощью электронной формы (с КЭП);
- Письменно, отправив форму почтой в Роскомнадзор.
Роскомнадзор в течение 30 дней с даты поступления уведомления вносит информацию в реестр операторов персональных данных. Если вы отправляли бумажное, а не электронное письмо с УКЭП, дата будет отсчитываться с момента его получения территориальным отделением.
Уведомление Роскомнадзора — разовая процедура. Если ваша компания уже есть в реестре, подавать заявку повторно не нужно.
Как проверить, есть ли вы в реестре Роскомнадзора
- Зайти на портал Роскомнадзора.
- Ввести ИНН либо название компании.
- Если сведений в реестре нет — необходимо срочно направить уведомление.
Как защитить собранные данные
Закон требует не только юридической корректности, но и технической безопасности:
- Подключите SSL-сертификат (https) к сайту;
- Используйте антивирусы и межсетевые экраны;
- Проверяйте актуальность ссылок на документы;
- Разработайте внутренние регламенты, если у вас есть сотрудники, работающие с данными.
Чек-лист владельца сайта
☑ Определите, какие данные вы собираете и зачем ☑ Подготовьте политику конфиденциальности и согласие ☑ Установите чекбокс с активным согласием ☑ Перейдите на российские сервисы или уведомите Роскомнадзор ☑ Проверьте, где хранятся данные ☑ Обеспечьте безопасность: SSL, антивирус, инструкции для команды ☑ Уведомите Роскомнадзор о сборе данных
Почему это важно
Даже если у вас небольшой сайт и вы просто собираете заявки на консультации — вы уже обрабатываете персональные данные. Любая ошибка или «забытая» ссылка может обернуться проверкой и санкциями. Настроив всё один раз правильно, вы обезопасите себя, свой бизнес и клиентов.
🌱kvitly помогает упростить соответствие закону — всё, от хранения до защиты, уже встроено в платформу. Но знание и ответственность остаются за вами.
Наталия Усова
Руководитель 🌱kvitly. Повелевает временем и немного пространством, знает все о потребностях клиентов, очень любит улыбаться, при звуках виолончели — покрывается мурашками.
Готовы начать?
Исследуйте все функции 🌱kvitly в течение 7 дней. Без обязательств и платежных карт.
Давайте пробовать!
