Федеральный закон № 152-ФЗ «О персональных данных» — это главный нормативный акт, определяющий правила работы с личными данными граждан России. Закон действует с 2006 года, но за последние три года прошёл через несколько серьёзных реформ. В 2026 году каждый владелец сайта, имеющий хоть одну форму с полем «введите ваш email», является оператором персональных данных и несёт полную ответственность по закону.
Кто является оператором персональных данных
Оператором признаётся любое юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует обработку персональных данных. Обработка — это любое действие с данными: сбор, запись, систематизация, хранение, уточнение, использование, передача или уничтожение.
Если на вашем сайте есть хотя бы одно из следующего — вы оператор персональных данных:
- Форма обратной связи (имя + email + телефон)
- Форма регистрации или личный кабинет
- Онлайн-заказ или оплата
- Подписка на рассылку
- Чат-бот или онлайн-консультант
- Счётчики аналитики (Яндекс.Метрика, Google Analytics), использующие cookies
- Пиксели ретаргетинга
Ключевые изменения 152-ФЗ в 2024–2026 годах
Оборотные штрафы за утечки (с сентября 2024 года)
Федеральный закон № 266-ФЗ ввёл оборотные штрафы за утечку персональных данных. Теперь за первую утечку компания может быть оштрафована на сумму от 3 до 15 млн рублей, а за повторную — от 15 до 500 млн рублей или до 3% годовой выручки. Это кардинально изменило риск-профиль обработки данных: раньше максимальный штраф составлял 75 000 рублей.
Уведомление об утечках в течение 24 часов
Согласно новой редакции ст. 21 152-ФЗ, при обнаружении утечки оператор обязан уведомить Роскомнадзор в течение 24 часов о самом факте инцидента и в течение 72 часов — о результатах внутреннего расследования. Нарушение этих сроков является самостоятельным составом административного правонарушения.
Расширение перечня прав субъектов
В 2025 году субъекты персональных данных получили дополнительные права: право на возражение против автоматизированной обработки, право на ограничение обработки и право на перенос данных. Оператор обязан обеспечить техническую возможность реализации этих прав.
Важно: Незнание закона не освобождает от ответственности. Роскомнадзор проводит плановые и внеплановые проверки; в 2025 году было выдано более 15 000 предписаний об устранении нарушений.
Обязанности оператора персональных данных
Документарные обязанности
- Политика конфиденциальности — публичный документ на сайте, содержащий описание всех операций с данными.
- Приказ о назначении ответственного — внутренний распорядительный документ.
- Согласия на обработку ПД — для каждой цели обработки.
- Уведомление Роскомнадзора — обязательная регистрация в реестре операторов (кроме исключений по ст. 22 152-ФЗ).
- Модель угроз и план защиты — технические меры в соответствии с Приказом ФСТЭК № 21.
Технические обязанности
- Хранить данные граждан РФ на серверах в России (ФЗ-242).
- Обеспечить шифрование каналов передачи данных (HTTPS).
- Ограничить доступ к данным по принципу минимальных привилегий.
- Вести журналы операций с персональными данными.
- Регулярно проводить тестирование систем защиты.
Что проверяет Роскомнадзор
Плановые проверки РКН охватывают несколько блоков:
| Что проверяется | Нормативная основа | Частота нарушений |
|---|---|---|
| Наличие политики конфиденциальности | ст. 18.1 152-ФЗ | 67% |
| Уведомление о cookie | ст. 6 152-ФЗ | 54% |
| Уведомление РКН об обработке | ст. 22 152-ФЗ | 41% |
| Локализация данных | ст. 18.1, ФЗ-242 | 23% |
| Форма согласия на обработку | ст. 9 152-ФЗ | 38% |
| Технические меры защиты | Приказ ФСТЭК № 21 | 29% |
Пошаговый план приведения сайта в соответствие
- Инвентаризация данных. Составьте список всех форм, аналитических инструментов и сторонних сервисов на сайте, которые собирают данные пользователей.
- Разработка политики конфиденциальности. Документ должен описывать цели, правовые основания, сроки хранения и права субъектов.
- Настройка cookie-баннера. Пользователь должен дать явное согласие до начала применения не обязательных cookie.
- Подача уведомления в РКН. Зарегистрируйтесь в реестре операторов на портале Роскомнадзора.
- Проверка локализации. Убедитесь, что сервер базы данных расположен в России.
- Технические меры. Установите SSL, настройте права доступа, включите логирование операций.
- Внутренние документы. Разработайте приказы, инструкции и регламенты обработки ПД.
Связанные материалы
Детальнее о конкретных аспектах вы можете прочитать в наших статьях: Политика конфиденциальности: требования 2026 года, Cookie-баннер для сайта: требования законодательства РФ и Штрафы за нарушение 152-ФЗ: полная таблица.
Итог
152-ФЗ в 2026 году — это не бюрократия ради бюрократии, а реальный инструмент защиты пользователей и регулирования рынка. Несоответствие закону грозит штрафами до сотен миллионов рублей, блокировкой сайта и уголовной ответственностью в случае грубых нарушений. Проверьте свой сайт прямо сейчас на help152.ru — автоматический аудит займёт не более 2 минут.