Понятие «оператор персональных данных» – ключевое в 152-ФЗ. От того, попадает ли владелец сайта под определение оператора, зависит весь объём обязанностей: уведомление Роскомнадзора, политика, согласия, защита, локализация. Разбираем тему «что считается обработкой персональных данных по 152-фз» с опорой на актуальные нормы 2026 года.
Базовое определение
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие или осуществляющие обработку ПДн, а также определяющие цели и состав обрабатываемых данных. Простыми словами: если вы решаете, какие данные собирать на сайте и зачем – вы оператор. Это касается ИП с сайтом, самозанятых, ООО любого размера, бюджетных учреждений и физических лиц, ведущих профессиональную деятельность через интернет.
Когда сайт-визитка становится оператором
Сайт-визитка попадает под закон, если на нём есть хотя бы один из элементов: форма обратной связи (имя + телефон/email), форма заявки, подписка на рассылку, кнопка обратного звонка, виджет онлайн-чата, регистрация. Также – если сайт использует Яндекс.Метрику, Google Analytics или другой счётчик аналитики. Даже передача ФИО и телефона через WhatsApp-кнопку с сайта формально считается сбором ПДн.
Правовые основания обработки
Статья 6 152-ФЗ перечисляет основания, при которых обработка ПДн законна:
- согласие субъекта ПДн (самое частое основание для сайтов);
- исполнение договора, стороной которого является субъект ПДн (например, оформление заказа);
- исполнение полномочий, возложенных законодательством;
- осуществление прав и законных интересов оператора;
- в целях, связанных с журналистской деятельностью, научными или статистическими исследованиями.
Любое из этих оснований должно быть зафиксировано документально – иначе при проверке Роскомнадзора оснований «не было».
Принципы обработки
Семь принципов из статьи 5 152-ФЗ, которые должен соблюдать каждый оператор:
- законность и справедливость;
- конкретность и заранее определённые цели;
- соответствие объёма данных целям обработки (избыточные данные собирать нельзя);
- точность и актуальность;
- хранение в форме, позволяющей идентификацию, не дольше требуется для целей;
- уничтожение или обезличивание после достижения целей;
- обеспечение конфиденциальности и защиты.
Базовый комплект обязанностей
Минимальный набор действий оператора-сайта:
- подать уведомление в Роскомнадзор и попасть в реестр операторов;
- опубликовать на сайте политику обработки ПДн (ст. 18.1) – в видимой части;
- собирать согласия пользователей на каждое целевое действие;
- обеспечить локализацию баз с ПДн граждан РФ на территории России;
- принять организационные и технические меры защиты по приказам ФСТЭК и ФСБ;
- назначить ответственного за обработку ПДн внутри организации;
- уведомлять субъектов и Роскомнадзор об инцидентах в установленные сроки.
За неуведомление Роскомнадзора о начале обработки ПДн (ч. 10 ст. 13.11 КоАП) штраф для юрлица – 100–300 тыс ₽. Отсутствие политики обработки ПДн на сайте (ч. 3 ст. 13.11 КоАП) карается штрафом 30–60 тыс ₽ для юрлица. Поэтому даже минимальный комплект – обязателен.
Что делать прямо сейчас
Проверить сайт на нарушения 152-ФЗ можно бесплатно за 30 секунд – без регистрации и оплаты. Сервис help152.ru выполняет 78+ автоматических проверок и показывает общую оценку, количество нарушений по категориям и риск штрафа. Если нужен подробный PDF-отчёт со ссылками на статьи закона и размерами штрафов – доступны три тарифа платного аудита:
- Визитка / Лендинг – 1 490 ₽ для сайтов-визиток, лендингов, портфолио.
- Коммерческий – 2 990 ₽ для корпоративных сайтов, сервисов и SaaS, с юридическими и техническими рекомендациями.
- Бизнес – 4 900 ₽ с расширенными проверками ЗоЗПП, оферты, оплаты и маркировки рекламы.
База правил обновляется при каждом изменении законодательства – аудит учитывает поправки 420-ФЗ, изменения локализации, требования к маркировке рекламы и куки. Сравнить тарифы или запустить бесплатную экспресс-проверку.