Персональные данные для сайта: как соблюсти 152-ФЗ и избежать штрафов

Закон о защите персональных данных (далее – Закон № 152) принят в 2006 году. В 2022 году в него внесены существенные изменения. Они усилили защиту ПДн и требования к тем, кто их обрабатывает. В конце 2023 года были повышены штрафы за незаконную обработку персональных данных, с 30 мая 2025 года санкции также повышаются (вводятся многомилионные штрафы и дополнительные составы административных правонарушений).

Особое внимание законодатель уделяет защищенности ПДн на сайтах. Обработка персональных данных для сайта происходит для различных целей. Сайты организаций и ИП собирают адреса и другую персональную информацию. Чтобы это было законным, нужно соблюдать ряд требований, которые рассмотрим в этой статье.


На кого распространяется действие Закон № 152


Закон № 152 распространяется на всех, кто обрабатывает ПДн. К таким субъектам, в частности, относятся:


Меры административной ответственности за нарушения в области ПДн

С 30 мая 2025 года повышена ответственность за нарушения, которые связаны с обработкой персональных данных (приводятся сведения для организаций, далее – ЮЛ).

  1. Ответственность по ч. 1, ч. 1.1 ст. 13.11 КоАП:

  1. Вводятся новые части в ст. 13.11 КоАП. Они предусматривают ответственность организаций за:

  1. При повторных нарушениях вводятся оборотные штрафы. Они предусмотрены ч. 15 и 18 ст. 13.11 и составляют:

Смягчающим обстоятельством по ч. 11 ст. 13.11 КоАП является то, что компания в течение предыдущих 12 месяцев выполняла все требования в области защиты ПДн и это подтверждено документально. По всем частям ст. 13.11 КоАП льгота в виде 50%-ой скидки при быстрой оплате штрафа (ст. 32.2 КоАП РФ) не применяется.

Компания Juris AI разработает для вас все необходимые документы для сайта. Мы гарантируем, что они полностью отвечают требованиям Закона № 152 и Роскомнадзора. Мы защитим ваш бизнес от претензий контролирующих органов и многомиллионных штрафов.

Кроме того, для иностранных компаний предусмотрена ответственность по ст. 19.5.2 КоАП РФ за незаконный сбор ПДн граждан в сети Интернет. В случае нарушения ей грозит штраф до 6 млн рублей, а при повторном нарушении – до 18 млн. рублей.


Меры уголовной ответственности за нарушения в области ПДн


Административная ответственность применяется, если нет состава уголовного преступления:


Обязанности оператора и обработчика данных

ПДн может обрабатывать:

  1. Оператор персональных данных. Им может быть юридическое лицо, а также любой владелец сайта или информационного ресурса, например гражданин, который создал его с определенной целью (продажа на своем сайте ароматических свечей или других товаров, информационные услуги и т.д.). Практически везде, где нужно вводить данные (регистрация аккаунта, сбор данных об адресе доставки товаров и т.д.), происходит обработка ПДн. Это означает, что любому владельцу сайта нужен набор документов, которые предусмотрены Законом № 152. Если их не будет, предпринимателю грозят штрафные санкции или блокировка ресурса.

Обязанностями оператора ПДн являются соблюдение Закона № 152.



  1. Обработчик ПДн. Это тот, кто действует по поручению оператора и только в рамках договора с ним. Например, Call-центр, который собирает ПДн лиц, желающих взять кредит, для банка.

Обработчик обязан:

Одно и то же лицо может быть одновременно оператором и обработчиком персональных данных. Так, маркетплейс является оператором для данных покупателей и обработчиком для данных продавца.

Если произойдет утечка данных или другое нарушение закона № 152, за него отвечает оператор ПДн.

Так, в 2022 году (дело № № А07-34409/2023) ООО «Промтрансбанк» был оштрафован за административное правонарушение по ст. 13.11 КоАП на 60 тыс. рублей. Причиной штрафа стала утечка данных клиентов банка. Она произошла по вине подрядчика банка ООО «Экспресс лаб». Он создал лог-файл с данными клиентов и оставил его в открытом доступе в сети Интернет.

Впоследствии банк через суд взыскал сумму штрафа с подрядчика, так как удалось доказать его вину.

Если оператор ПДн поручит их обработку иностранному лицу, то ответственность за их надлежащее использования несут и оператор и обработчик ПДн.


Какие документы нужны для сайта?

Необходимо разработать пакет юридических документов для сайта, на котором происходит обработка ПДн документов. Они позволят убедить контролирующие органы, что предприниматель действует в соответствии с Законом № 152.

До начала обработки нужно направить в Роскомнадзор уведомление.

Кроме того, нужны следующие документы для оформления сайта:

Все эти документы должны присутствовать на сайте. Факультативным является обязательство о неразглашении персональных данных. Этот документ подписывают все сотрудники, которые могут работать с ПДн клиентов и других пользователей. Он нужен если обрабатываются данные специальных категорий.

Кроме того, у организации должны быть локальные документы (приказы, распоряжения и др.). Их не нужно размещать на сайте. Однако Роскомнадзор может потребовать предоставить их в ходе проверки.

Компания Juris AI разработает полный комплект документов для вашего сайта. Мы индивидуально подходим к клиентам и избегаем шаблонов обработки персональных данных для сайтов. Это необходимо, так как для каждого бизнеса нужны свои документы, учитывающие его специфику. Мы гарантируем, что документы будут отвечать специфике вашей деятельности и полностью соответствовать требованиям Закона № 152 и рекомендациям Роскомнадзора.

Уведомление об обработке персональных данных

Оператор ПДн обязан уведомлять Роскомнадзор о намерении обработки данных.

Роскомнадзор уведомлять не нужно, если:

Таким образом, большинству компаний нужно подавать соответствующе уведомление в Роскомнадзор. Это можно сделать в бумажном или электронном виде по форме, которая разработана контрольным ведомством. В нем для каждой из целей обработки ПДн указываются:

Основные требования к согласию на обработку персональных данных

Согласие на обработку ПДн должно быть:

Кроме того, согласие на обработку ПДн должно быть:

Требования к локальным документам организаций по обработке ПДн

В 2022 году в закон № 152 введена статья 18.1. Она определяет, что локальный акт оператора ПДн должен включать:

Эти сведения должны быть размещены либо на сайте компании (в разделе, где пользователи вводят свои данные, или в специальном разделе), либо в открытом доступе (если планируется оффлайн сбор ПДн).

Например, если интернет-магазин собирает сведения о телефонах покупателей, он обязан разместить на сайте ссылку на политику конфиденциальности в форме заказа.

Локальные нормативные акты должны включать в себя детальные сведения. В них необходимо:

Кроме того, у организации должны быть разработаны и размещены на сайте пользовательское соглашение и согласие на обработку персональных данных. Подробнее об этих документах можно прочесть подробнее на Juris AI. Судебные кейсы приведены ниже. кейсы и практические рекомендации доступны на Juris AI.

Все эти документы Роскомнадзор запрашивает при проверках.

Компания Juris AI разработает для вас пользовательское соглашение, политику конфиденциальности и согласие на обработку ПДн. Это защитит вашу организацию от неправомерных действий пользователей, снизит риск возможных претензий со стороны Роскомнадзора и других контролирующих органов. В этих документах мы пропишем права и обязанности посетителей сайта компании на понятном языке.


Недействительность договоров, которые нарушают права и свободы носителя ПДн

Законом № 152 (пп. 5, 6 ст. 6) установлено, что:

Эти положения Закона № 152 (введены в 2022 году) призваны значительно сократить негативную практику деятельности компаний. Она заключается в том, что в договоры включаются положения об обработке ПДн в целях, которые явно не соответствуют услугам или сути соглашения.

Например: потребитель заказал доставку еды на сайте «Яндекс.Еда». При этом он принял условия соглашения об обработке ПДн. В нем указано, что персональные данные (пример: ФИО, телефон, адрес доставки, e-mail) для сайта предназначены не только для целей доставки, но и для рассылки персональных рекламных предложений, в том числе о финансовых услугах (кредиты, вклады, страхование и т.п.).

Другой пример: потребитель приобрел услуги по посещению занятий фитнес-клуба. В договоре указано, что показатели о его здоровье (вес, давление, наличие хронических заболеваний и др.) могут использоваться для направления ему предложений БАДов от аптек.

В целях недопущения рассмотренных нарушений предпринимателю целесообразно исключить из договоров (публичных предложений – оферт и др.) спорные моменты, которые касаются обработки ПДн, если они выходят за рамки соглашения.


Как зарегистрироваться в качестве оператора персональных данных в Роскомнадзоре: инструкция

Для того, чтобы стать оператором персональных данных (им может быть юридическое лицо, ИП или гражданин) необходимо зарегистрироваться в этом качестве в Роскомнадзоре.

Для этого нужно:

  1. Подать в Роскомнадзор уведомление. Его можно составить на портале персональных данных. Уведомление может быть подано как в электронном, так и в бумажном виде.

  2. Дождаться решения Роскомнадзора. Срок проверки уведомления составляет 30 дней. Если форма будет заполнена неправильно, контрольное ведомство откажет заявителю во включении в реестр операторов ПДн до внесения корректировок в уведомление. В этом случае его нужно будет направить снова.

  3. Получить выписку из реестра ПДн.

Перед подачей уведомления нужно назначить ответственного за обработку ПДн в организации, а также подготовить необходимые документы. Их наличие и соответствие требованиям законодательства может проверить Роскомнадзор.

Компания Juris AI специалисты Juris AI вашу организацию в качестве оператора персональных данных. Мы проверим наличие и качество составленных вами документов и, при необходимости, предложим услуги по их доработке в соответствие с требованиями Закона № 152 и Роскомнадзора. Мы подадим заявление о регистрации организации в качестве оператора персональных данных в полном соответствии с формой, которая утверждена Роскомнадзором. Мы гарантируем отсутствие в уведомлении ошибочных данных. Это гарантирует, что ваша организация станет оператором ПДн в минимально возможные сроки.


Взаимодействие оператора ПДн с Роскомнадзором

Статьей 20 Закона № 152 установлено, что на запросы Роскомнадзора по поводу обработки ПДн или исполнения законодательства о ПДн нужно отвечать в срок до 10 рабочих дней. К ним можно прибавить 5 дней, если мотивировать необходимость в продлении срока.

Закон № 152 также обязывает оператора ПДн информировать в течение 24 часов Роскомнадзор об инцидентах безопасности. К ним относятся любые факты неправомерной передачи ПДн любым из способов (распространение, предоставление доступа, утечка и т.п.).

В уведомлении Роскомнадзора приводится:

По инцидентам безопасности необходимо провести расследование, а по его результатам в течение 72 часов проинформировать Роскомнадзор.

Для выполнения этих требований организациям нужно разработать документы по процедуре выявления, установления и нейтрализации инцидентов.

Компания Juris AI разработает необходимые документы, которые помогут вам взаимодействовать с носителями ПДн и избежать претензий со стороны Роскомнадзора. Мы учитываем логику работы именно ваших Интернет-ресурсов и в соответствие с ней выстраиваем юридическую сторону политики обработки ПДн и других локальных правовых актов. Мы избегаем шаблонов и индивидуально подходим к каждому клиенту.


Предоставление ответов на запросы пользователей сайта

Многие предприниматели не знают, что пользователь сайта может запросить всю информацию по обработке его данных, которые получены в регистрационных формах на сайте. К ним относятся:

Кроме того, носитель ПДн вправе запросить у оператора персональных данных, какие меры он принял:

Срок ответа на запрос носителя ПДн составляет до рабочих 10 дней. Он может быть продлен еще на 5 дней. Для этого нужно уведомить носителя ПДн и указать мотивы продления срока. Если не ответить в указанные сроки, может наступить административная ответственность по ст. 13.11 КоАП.


Прекращение обработки ПДн по просьбе пользователя сайта

При обращении к оператору с просьбой о прекращении обработки данных он должен сделать это в течение 10 рабочих дней (15, если мотивировать необходимость задержки выполнения данного требования).

При этом носителя персональных данных нужно проинформировать:

Факт уничтожения ПДн может быть подтвержден:


Трансграничная передача данных

Бывают различные ситуации, когда происходит трансграничная передача данных. Например, при использовании Google Analitics, облачных сервисов, при онлайн-бронировании гостиниц за рубежом или заказе товаров у иностранных партнеров. При использовании популярных средств организации видеоконференций (Zoom и др.) данные также могут проходить через иностранные серверы. Если предприниматель понимает, что будет происходить трансграничная передача данных, нужно уведомить Роскомнадзор. В условиях сложных политических взаимоотношений с рядом приграничных стран соблюдение этой обязанности оператором ПДн позволят минимизировать репутационные и другие риски. Они связаны с повышенной ответственностью при утечке данных за рубеж.

Законом № 152 (ст. 12) установлены 2 режима передачи ПДн:

При этом оператор ПДн должен получить у иностранных контрагентов данные о стране, в которую он передает персональные данные. Они включают сведения:

Эти сведения может запросить Роскомнадзор.

С 1 марта 2023 года Роскомнадзор после рассмотрения уведомления в любую иностранную страну может запретить трансграничную передачу ПДн. Их передача в любом случае не допускается ранее 10 дней после подачи уведомления (до принятия контрольным ведомством решения по итогам его рассмотрения).


Судебная практика по нарушению 152-ФЗ

К 2025 году судами наработана значительная судебная практика по вопросам применения норм Закона № 152:


Ответы на часто задаваемые вопросы

У нас произошел инцидент безопасности: хакеры взломали сайт организации и часть ПДн оказалась в свободном доступе. Кого нужно уведомить о происшествии?

Об утечке персональных данных, нужно уведомить:


Можно ли хранить архивные персональные данные более 10 лет?

Закон № 152 не распространяет свое действие на архивные данные. В ряде случаев их длительное хранение вызвано требованиями закона. Например, трудовые книжки хранятся 75 лет, медицинские карты – 25 лет, личные дела призывников и военнообязанных – бессрочно.

Для архивного хранения нужно провести процедуры, которые указаны в законе об архивном деле (№ 125-ФЗ). К ним относятся, в частности, оформление дел для архива и их передача в архив. Эти данные могут понадобиться для различных целей (трудовые споры, судебные решения и др.).


У организации закончились договорные отношения с носителем персональных данных. После этого, через год, он отозвал согласие на обработку данных. Можем ли мы их обрабатывать?

Статьей 23 НК РФ установлена обязанность организации хранить данные клиентов в течение 5 лет после окончания договора. Это нужно для целей налогового учета.

Таким образом, вы можете хранить ПДн для этих целей. Однако для других – нет. Например, использование ПДн для рассылки рекламных объявлений будет незаконным.


Согласие на обработку персональных данных может быть получено в разных формах (письменная, электронная, устная). Когда требуется именно письменная форма?

Письменная форма данного документа требуется, если:


В каких случаях Роскомнадзор может обратить повышенное внимание на деятельность организации в сфере защиты ПДн?

Роскомнадзор осуществляет непрерывный мониторинг сведений об обработке персональных данных в сети Интернет. Он может проверить любого оператора ПДн.

Вместе с тем наибольшее внимание со стороны контрольного ведомства может возникнуть, если:


Проверить сайт на соответствие 152-ФЗ

Juris AI проводит аудит сайтов на предмет соблюдения требований законодательства о персональных данных и требований Роскомнадзора.

Проверить сайт