Поиск
Федеральный закон «О персональных данных» 152-ФЗ: что нужно знать бизнесу в 2026 году
Клиенты могут оставить вам свой телефон через форму обратной связи на сайте — и вот вы уже не просто бизнес, а оператор персональных данных. К взаимодействию с личной информацией клиентов, сотрудников и партнеров следует относиться внимательно: каждый шаг регулирует закон. Разбираемся в его требованиях и применении на практике.
Закон 152-ФЗ о персональных данных: коротко для предпринимателя
Суть закона «О персональных данных» проста: государство обязало бизнес охранять любую информацию, по которой можно идентифицировать человека. Если вы собираете контакты — вы обрабатываете данные. Значит, вы должны соблюдать требования закона.
Кто обязан соблюдать 152-ФЗ
Любой бизнес (в статусе самозанятого, ИП, ООО), который собирает, хранит, использует или передает данные граждан РФ. Если вы используете систему управления взаимоотношениями с клиентами (CRM), сайт с формой обратной связи, электронные рассылки или таблицу с телефонами, то вы — оператор персональных данных.
Планируете собирать данные клиентов через сайт?
Рег.решение «Сайт под ключ» поможет делать это грамотно:
- настроим форму обратной связи,
- предоставим шаблоны правовых документов,
- дадим скидку на консультацию у партнера Destra Legal.
Какие данные считаются персональными
| Тип данных | Примеры |
|---|---|
| Базовые | Ф. И. О., дата рождения, адрес проживания, телефон, электронная почта |
| Специальные | Национальность, политические взгляды, состояние здоровья, судимость (тут требования к защите в разы строже) |
| Технические (косвенные) | IP-адрес, данные cookies, ID устройства (да, это тоже персональные данные) |
Кто является оператором персональных данных
Это физическое или юридическое лицо, которое самостоятельно или совместно с другими определяет цели обработки данных. Например, в случае со сбором данных через сайт вся ответственность лежит именно на владельце бизнеса. Не на системном администраторе, разработчике или хостинг-провайдере.
Основные требования закона 152-ФЗ
Или что обязательно должно быть на вашем сайте, чтобы вы избежали штрафов.
1. Политика конфиденциальности
Этот документ, как правило, лежит в открытом доступе в месте, где его легко можно найти. Например, его часто добавляют в подвал сайта. В Политике четко прописано: зачем вы берете данные, как храните и кому можете передать.
2. Согласие на обработку персональных данных
При каждой форме сбора данных (регистрация, покупка, подписка) должен присутствовать чекбокс «Я даю согласие на обработку персональных данных, а также соглашаюсь с политикой конфиденциальности».
Галочка в чекбоксе не может стоять по умолчанию: пользователь должен проставить ее сам. Предварительно он может кликнуть на Согласие для ознакомления — документ должен корректно открываться по ссылке и быть в актуальной редакции.
Важно: Согласие не должно размещаться под одним чекбоксом с любым другим документом — только отдельно.
3. Уведомление о передаче данных третьим лицам
Если вы пользуетесь облачными системами управления взаимоотношениями с клиентами (CRM), сервисами рассылок или аналитики (Яндекс Метрика, Google Analytics), то вы передаете данные третьим лицам. В Политике это должно быть отражено.
4. Хранение и защита
Данные россиян должны храниться на серверах, физически расположенных в РФ. Это критично: если ваш хостинг в США, то вы нарушаете закон прямо сейчас.
Типичные ошибки бизнеса
Мы попросили Ольгу Красюк, руководителя отдела правового сопровождения общей деятельности и работ с персональными данными Рег.ру, перечислить основные ошибки малого бизнеса:
- Негласный сбор данных: форма на сайте есть, а чекбокса нет.
- Вечное хранение: срок хранения должен быть ограничен и обозначен.
- Нет уведомления: многие забывают подать уведомление в Роскомнадзор о начале обработки данных. Да, это нужно делать, за исключением редких случаев — проверить свой бизнес можно на сайте Роскомнадзора в сервисе «Реестр операторов».
- Отказ от удаления: если клиент требует удалить данные (воспользоваться «правом на забвение»), а вы игнорируете, то это прямой путь к конфликту и проверке.
Ответственность и штрафы
Штрафы по ст. 13.11 КоАП РФ суммируются за каждый факт нарушения при обработке персональных данных в 2026 году.
| Нарушение | Штраф (для юрлиц) |
|---|---|
| Отсутствие Политики на сайте | до 60 000 руб. |
| Обработка данных без письменного согласия | до 150 000 руб. |
| Невыполнение требования об уточнении/удалении данных | до 90 000 руб. |
| Хранение данных за границей | до 6 млн руб. |
| Разглашение данных биометрии | до 20 млн руб. |
| Повторное нарушение | до 500 000 руб. |
При масштабных утечках сейчас введены кратно большие оборотные штрафы, которые могут составить до 3% от суммы оборота компании за прошедший год.
Проверки защиты персональных данных от Роскомнадзора: как проходят в 2026 году
Роскомнадзор проводит проверки разными способами: планово и внепланово, выезжая в офис к проверяемому бизнесу или только запросив документы.
Отдельно выделяют профилактический визит (по сути близкий к проверке, хотя таковой не является) и постоянный автоматический мониторинг сайтов с использованием искусственного интеллекта.
На заметку: РКН может прийти и по жалобе недовольного клиента.
На случай любой проверки внутренние процессы и документы бизнеса должны соответствовать требованиям закона 152-ФЗ — используйте чек-лист ниже для самопроверки.
Как бизнесу соблюдать 152-ФЗ на практике: чек-лист
- Проведите аудит: где вы берете данные? Кто к ним имеет доступ? Где они хранятся?
- Назначьте ответственного, внесите в должностную инструкцию сотрудника пункт «Ответственный за организацию обработки ПД».
- Разработайте необходимые политики и регламенты.
- Приведите сайт в порядок.
- Добавьте Политику конфиденциальности на сайт (в подвал). Проверьте соответствие объема ПД, собираемого веб-формой, положениям Политики.
- Проверьте все формы на вашем сайте. Добавьте чекбокс «Согласен на обработку...» под каждой формой. Согласие на получение рекламы оформите отдельным чекбоксом.
- Сделайте так, чтобы Согласие сохранялось в базе (лог действий).
- Разместите соответствующий баннер и Политику обработки cookie-файлов с указанием на метрические и аналитические системы.
- Убедитесь, что серверы размещены в РФ.
- Проверьте, есть ли договор с каждым партнером, которому вы поручаете обработку персональных данных (система управления взаимодействием с клиентами, рассылка рекламы на электронную почту и т. д.).
- Подайте уведомление на Портале персональных данных (кроме случаев, когда данные берете только для исполнения договора — например, если у вас интернет-магазин). Уведомление должно соответствовать по наполнению вашим правилам обработки персональных данных.
Законодательство меняется быстро, и лучше по этому вопросу именно для вашего бизнеса периодически консультироваться с профильным юристом.
Часто задаваемые вопросы
Что такое 152-ФЗ простыми словами?
Это правила игры: берете чужие контакты — отвечаете за их безопасность и не используете без согласия.
Можно ли обрабатывать данные без письменного согласия?
Есть такие случаи. Например, если это необходимо для исполнения договора ( доставка товара, оказание услуг), выполнения обязанностей по закону, осуществления законных прав и интересов, участия в судопроизводстве. Важно четко определить, что является основанием для такой обработки именно у вас.
Можно ли хранить ПД за пределами России?
Первичная база — строго в РФ. Второстепенную копию можно хранить за рубежом, но только после записи первичных данных в РФ.
Кто несет ответственность за утечку?
Оператор персональных данных (владелец бизнеса). За недобросовестных подрядчиков отвечает тоже он.
Нужно ли соблюдать 152-ФЗ самозанятым и ИП?
Да, закон не делает различий по форме собственности. Работаете с данными — соблюдайте.
Что делать, если пользователь запросил удаление данных или отзыв согласия?
Удалять. У вас есть от 3 до 30 дней на выполнение запроса, в зависимости от основания запроса, в противном случае вы получите штраф.
Как понять, нужно ли уведомлять Роскомнадзор?
Зайдите на сайт Роскомнадзора в сервис «Реестр операторов»: если вы не подпадаете под исключения (ст. 22 закона), необходимо подать уведомление.
Нужно ли соблюдать 152-ФЗ, если на сайте только форма заявки?
Да. Даже форма «Перезвоните мне» с полем «Номер телефона» — это сбор данных.
