Приведение сайта к требованиям 152-ФЗ: что должно быть и как не получить штраф

Почему тема 152-ФЗ для сайта давно перестала быть формальностью

Несколько лет назад многие владельцы сайтов относились к персональным данным как к чему-то теоретическому. Мол, мы же не банк, не клиника и не маркетплейс федерального уровня. Но проблема в том, что закон не спрашивает, большой у вас бизнес или маленький. Он смотрит на факт обработки данных.

Если на сайте есть форма “Оставьте заявку”, форма обратного звонка, запись на услугу, подписка, личный кабинет, оформление заказа, квиз, онлайн-чат, коллтрекинг, CRM-виджет, Яндекс.Метрика, пиксели, внешние формы, Telegram-бот или любой другой инструмент, который собирает и передает сведения о пользователе, значит тема персональных данных у вас уже есть.

Неважно, считаете ли вы свой сайт “простым”. Для закона важнее другое: собираете вы данные или нет, и как именно это делаете.

Отдельный нюанс в том, что для владельца сайта проблема часто не видна. Ему кажется: форма работает, заявки приходят, CRM ловит лиды, аналитика считает, значит всё нормально. А на практике на странице может не быть корректного согласия, в футере - не быть нужных ссылок, а сами документы - вообще не отражать реальную схему обработки.

Что именно считается персональными данными на сайте

Самая частая ошибка - сводить персональные данные только к телефону и email. На деле список шире. Да, имя, телефон и почта сюда входят. Но если смотреть на сайт как на живой рабочий инструмент, всплывают и другие вещи: IP-адрес, cookie, история действий пользователя, данные, которые уезжают в аналитику, сведения, которые подхватывают пиксели и виджеты, информация из корзины, из форм записи, из заявки на консультацию.

Именно поэтому простая фраза “у нас на сайте только одна форма, ничего страшного” обычно не выдерживает даже поверхностной проверки. Форма - это только вершина. Под ней почти всегда скрывается целая цепочка: сайт -> аналитика -> CRM -> менеджер -> мессенджер -> почта -> реклама.

Что должно быть на сайте, если вы собираете персональные данные

Теперь к самому практичному. Ниже - базовый набор того, что обычно должно быть приведено в порядок на стороне сайта. У конкретного проекта список может быть уже или шире, но фундамент примерно одинаковый.

1. Нормальная политика обработки персональных данных

Не текст “из конструктора”, не случайный шаблон из выдачи, не чужой документ, где забыли поменять название компании. А внятная страница, которая отражает, кто оператор, какие данные собираются, зачем они собираются, как обрабатываются, какие права есть у пользователя, кому данные могут передаваться и как с вами связаться по вопросам персональных данных.

Проблема типовых шаблонов в том, что они часто не совпадают с реальностью. На сайте может быть квиз и интеграция с CRM, а в политике - ни слова об этом. Может стоять чат-виджет, форма записи и система аналитики, а документ выглядит так, будто речь идет о сайте-визитке из 2017 года без единой формы.

2. Корректные согласия в формах

Если на сайте есть формы, они должны быть оформлены не “как получилось”, а понятно и технически корректно. В рабочем варианте это обычно означает:

• есть текст согласия рядом с формой;
• есть ссылка на политику обработки персональных данных;
• есть чекбокс там, где он нужен по логике формы и сбора;
• пользователь видит, на что именно соглашается.

Очень частый косяк - чекбокс есть, но он декоративный. Или ссылка есть, но ведет в никуда. Или форм несколько, а нормально оформлена только одна. Или основной лидогенератор вообще спрятан внутри квиза/попапа и никто его не трогал годами.

3. Cookie и аналитика

Отдельная тема - cookie, аналитические системы, ретаргетинг, внешние скрипты. Многие вспоминают о них в последнюю очередь, потому что “это же просто Метрика”. Но “просто Метрика” - это тоже часть фактической обработки данных на сайте, и игнорировать это в 2026 году уже странно.

Если на сайте работают аналитика, пиксели, маркетинговые скрипты, виджеты, внешние формы или любые инструменты, которые участвуют в сборе и передаче данных пользователя, это должно быть отражено и в логике сайта, и в документной части.

4. Понятные ссылки и доступность документов

Политику нельзя прятать так, будто вы стыдитесь ее существования. Документ должен быть доступен, а не закопан на шестом уровне меню. Обычно его выносят в футер, дублируют около форм, при необходимости добавляют в разделы с заказом, регистрацией, записью, квизами и другими точками сбора данных.

5. Проверка интеграций и внешних сервисов

Это как раз тот кусок, который чаще всего выпадает из “быстрых решений”. Сайт вроде бы подправили, политику выложили, чекбокс добавили, а потом выясняется, что лиды уходят в сторонний сервис, заявки дублируются в Telegram, квиз работает через внешний конструктор, а cookie-сценарий и аналитика живут своей жизнью.

То есть формально сайт “похож на приведённый в порядок”, а по факту остались дыры. Поэтому я всегда смотрю не только на страницы, но и на сам маршрут данных.

Нужно ли уведомлять Роскомнадзор

Это один из самых частых вопросов, и здесь как раз опасно упрощать. Во многих случаях оператор до начала обработки персональных данных должен уведомить Роскомнадзор. Исключения есть, но пытаться вслепую записать любой сайт в исключение - плохая идея. На практике владельцы сайтов часто думают, что раз они небольшие, то уведомление их не касается. А потом оказывается, что схема обработки у них давно вышла за рамки “простого сайта с одной формой”.

Если говорить без лишней юрводы, уведомление - это уже не экзотика для крупных игроков, а нормальная рабочая тема для обычного бизнеса. Поэтому на странице важно не обещать пользователю “у вас точно ничего подавать не надо”, а честно объяснять: сначала надо посмотреть, как именно устроена обработка.

На сайте можно закрыть большую часть видимых рисков, но вопрос уведомления Роскомнадзора лучше разбирать не гаданием, а по реальной схеме сбора и обработки данных.

Официальные материалы и сервисы по теме персональных данных размещены на портале Роскомнадзора:
портал персональных данных Роскомнадзора.
Отдельно по общим обязанностям операторов полезно смотреть материалы на сайте ведомства:
официальный сайт Роскомнадзора.

Почему “скачать шаблон из интернета” - плохая стратегия

Потому что у шаблона нет доступа к вашему сайту. Он не знает, сколько у вас форм, как устроена заявка, какие скрипты стоят в шапке и подвале, какие сервисы ловят пользователя по пути, есть ли коллтрекинг, квизы, сторонние кнопки, CRM, рассылки и связка с рекламой.

Шаблон не понимает, что на одном сайте заявка уходит просто на почту, а на другом - в CRM, потом в Telegram, потом менеджеру в WhatsApp. Он не видит, что в одной форме собирается только телефон, а в другой - имя, email, комментарий, адрес, файл и данные заказа. И именно поэтому шаблонная политика очень часто создает не ощущение порядка, а лишь красивую иллюзию.

Где владельцы сайтов чаще всего ошибаются

Ошибка №1. Смотрят только на страницу политики

Самый популярный сценарий: собственник просит “добавить политику конфиденциальности”, разработчик быстро публикует страницу, и все выдыхают. Но формы как были без нормального текста согласия, так и остались. Cookie не учтены. Квиз забыли. Попап никто не проверил. Виджет мессенджера живет отдельно. Итог - страница есть, системного решения нет.

Ошибка №2. Не учитывают реальные точки сбора данных

На сайте услуг часто есть форма на странице, кнопка обратного звонка, калькулятор, онлайн-запись, квиз и ещё виджет “Напишите нам в WhatsApp”. Для владельца это просто инструменты продаж. Для закона - несколько разных точек взаимодействия с данными пользователя.

Ошибка №3. Используют чужой текст без адаптации

Иногда даже смешно: на сайте стоматологии висит политика, в которой фигурирует интернет-магазин одежды. Или ИП внезапно называется ООО. Или документ рассказывает о несуществующих целях обработки, зато ничего не говорит о реально установленных сервисах. Яндекс и Google, может, это и переживут, а вот с доверием пользователя и юридической аккуратностью там всё грустно.

Ошибка №4. Ставят декоративный чекбокс

Это классика. Внешне всё красиво, а по сути чекбокс либо не связан с отправкой формы, либо текст рядом с ним написан так, будто его собирали по кускам из трёх форумов и одной древней темы на движке.

Что я делаю, когда привожу сайт к 152-ФЗ

Я подхожу к этому как практик по сайтам, а не как генератор “документов из воздуха”. То есть сначала разбираюсь, как у вас сайт реально работает, а потом уже внедряю решение.

1. Смотрю сайт и собираю карту точек сбора данных. Формы, квизы, корзина, запись, подписка, мессенджеры, аналитика, сторонние скрипты, внешние виджеты.
2. Понимаю схему передачи данных. Что остается на сайте, что уходит во внешние сервисы, где участвует CRM, где подключены пиксели и аналитика.
3. Готовлю структуру документов под конкретный проект. Не по шаблону, а по вашей реальной логике.
4. Внедряю страницу, ссылки, тексты согласий, чекбоксы, блоки около форм, cookie-уведомление.
5. Проверяю после внедрения. Чтобы не было классической истории “добавили документ, а форма отвалилась”.

Для каких сайтов эта услуга особенно актуальна

Если коротко - почти для любых коммерческих сайтов. Но чаще всего ко мне с этим приходят:

• сайты услуг с формами и обратными звонками;
• лендинги под рекламу;
• сайты специалистов и частных практик;
• интернет-магазины с корзиной и заказом;
• проекты с квизами, калькуляторами и автоворонками;
• сайты на WordPress, Tilda, Bitrix, OpenCart, Joomla и самописе.

Отдельно скажу про WordPress. Там обычно всё поправимо: документы, футер, формы, чекбоксы, блоки рядом с формами, cookie, всплывающие окна, квизы, SEO-страницы, интеграции. Но как и в любой взрослой системе, проблема почти никогда не бывает “только в одном месте”. Именно поэтому я и не люблю продавать эту работу как “добавлю одну страницу”. На деле это всегда шире.

Сколько обычно стоит приведение сайта к 152-ФЗ

Цена зависит не от красивого названия услуги, а от структуры сайта. Один лендинг с двумя формами - это одна история. Интернет-магазин с корзиной, регистрацией, аналитикой, CRM и внешними сервисами - совсем другая.

В базовом варианте обычно закрывается простой сайт. В расширенном - рабочий коммерческий проект с несколькими формами и интеграциями. Для магазинов и сложных сайтов логично делать полный вариант, потому что там точек сбора данных банально больше.

Какие результаты получает владелец сайта

Нормальный итог такой работы - это не “где-то в меню появилась новая страница”. Нормальный итог - это когда сайт выглядит собранно и понятно:

• документы есть и доступны;
• формы оформлены аккуратно;
• согласия не выглядят случайным довеском;
• точки сбора данных не забыты;
• реклама и лидогенерация не конфликтуют с базовой правовой гигиеной сайта.

И да, это ещё и про доверие. Когда пользователь видит аккуратно оформленные формы, внятные документы, понятные ссылки и корректную структуру, сайт воспринимается как взрослый, а не как собранный наспех из “лишь бы заявки падали”.

Что нужно от вас для старта

• ссылка на сайт;
• доступ в админку;
• желательно FTP/SFTP или панель хостинга;
• краткое описание, как вы собираете заявки и какие сервисы подключены.

Дальше я уже разбираю структуру, отмечаю, что нужно сделать, и внедряю решение без лишней суеты.

Если упростить до одной фразы: моя задача не напугать вас законом, а быстро закрыть на сайте то, из-за чего тема персональных данных обычно всплывает в самый неподходящий момент.