lenec ru

← все посты

Розалия Кулихина Подписаться

152-ФЗ: согласие на обработку персональных данных в 2026

18K

152-ФЗ «О персональных данных» — закон, который касается всех, кто собирает информацию о людях. Если у тебя есть сайт с формой обратной связи, интернет-магазин, онлайн-сервис, CRM с клиентами — этот закон распространяется на тебя.

В 2024–2025 закон серьёзно ужесточили: повысили штрафы, расширили требования. В 2026 ситуация продолжает развиваться. Я помогаю клиентам с compliance, и здесь — обзор без юридического жаргона.

Что такое персональные данные

По 152-ФЗ — любая информация, по которой можно идентифицировать человека:

  • ФИО.
  • Дата рождения.
  • Адрес.
  • Телефон.
  • Email.
  • Паспортные данные.
  • Cookies, IP-адрес (в сочетании с другими данными).
  • Биометрия.
  • Фото и видео с лицом.

Если ты собираешь любое из этого — ты «оператор персональных данных».

Главные обязанности оператора

1. Получить согласие

До начала обработки нужно явное согласие пользователя. Не «по умолчанию», а активное действие — галочка, кнопка.

2. Уведомить Роскомнадзор

До начала обработки данных нужно подать уведомление в Роскомнадзор. С 2022 — обязательно для всех (раньше были исключения).

Подача через Госуслуги или сайт rkn.gov.ru. Бесплатно.

3. Опубликовать политику обработки

На сайте должна быть «Политика обработки персональных данных» — публичный документ.

4. Обеспечить безопасность

Хранить данные защищённо. Шифровать в передаче, ограничивать доступ.

5. Локализация (для определённых данных)

С 2015 года: персональные данные граждан РФ должны храниться на серверах в РФ. Можно дублировать за рубежом, но первичная база — в РФ.

6. Удалять по требованию

Пользователь имеет право отозвать согласие и потребовать удалить данные. У тебя 30 дней.

Согласие на обработку — как должно выглядеть

Способ получения

  • Активная галочка перед формой (не по умолчанию).
  • Текст «Я согласен с обработкой моих персональных данных согласно [Политике]».
  • Ссылка на политику конфиденциальности.

Без галочки — формально согласия нет. Если форму отправили без её заполнения — нарушение.

Что должно быть в тексте согласия

  • Цель обработки (например, «для обратной связи»).
  • Перечень данных (ФИО, телефон, email).
  • Кто обрабатывает (твоё ИП/ООО с реквизитами).
  • Срок обработки.
  • Право отозвать согласие.
  • Способы связи для отзыва.

Можно либо встроить весь текст в галочку (длинно), либо короткий текст + ссылка на полное согласие.

Политика обработки персональных данных

Отдельный документ на твоём сайте. Доступен из подвала.

Что должно быть

  1. Кто оператор (твоё ИП/ООО, контакты).
  2. Для каких целей собираешь данные.
  3. Какие данные собираешь.
  4. На каких основаниях (согласие, договор, закон).
  5. Кому передаёшь данные (банк, курьер, маркетинговый сервис).
  6. Где храните и как защищаете.
  7. Как пользователь может отозвать согласие или попросить удалить данные.
  8. Срок хранения.
  9. Дата вступления в силу и порядок изменений.

Уведомление в Роскомнадзор

Как подать

  1. Зайти на pd.rkn.gov.ru или через Госуслуги.
  2. Заполнить форму уведомления.
  3. Указать категории данных, цели, способы обработки.
  4. Отправить.

Бесплатно. Срок рассмотрения — 30 дней. Подтверждение приходит на email.

Что указать

  • Категории субъектов (клиенты, сотрудники, посетители сайта).
  • Категории данных (ФИО, контакты, паспорт и т.д.).
  • Цели (исполнение договора, маркетинг).
  • Способы обработки (автоматизированная, неавтоматизированная).
  • Меры защиты.
  • Срок хранения.

Если не уведомить

Штраф для ИП — до 10 000 руб. Для ООО — до 75 000 руб. Повторное нарушение — выше.

Изменения 2024–2026

Повышение штрафов

В 2024 ужесточили. В 2026:

  • Обработка без согласия: до 700 000 руб для ООО.
  • Утечка данных малой группы (до 1000 человек): до 5 млн руб.
  • Утечка данных средней группы: до 10 млн.
  • Утечка данных более 100 000 человек: до 15 млн + повторно до 3% годовой выручки.

Обязательное уведомление об утечке

Если у тебя произошла утечка персональных данных (взлом, ошибка), обязан уведомить Роскомнадзор в течение 24 часов и пользователей в течение 72 часов.

Расширение определения биометрии

Теперь голос, отпечатки пальцев, фото лица — особо защищаемые. Для их обработки нужно отдельное письменное согласие.

Локализация — ужесточение

Контроль за тем, что данные хранятся в РФ. Использование зарубежных CRM (типа HubSpot, Salesforce) с серверами не в РФ — формально нарушение.

Что делать с зарубежными сервисами

Многие используют:

  • Google Analytics — серверы за рубежом.
  • Mailchimp — серверы в США.
  • Stripe — серверы в США.
  • Zoom — серверы в разных странах.

В 2026 это серая зона. Формально — нарушение. На практике — пока массовых проверок нет, но риск растёт.

Что делать:

  • Перейти на российские альтернативы (Яндекс Метрика, Sendsay, ЮКасса, VK Звонки).
  • Если оставляешь зарубежные — отдельное согласие пользователя на трансграничную передачу.
  • Получить разрешение Роскомнадзора на трансграничную передачу.

Cookies и сайты

В 2024 ввели требование явного согласия на cookies. На сайте должен быть баннер:

  • «Этот сайт использует cookies».
  • Возможность отказаться от не-обязательных (аналитика, маркетинг).
  • Возможность принять только нужные.

Без баннера — нарушение, потенциальные штрафы.

Защита данных в сервисах

Что нужно технически:

  • SSL-сертификат для сайта (HTTPS).
  • Шифрование данных в БД.
  • Ограничение доступа сотрудников по ролям.
  • Логирование доступа.
  • Регулярные бэкапы (на серверах в РФ).
  • Двухфакторная аутентификация для администраторов.

Подводные камни

  • Не уведомил РКН. Штраф автоматический при первой проверке.
  • Согласие «по умолчанию». Галочка предотмечена — формально согласия нет.
  • Старая политика. Не обновляешь по изменениям законов — рискуешь штрафом.
  • Хранение в зарубежных сервисах. CRM с серверами в США без отдельного согласия и разрешения РКН.
  • Не реагируешь на отзывы согласия. Пользователь попросил удалить — обязан в 30 дней. Не сделал — штраф.
  • Не уведомил об утечке. 24 часа на уведомление РКН после обнаружения.

Чек-лист соответствия 152-ФЗ

  1. Уведомление в Роскомнадзор подано.
  2. Политика обработки ПД на сайте.
  3. Галочка согласия на всех формах.
  4. Отдельное согласие на маркетинг (если делаешь рассылки).
  5. Cookies-баннер на сайте.
  6. HTTPS на всём сайте.
  7. Данные хранятся в РФ.
  8. Бэкапы регулярные.
  9. План реагирования на утечки.
  10. Контакт для запросов от пользователей (отзыв, удаление).

Что запомнить

152-ФЗ — обязательное требование для всех, кто собирает данные о людях. Игнорирование = штрафы до 15 млн рублей. В 2026 ужесточение продолжается.

Минимум: уведомить РКН, опубликовать политику, поставить галочки согласия, использовать HTTPS и хранить данные в РФ. Это покрывает 90% типичных требований.

Для крупных сервисов с большим объёмом данных стоит провести аудит compliance с юристом — стоимость 50–200 тыс рублей разово, но это меньше одного штрафа за нарушение.

Комментарии 0

  • Будьте первым, кто оставит комментарий.

Войдите, чтобы оставить комментарий.