Как подготовить сайт под требования обновленного закона 152-ФЗ: пошаговое руководство для бизнеса

Владельцам сайтов и онлайн-сервисов предстоит пересмотреть основы работы с клиентской информацией. Причиной являются изменения закона 152-ФЗ, а именно вступление в силу 30 мая 2025 года обновленной редакции Федерального закона 152-ФЗ «О персональных данных».

Поправки, являющиеся самыми серьезными за последние годы, вводят новый стандарт работы с клиентской информацией. Эти изменения ужесточают требования для всех, кто обрабатывает личную информацию пользователей в интернете.

Всё актуальное — в наших соцсетях. Подписывайтесь!

Телеграм ВКонтакте

Новые правила касаются любого бизнеса с онлайн-присутствием: от интернет-магазина до корпоративного сайта с формой обратной связи. Соблюдение закона перестало быть формальностью и стало необходимым условием для минимизации финансовых и репутационных рисков. Эта статья содержит пошаговый алгоритм для приведения сайта в соответствие с обновленными требованиями.

Что такое 152-ФЗ и зачем его соблюдать при работе с персональными данными на сайте

Федеральный закон 152-ФЗ — основной правовой акт, регулирующий все действия с личной информацией граждан: сбор, хранение, использование и уничтожение. По своей сути, закон 152-ФЗ задает юридические границы цифрового взаимодействия с клиентом.

Цель Федерального закона 152-ФЗ — защита прав граждан при обеспечении правомерного оборота данных для бизнеса и государства. Собирая такие данные, компания автоматически берет на себя роль оператора персональных данных. Это полноценная юридическая роль, влекущая за собой четкий набор обязанностей и ответственность перед законом и самим пользователем.

Соблюдение 152-ФЗ обязательно для владельцев сайтов по трем причинам:

1. Правовой статус оператора. Если сайт собирает информацию, позволяющую идентифицировать человека, вы становитесь оператором персональных данных. Это накладывает юридические обязательства, установленные законом.
2. Существенное усиление ответственности. Поправки 2025 года радикально ужесточают санкции. Например, штраф за обработку данных без согласия может достигать 700 000 рублей, а за нарушение требования о локализации — 6 000 000 рублей. Утечка данных приводит к дополнительным многомиллионным штрафам и репутационным потерям.
3. Риск ограничения деятельности. При выявлении грубых нарушений Роскомнадзор (РКН) вправе инициировать блокировку сайта, что равносильно остановке онлайн-бизнеса.

Соответствие 152-ФЗ стало ключевым элементом стратегического управления рисками и обязательным условием ведения легального онлайн-бизнеса.

Основные требования 152-ФЗ к обработке ПДн на веб-ресурсах

Работа с персональными данными на сайте должна строиться на фундаментальных принципах, установленных законом. Их соблюдение — обязательное условие для любого оператора. Требования к сайту 152-ФЗ включают:

• определение оснований и оценку процессов. Четко определите и задокументируйте правовые основания (согласие, договор, закон) и конкретные цели обработки ПДн. Проведите внутреннюю оценку бизнес-процессов, чтобы установить состав, объем данных и классифицировать вашу информационную систему по уровню защищенности;
• правомерное получение согласия. Если обработка основана на согласии, оно должно быть конкретным, информативным и выраженным отдельным действием, например, постановкой галочки в пустом поле. Оператор обязан хранить доказательства получения согласия и обеспечить пользователю возможность его отозвать.;
• прозрачность и информирование. Опубликуйте на сайте в открытом доступе полную и понятную Политику обработки персональных данных, содержащую все сведения, предусмотренные ст. 18.1 152-ФЗ. Разместите ссылку на нее на главной странице;
• исполнение уведомительного порядка. Если обработка не является исключительной, подайте уведомление об обработке ПДн в территориальный орган Роскомнадзора до начала их обработки;
• организационно-распорядительное обеспечение. Разработайте и утвердите необходимый пакет локальных нормативных актов (приказы, политики, инструкции) и назначьте ответственного за обработку ПДн;
• анализ рисков и моделирование угроз. Проведите оценку возможного ущерба субъектам ПДн и идентифицируйте актуальные угрозы их безопасности в соответствии с методиками ФСТЭК;
• реализацию технических мер защиты. Внедрите комплекс технических и программных мер, соответствующий уровню защищенности вашей ИСПДн, на основе требований приказа ФСТЭК №21;
• оценку эффективности и контроль. Организуйте регулярный контроль, аудит и тестирование принятых мер защиты для оценки их эффективности. Обеспечьте обучение персонала, процедуры реагирования на инциденты и уведомление о нарушении безопасности ПДн, если такое произошло.

Изменения в 152-ФЗ с 30 мая 2025 года

Поправки вносят конкретику и существенно расширяют зону ответственности операторов. Вот главные новшества, которые нужно учесть:

1. Полная локализация всех этапов обработки. Если ранее акцент делался на хранении баз, то теперь под запрет попадает использование любых зарубежных серверов и сервисов для сбора, записи, систематизации, накопления и уточнения ПДн. Весь путь данных пользователя — от клика в форме на сайте до записи в CRM и отправки уведомления — должен проходить через инфраструктуру, физически расположенную в России. Это требует замены таких сервисов, как Google Analytics и Meta Pixel, на российские аналоги.
2. Признание cookie и цифровых отпечатков персональными данными. Законодатель окончательно признал, что цифровой отпечаток (cookie, fingerprint) — это такая же идентифицирующая информация, как телефон или email. Для их применения необходимо получать отдельное информированное согласие через cookie-баннер. Простое уведомление больше не соответствует закону.
3. Дифференцированная система штрафов. Размер штрафа теперь напрямую зависит от категории данных, затронутых нарушением:
   • утечка обычных данных: 3–5 млн рублей;
   • утечка специальных категорий данных: 10–15 млн рублей;
   • утечка биометрических данных: до 20 млн рублей.

Это делает инвестиции в защиту информации экономически оправданными с точки зрения риск-менеджмента.

Подготовительный этап: аудит текущего состояния сайта

Перед внесением изменений необходимо проверить сайт на соответствие Федеральному закону 152-ФЗ. Для этого проведите аудит сайта 152-ФЗ по чек-листу, который включает проверку по следующим направлениям:

• инвентаризация сайта. Выявите все формы: заявка, подписка, регистрация, корзина, а также чат-боты и виджеты обратного звонка. Особое внимание уделите отслеживанию всех шагов, куда введенные пользователем данные передаются далее;
• анализ сторонних сервисов: составьте список всех подключенных инструментов: систем аналитики, рекламных пикселей, CRM. Определите физическое местонахождение их серверов. Сервисы с серверами за рубежом требуют замены на российские аналоги (например, Яндекс.Метрика вместо Google Analytics) или документального подтверждения локализации хранения и обработки данных на территории РФ и стран ЕАЭС;
• организационно-правовая подготовка: проведите картографию данных (какие данные, откуда, куда и зачем передаются), проанализируйте ИТ-инфраструктуру сайта (хостинг, CMS, базы данных). Определите и зафиксируйте правовые основания для каждой цели обработки. Оцените риски и смоделируйте угрозы безопасности ПДн в соответствии с методиками ФСТЭК;
• проверка документов и интерфейсов: убедитесь в наличии обновленной Политики конфиденциальности. Проверьте корректность получения согласия: чекбокс не должен быть предзаполнен, а текст ссылки на Политику должен быть понятным («ознакомлен и согласен»). Проверьте работу cookie-баннера по новым стандартам — он должен блокировать аналитические и рекламные скрипты до получения явного согласия пользователя;
• оценка технической безопасности: проверьте использование на сайте HTTPS с актуальным SSL-сертификатом, обновленные версий CMS и их плагины. Дополнительно оцените, применяются ли сертифицированные средства защиты (межсетевой экран, СЗИ НСД), а также настроены ли резервное копирование и журналирование событий для отслеживания инцидентов.

Результатом аудита станет подробный отчет с перечнем несоответствий, который послужит планом ваших дальнейших действий.

Шаги по подготовке сайта под требования закона 152-ФЗ

Шаг 1: организационные меры и документация

Этот этап создаст юридическую основу для всей дальнейшей работы. Правильно оформленные документы на сайт по ФЗ-152 устанавливают законные основания для обработки данных и являются обязательным требованием, без которого любые технические меры не обеспечат полного соответствия.

• актуализация Политики конфиденциальности. Документ должен подробно описывать: какие данные и для каких целей собираются, условия и место их хранения, сроки хранения, порядок реализации прав пользователя. Ссылка на политику должна быть размещена в футере сайта;
• настройка легальных механизмов получения согласия.
  • чек-бокс для согласия должен быть неактивен по умолчанию. Отправка формы без его простановки должна быть заблокирована;
  • для разных целей необходимо использовать отдельные чек-боксы;
  • рядом с чекбоксом размещается текст согласия и ссылка на Политику конфиденциальности;
• внутренний документооборот: издайте приказ о назначении ответственного за обработку данных и разработайте внутреннее положение для сотрудников.

Шаг 2: выбор защищенной инфраструктуры / хостинга / облачного хранилища

Это критичный этап для выполнения требования локализации.

• Миграция на российский хостинг. Убедитесь, что провайдер хостинга гарантирует физическое размещение серверов в дата-центрах на территории России. Запросите соответствующее юридическое подтверждение этого факта;
• отказ от нелокализованных сервисов. Замените зарубежные сервисы аналитики и рекламы на российские аналоги, соответствующие требованию локализации;
• использование готовых аттестованных решений. Для бизнеса оптимальным решением может стать миграция на предварительно аттестованные облачные платформы. Такие решения уже имеют встроенный аттестат соответствия 152-ФЗ, гарантируют локализацию данных и включают комплекс средств защиты, что экономит время и ресурсы. Например, Облако ФЗ-152 в Рег.облаке — это готовый инфраструктурный продукт с действующим аттестатом соответствия требованиям 152-ФЗ и приказу ФСТЭК №21.

Шаг 3: технические меры защиты данных

Практическая реализация принципа безопасности включает:

• внедрение организационно-технических мер. Реализуйте комплекс мер по защите персональных данных согласно приказу ФСТЭК России № 21 и техническим требованиям, включающим контроль доступа, шифрование, антивирусную защиту, мониторинг инцидентов и защиту каналов передачи данных;
• оценку эффективности мер защиты. Проведите оценку эффективности принимаемых мер по обеспечению безопасности (в формате аттестационных мероприятий или оценки соответствия), аудит и тестирование системы защиты персональных данных с фиксацией результатов и корректировкой мероприятий в соответствии со статьей 19 ФЗ-152 и приказом ФСТЭК № 21;
• контроль исполнения и мониторинг. Обеспечьте систематический контроль за соблюдением мер защиты, своевременное обновление систем безопасности, обучение персонала вопросам информационной безопасности, а также реагирование на инциденты и уведомление об утечках в соответствии с требованиями законодательства.

Шаг 4: Проверка и документирование

После внедрения всех мер наступает этап формальной верификации. Цель — не только найти и исправить ошибки, но и получить документы, которые станут юридическим доказательством вашего соответствия требованиям 152-ФЗ. Это критически важно при любой проверке Роскомнадзора.

Выполните следующие действия:

1. Проведите функциональную проверку:
   • проверьте формы: убедитесь, что каждая форма отправляется только после того, как пользователь самостоятельно поставил галочку согласия. Галочка по умолчанию должна быть снята;
   • протестируйте cookie-баннер: проверьте, что баннер предоставляет четкий выбор (принять/отклонить/настроить) и не блокирует доступ к контенту сайта при отказе;
   • удостоверьтесь в доступности документов: проверьте, что все ссылки на Политику конфиденциальности ведут на актуальную версию документа, доступного в один клик.
2. Проведите оценку соответствия мер защиты (самообследование или аттестация). Это ключевой юридический шаг. Вам необходимо официально подтвердить, что принятые меры безопасности соответствуют требованиям закона.
   • Проведите самообследование: самостоятельно оцените свои меры защиты и составьте официальный акт самообследования;
   • или закажите аттестацию: для сложных систем или при работе со специальными категориями данных обратитесь в аккредитованную организацию для проведения аттестации и получения аттестата соответствия.
3. Выполните проверку безопасности. Для выявления технических уязвимостей:
   • закажите сканирование на уязвимости у компании, использующей сертифицированные ФСТЭК средства;
   • для важных проектов обязательно закажите тестирование на проникновение (пентест). Убедитесь, что подрядчик имеет действующую лицензию ФСТЭК на данный вид деятельности.
4. Проведите юридическую экспертизу. Передайте на проверку IT-юристу итоговые версии всех документов: Политику конфиденциальности, тексты согласий и договоры с хостингом, CRM и другими обработчиками данных.

Рекомендации по поддержанию соответствия

Работа с ПДн — не разовое мероприятие, а непрерывный процесс, требующий постоянного контроля.

• Внедрите регулярный аудит процессов и сайта на предмет соответствия;
• проводите обучение для сотрудников, которые работают с персональными данными (менеджеры, маркетологи, администраторы сайта). Они должны понимать базовые принципы 152-ФЗ;
• ведите журнал обработки обращений субъектов ПДн. Если пользователь запросит удаление своих данных или отзыв согласия, вы должны быть готовы оперативно и документально подтвердить выполнение его требования;
• следите за новостями от Роскомнадзора (РКН). Регулярно проверяйте разъяснения и методические рекомендации на официальном сайте регулятора.

Приведение сайта в соответствие с обновленным 152-ФЗ — комплексная задача. Ключевым элементом является полная локализация инфраструктуры обработки данных в России.

Наиболее эффективной стратегией для бизнеса является использование готовых аттестованных облачных решений, которые гарантированно закрывают технические и юридические требования закона, например, облако ФЗ-152 в Рег.облаке. Это не только минимизирует риски штрафов, но и создает надежный технологический фундамент для развития онлайн-бизнеса в новых правовых условиях. Начинать работу по приведению сайта в соответствие следует уже сейчас.