152-ФЗ для веб-форм в 2026: чек-лист для коммерческого сайта

Веб Штурм
  • 152-ФЗ
  • compliance
  • юриспруденция
  • веб-формы
  • ПДн

С июля 2025 года любая форма обратной связи на коммерческом сайте обрабатывает персональные данные граждан РФ — а значит, попадает под 152-ФЗ. После поправок 30 мая и 1 июля 2025 штрафы за нарушения вышли в диапазон 300 000 ₽ — 18 млн ₽ в зависимости от типа и масштаба. Простой чек-лист «убрать reCAPTCHA, заменить на SmartCaptcha» это не решает. Ниже — полный набор проверок, который мы прогоняем на любом клиентском сайте перед тем, как сказать «соответствует».

Контекст

Чтобы не путаться: «персональные данные» по 152-ФЗ — это любая информация, прямо или косвенно идентифицирующая физическое лицо. Имя в форме обратной связи — ПДн. Email — ПДн. IP-адрес посетителя сайта — ПДн (в комбинации с другими данными). Cookies — могут быть.

Что меняли поправки 2025 года:

  • 30 мая 2025 — введён штраф до 300 000 ₽ за отсутствие регистрации оператором ПД в Роскомнадзоре. Регистрация бесплатная, но обязательная.
  • 1 июля 2025 — закреплено: трансграничная передача ПД граждан РФ запрещена в страны без «адекватной защиты». США, в частности, в этот список не входят.
  • Текущая шкала штрафов — от 1-6 млн ₽ за типовые нарушения до 15-18 млн ₽ за повторные и массовые.

Источники: vc.ru, klerk.ru, altcor.ru.

Чек-лист: 8 проверок коммерческого сайта

1. Сайт зарегистрирован оператором ПД в Роскомнадзоре

Без этого — 300 000 ₽ за один факт. Подача заявления — бесплатно через pd.rkn.gov.ru, типичный срок рассмотрения 30 дней.

В заявлении указывают: цели обработки, категории ПДн, способы обработки, срок хранения, лиц, имеющих доступ.

2. Политика обработки ПДн опубликована и ссылка на неё видна

Минимальный объём — 1500-2500 слов, 8 секций (общие положения, цели, перечень собираемых ПД, порядок и сроки, передача третьим лицам, меры защиты, права субъектов, контакты).

Ссылка на политику должна быть в подвале каждой страницы и на странице с формой.

3. На каждой форме — явное согласие на обработку

Формулировка: «Отправляя форму, я подтверждаю согласие на обработку персональных данных в соответствии с Политикой обработки ПДн».

Должно быть «active consent» — отдельный чекбокс или кнопка отправки с текстом, прямо связанным с согласием. Pre-checked не допускается.

4. Ни одна капча/аналитика не передаёт ПДн в страны без адекватной защиты

В чёрном списке де-факто:

  • Google reCAPTCHAIP, поведение, устройство уходят в Google US
  • Google Analytics / GTM — то же самое
  • Cloudflare Turnstile — данные через Cloudflare US
  • Facebook Pixel — Meta US
  • WhatsApp-виджеты — Meta US
  • Hotjar / FullStory — US

Российские альтернативы:

  • Капча — Yandex SmartCaptcha (хранение в РФ, ФСТЭК)
  • Аналитика — Я.Метрика (хранение в РФ)
  • Тепловые карты / сессии — Webvisor 2 в Я.Метрике
  • Чат-виджет — MAX-канал (вместо WhatsApp/Telegram)

Замена не косметика, а юридический gate.

5. Хостинг — в РФ или у оператора с адекватной защитой данных

Серверы AWS, Google Cloud, DigitalOcean без российского региона — нарушение. Используем self-hosted на 185.179.188.145 (РФ дата-центр) для всех клиентских проектов с формами.

6. На сервере есть аудит-лог обращений к ПДн

Кто, когда, с какого IP читал/писал ПДн — должно сохраняться. На Postgres это row-level audit triggers + auth.users.last_sign_in_at. Срок хранения логов — не менее года.

7. Срок хранения ПДн фиксирован и автоматически удаляется

Заявка обработана? Обычно 1-3 года хранения, потом автоматический truncate. Если у вас «храним всё навсегда» — это нарушение принципа минимизации.

-- Пример автоматического truncate через cron + pg_partman
SELECT cron.schedule(
  'truncate_old_form_submissions',
  '0 3 1 * *',  -- 1-го числа каждого месяца в 3:00
  $$ DELETE FROM form_submissions WHERE created_at < now() - interval '3 years' $$
);

8. Заявления на удаление ПДн обрабатываются за ≤30 дней

По 152-ФЗ субъект ПДн имеет право потребовать удаления. У вас должен быть процесс: контактный email, форма запроса, SLA не более 30 дней. На политике нужно явно указать как обратиться.

Практическая реализация для типового сайта

Ставим на новые проекты сразу, на старые — по запросу:

  • SmartCaptcha lazy-load через паттерн B13 (см. блог-пост по этой теме) — один день работы.
  • Honeypot + time-trap на сервере — 30 минут.
  • Политика 152-ФЗ — ~3-4 часа адаптации стандартного шаблона под конкретный бизнес.
  • Регистрация оператором — 30 дней ожидания (можно делать параллельно с разработкой).
  • Хостинг 185.179.188.145 через Caddy + Let’s Encrypt — наша стандартная инфраструктура.
  • Я.Метрика slim init (без webvisor/clickmap) — заменяет Google Analytics за день.

Где конкретные формулировки

В нашем legal-pack под 152-ФЗ есть готовые шаблоны:

  • NDA (соглашение о неразглашении)
  • Положение об обработке ПД
  • Положение о коммерческой тайне
  • Перечень сведений, составляющих коммерческую тайну
  • Инструкция о порядке доступа
  • Шаблон уведомления Роскомнадзора

Используем при подготовке клиентов к аттестации или ГИС ЭП интеграциям.

Что мы из этого вынесли

  1. 152-ФЗ — это про инфраструктуру, не про форму. Замена капчи без замены аналитики — половина решения.
  2. Штраф 18 млн ₽ всё ещё дешевле репутации. Главный ущерб — публикация в реестре нарушителей и потеря доверия гос-клиентов.
  3. Делать сразу при запуске нового продукта проще, чем переделывать. Cost-of-fix растёт нелинейно — на работающем сайте с трафиком замена капчи требует уведомления пользователей.

Ссылки

Часто задаваемые вопросы

Что такое ПДн по 152-ФЗ и попадает ли под закон email в форме обратной связи?
ПДн — любая информация, прямо или косвенно идентифицирующая физлицо. Email, имя, телефон, IP-адрес посетителя — всё ПДн. Любая форма обратной связи на коммерческом сайте автоматически подпадает под 152-ФЗ и требует регистрации оператора в Роскомнадзоре.
Какие штрафы за нарушение 152-ФЗ после поправок 2025 года?
300 000 ₽ за отсутствие регистрации оператора ПД. 1-6 млн ₽ за типовые нарушения (нет согласия, нет политики). 15-18 млн ₽ за повторные и массовые. Трансграничная передача ПД в страны без «адекватной защиты» (включая США) — отдельный риск.
Можно ли оставить Google reCAPTCHA на сайте РФ?
Нет. reCAPTCHA передаёт IP и поведенческие данные на серверы Google в США — трансграничная передача в страну без адекватной защиты. С 1 июля 2025 — прямое нарушение 152-ФЗ. Замена: Yandex SmartCaptcha (ФСБ-аттестация) или связка honeypot + time-trap.
Когда чек-листа из 8 пунктов недостаточно?
Если обрабатываете специальные категории ПДн (медицина, биометрия, политические взгляды) — нужна отдельная защита класса УЗ-1 и аттестация ФСТЭК. Чек-лист закрывает базовый сценарий «лиды на коммерческом сайте», но не заменяет юриста для специальных случаев.