152-ФЗ для веб-форм в 2026: чек-лист для коммерческого сайта

С июля 2025 года любая форма обратной связи на коммерческом сайте обрабатывает персональные данные граждан РФ — а значит, попадает под 152-ФЗ. После поправок 30 мая и 1 июля 2025 штрафы за нарушения вышли в диапазон 300 000 ₽ — 18 млн ₽ в зависимости от типа и масштаба. Простой чек-лист «убрать reCAPTCHA, заменить на SmartCaptcha» это не решает. Ниже — полный набор проверок, который мы прогоняем на любом клиентском сайте перед тем, как сказать «соответствует».

Контекст

Чтобы не путаться: «персональные данные» по 152-ФЗ — это любая информация, прямо или косвенно идентифицирующая физическое лицо. Имя в форме обратной связи — ПДн. Email — ПДн. IP-адрес посетителя сайта — ПДн (в комбинации с другими данными). Cookies — могут быть.

Что меняли поправки 2025 года:

• 30 мая 2025 — введён штраф до 300 000 ₽ за отсутствие регистрации оператором ПД в Роскомнадзоре. Регистрация бесплатная, но обязательная.
• 1 июля 2025 — закреплено: трансграничная передача ПД граждан РФ запрещена в страны без «адекватной защиты». США, в частности, в этот список не входят.
• Текущая шкала штрафов — от 1-6 млн ₽ за типовые нарушения до 15-18 млн ₽ за повторные и массовые.

Источники: vc.ru, klerk.ru, altcor.ru.

Чек-лист: 8 проверок коммерческого сайта

1. Сайт зарегистрирован оператором ПД в Роскомнадзоре

Без этого — 300 000 ₽ за один факт. Подача заявления — бесплатно через pd.rkn.gov.ru, типичный срок рассмотрения 30 дней.

В заявлении указывают: цели обработки, категории ПДн, способы обработки, срок хранения, лиц, имеющих доступ.

2. Политика обработки ПДн опубликована и ссылка на неё видна

Минимальный объём — 1500-2500 слов, 8 секций (общие положения, цели, перечень собираемых ПД, порядок и сроки, передача третьим лицам, меры защиты, права субъектов, контакты).

Ссылка на политику должна быть в подвале каждой страницы и на странице с формой.

3. На каждой форме — явное согласие на обработку

Формулировка: «Отправляя форму, я подтверждаю согласие на обработку персональных данных в соответствии с Политикой обработки ПДн».

Должно быть «active consent» — отдельный чекбокс или кнопка отправки с текстом, прямо связанным с согласием. Pre-checked не допускается.

4. Ни одна капча/аналитика не передаёт ПДн в страны без адекватной защиты

В чёрном списке де-факто:

• Google reCAPTCHA — IP, поведение, устройство уходят в Google US
• Google Analytics / GTM — то же самое
• Cloudflare Turnstile — данные через Cloudflare US
• Facebook Pixel — Meta US
• WhatsApp-виджеты — Meta US
• Hotjar / FullStory — US

Российские альтернативы:

• Капча — Yandex SmartCaptcha (хранение в РФ, ФСТЭК)
• Аналитика — Я.Метрика (хранение в РФ)
• Тепловые карты / сессии — Webvisor 2 в Я.Метрике
• Чат-виджет — MAX-канал (вместо WhatsApp/Telegram)

Замена не косметика, а юридический gate.

5. Хостинг — в РФ или у оператора с адекватной защитой данных

Серверы AWS, Google Cloud, DigitalOcean без российского региона — нарушение. Используем self-hosted на 185.179.188.145 (РФ дата-центр) для всех клиентских проектов с формами.

6. На сервере есть аудит-лог обращений к ПДн

Кто, когда, с какого IP читал/писал ПДн — должно сохраняться. На Postgres это row-level audit triggers + auth.users.last_sign_in_at. Срок хранения логов — не менее года.

7. Срок хранения ПДн фиксирован и автоматически удаляется

Заявка обработана? Обычно 1-3 года хранения, потом автоматический truncate. Если у вас «храним всё навсегда» — это нарушение принципа минимизации.

-- Пример автоматического truncate через cron + pg_partman
SELECT cron.schedule(
  'truncate_old_form_submissions',
  '0 3 1 * *',  -- 1-го числа каждого месяца в 3:00
  $$ DELETE FROM form_submissions WHERE created_at < now() - interval '3 years' $$
);

8. Заявления на удаление ПДн обрабатываются за ≤30 дней

По 152-ФЗ субъект ПДн имеет право потребовать удаления. У вас должен быть процесс: контактный email, форма запроса, SLA не более 30 дней. На политике нужно явно указать как обратиться.

Практическая реализация для типового сайта

Ставим на новые проекты сразу, на старые — по запросу:

• SmartCaptcha lazy-load через паттерн B13 (см. блог-пост по этой теме) — один день работы.
• Honeypot + time-trap на сервере — 30 минут.
• Политика 152-ФЗ — ~3-4 часа адаптации стандартного шаблона под конкретный бизнес.
• Регистрация оператором — 30 дней ожидания (можно делать параллельно с разработкой).
• Хостинг 185.179.188.145 через Caddy + Let’s Encrypt — наша стандартная инфраструктура.
• Я.Метрика slim init (без webvisor/clickmap) — заменяет Google Analytics за день.

Где конкретные формулировки

В нашем legal-pack под 152-ФЗ есть готовые шаблоны:

• NDA (соглашение о неразглашении)
• Положение об обработке ПД
• Положение о коммерческой тайне
• Перечень сведений, составляющих коммерческую тайну
• Инструкция о порядке доступа
• Шаблон уведомления Роскомнадзора

Используем при подготовке клиентов к аттестации или ГИС ЭП интеграциям.

Что мы из этого вынесли

1. 152-ФЗ — это про инфраструктуру, не про форму. Замена капчи без замены аналитики — половина решения.
2. Штраф 18 млн ₽ всё ещё дешевле репутации. Главный ущерб — публикация в реестре нарушителей и потеря доверия гос-клиентов.
3. Делать сразу при запуске нового продукта проще, чем переделывать. Cost-of-fix растёт нелинейно — на работающем сайте с трафиком замена капчи требует уведомления пользователей.

Ссылки

• vc.ru — Персональные данные 2025: изменения и штрафы — текущие штрафы
• klerk.ru — С 1 июля 2025 Google под запретом — официальные комментарии
• altcor.ru — reCAPTCHA нарушение 2025 — что именно нарушает reCAPTCHA
• pd.rkn.gov.ru — портал регистрации оператором ПД
• Yandex SmartCaptcha docs — официальная документация
• Минтранс ГИС ЭПД (с 1 сентября 2026) — для перевозчиков отдельно