Проверка сайта по 152-ФЗ: 10 пунктов за 15 минут
Практические вопросы соблюдения 152-ФЗ, требований Роскомнадзора и GDPR · · 13 мин чтения

Проверка сайта по 152-ФЗ: 10 пунктов за 15 минут

Проверка сайта 152-ФЗ занимает 15 минут, если смотреть в правильной последовательности: формы, согласия, политика, cookies, хранение и передача данных. Сайт собирает заявки, значит обрабатывает персональные данные, а базовые ошибки Роскомнадзор видит уже при быстрой проверке.

Проверка сайта 152-ФЗ начинается с 10 точек контроля. За 15 минут можно увидеть 70-80% типовых нарушений: формы без согласия, слабую политику, некорректный cookies-баннер и непрозрачную передачу данных третьим лицам.

Все учат сначала писать документы. Я советую начать с экрана сайта и маршрута данных. Если форма обратной связи, онлайн-запись или подписка уже собирают имя, телефон, e-mail, сайт уже вошёл в зону 152-ФЗ. Дальше вопрос не в бумагах ради галочки, а в том, где процесс сломается при жалобе пользователя или проверке. Я 16+ лет работала в аудите и ИТ-рисках, включая проекты уровня Большой четвёрки, ЦБ и крупных корпоративных контуров, поэтому смотрю на сайт от бизнес-цели: зачем вы собираете данные, куда они уходят и где именно виден риск.

Черно-белая карикатура про хаос на сайте перед проверкой РКН по 152-ФЗ | Марина Погодина, PROMAREN
Карикатура: как выглядит проверка сайта 152-ФЗ без подготовки | Марина Погодина, PROMAREN

Как проверить сайт на соответствие 152-ФЗ

Проверка сайта 152-ФЗ — это быстрый аудит того, какие персональные данные собирает сайт, на каком основании, где они хранятся и кому передаются.

Для самопроверки не нужен юротдел на 3 человека. Откройте сайт как обычный пользователь и пройдите путь: главная страница, все формы, попапы, подписка, корзина, чат, баннер cookies, страницы с документами. В 2025-2026 именно такой внешний контур РКН и жалобщики видят первым. Если критичные элементы отсутствуют на уровне интерфейса, внутренняя папка с документами ситуацию не спасает.

Как проверить сайт на 152-ФЗ самому? Идите по цепочке из 3 блоков: что собираете, на каком основании, куда передаёте. Сначала зафиксируйте все точки ввода данных. Затем проверьте, есть ли рядом с каждой формой согласие на обработку персональных данных и ссылка на политику обработки персональных данных. После этого посмотрите технический след: какие скрипты загружаются, ставятся ли cookies до согласия, есть ли внешние сервисы аналитики, чатов, CRM и коллтрекинга.

Проверяйте сайт в последовательности «форма — согласие — документ — передача — хранение». Такой порядок экономит 15 минут на первичный контроль и часто показывает 2-3 критичных пробела уже на первом проходе.

В апреле 2026 я снова видела типовую картину: политика на сайте есть, а чекбоксы под формами стоят только в одной из пяти форм. Для бизнеса это выглядит как мелочь, для проверки — как серия отдельных нарушений. Поэтому мой подход всегда от бизнес-цели, а не от ТЗ: если сайт приводит лиды, значит процесс обработки ПДн должен быть виден и пользователю, и проверяющему.

Дальше имеет смысл разложить самопроверку на конкретные 10 пунктов. Именно на них чаще всего ломаются сайты, даже если дизайн, SEO и реклама в полном порядке.

Проверка сайта на соответствие 152-ФЗ — это контроль сайта как точки сбора персональных данных: какие данные получает оператор персональных данных, на каком основании и в какие системы они попадают. Если сайт принимает заявки, подписки или обращения, требования 152-ФЗ уже применяются.

Инфографика с 10 пунктами проверки сайта на соответствие 152-ФЗ | Марина Погодина, PROMAREN
Проверка сайта 152-ФЗ: 10 пунктов, которые РКН смотрит первыми | Марина Погодина, PROMAREN

Что именно проверить на сайте по 152-ФЗ перед проверкой

Первый экран редко ломает соответствие. Обычно проблема в скрытых местах: второй форме, старом попапе, виджете чата или аналитическом скрипте.

Если вы хотите понять, что должно быть на сайте по 152-ФЗ, проверьте 10 пунктов в одном проходе:

  1. Все формы сбора данных: обратный звонок, заявка, подписка, регистрация, корзина, квиз, чат.
  2. Чекбоксы и текст согласия у каждой формы, где собираются ПДн.
  3. Ссылку на политику обработки персональных данных рядом с формой и в футере.
  4. Наличие отдельного текста про cookies и фактический механизм согласия.
  5. Какие cookies ставятся до нажатия кнопки согласия.
  6. Какие сторонние сервисы подключены: аналитика, карты, CRM, коллтрекинг, виджеты.
  7. Где физически хранятся данные и соблюдается ли локализация персональных данных.
  8. Соответствует ли фактический сбор тому, что написано в документах.
  9. Есть ли на стороне компании статус и обязанности оператора персональных данных.
  10. Нужно ли уже подавать уведомление в Роскомнадзор или оно давно просрочено.

Здесь есть важная деталь. Политика обработки персональных данных — это открытый документ, где вы описываете цели, состав данных, основания обработки, сроки и права субъекта. Он должен соответствовать реальному процессу. Если на сайте указана только форма обратной связи, а фактически ещё подключены рассылка, ретаргетинг и сквозная аналитика, документ уже устарел.

Отдельно проверьте согласие. Согласие на обработку персональных данных должно быть конкретным и привязанным к действию пользователя. Если форма отправляется по кнопке без чекбокса, а текст согласия спрятан в общем футере, это слабая позиция. Для интернет-магазинов, сервисов записи, клиник, образовательных проектов и B2B-лендингов я чаще всего нахожу именно этот разрыв между формой и юридическим основанием.

Полезно свериться и с первоисточниками: текст закона есть на официальной публикации 152-ФЗ, а требования и разъяснения проверяющего органа — на сайте Роскомнадзора. Если после такого прохода уже видны 2-3 пробела, следующая задача — понять, почему сайт вообще оказался в этом состоянии.

Почему сайт может не соответствовать 152-ФЗ

В марте 2026 я разбирала сайт, где команда была уверена: документ есть, значит всё закрыто. На деле форма в квизе отправляла телефон в CRM, чат передавал данные подрядчику, а cookies аналитики ставились до согласия. Формально сайт «про закон слышал», фактически процесс был дырявый.

Причина почти всегда одна и та же: сайт собирали частями. Дизайнер отвечает за интерфейс, маркетолог за конверсию, подрядчик за интеграции, юрист за шаблон политики. Никто не смотрит на весь маршрут данных целиком. В результате сайт может не соответствовать 152-ФЗ даже без злого умысла. Бизнес запускает рекламу, получает заявки и уверен, что всё в порядке, пока не приходит жалоба или запрос.

Есть ещё 4 типовых источника проблем:

  • Документы взяли из шаблона и не обновляли после доработок сайта.
  • Формы создавались в разные годы разными подрядчиками и оформлены по-разному.
  • Маркетинговые сервисы подключали быстро, не проверяя передачу данных третьим лицам.
  • Сервер, CRM или облачное хранилище выбрали по удобству, не проверив вопрос локализации.

Cookies тоже часто понимают слишком узко. Если баннер просто информирует, но аналитические файлы уже записываются в браузер до выбора пользователя, это слабое место. То же самое с виджетами мессенджеров, картами, внешними видео и пикселями рекламы. Для пользователя это «сайт с удобствами», для проверки сайта Роскомнадзор это дополнительные каналы обработки данных.

По данным help152.ru, в массиве из 75 550 сайтов нарушения нашли у 87%. Цифра спорная как рыночная оценка, но по практике она похожа на реальность: на малом и среднем бизнесе проблемы повторяются серийно. Я видела ту же закономерность ещё на проектах с высоким уровнем контроля в Аэрофлоте, МТС и X5: процесс ломается там, где зоны ответственности разделены, а владелец процесса не назначен. Поэтому следующий шаг — научиться быстро отличать техническую мелочь от реального нарушения.

Как понять, что на сайте есть нарушения 152-ФЗ

Самый быстрый индикатор нарушения — пользователь может отправить свои данные, не понимая, кто их получает, зачем и на каком основании.

Как понять, что сайт нарушает 152-ФЗ? Откройте сайт в режиме инкогнито и задайте себе 5 вопросов. Какие данные я сейчас оставляю? Вижу ли текст согласия? Есть ли ссылка на понятный документ? Ставятся ли cookies до моего выбора? Понятно ли, куда уйдут данные после отправки формы? Если хотя бы на 2 вопроса нет ясного ответа, сайт уже требует доработки.

Есть и технический способ самоконтроля. Откройте инструменты разработчика в браузере и посмотрите, какие запросы уходят после загрузки страницы. Если до нажатия на кнопку согласия уже улетают данные в аналитику, ретаргетинг или сторонний чат, значит фактическая модель обработки шире, чем пользователь мог ожидать. Это частый сценарий для сайтов на Tilda, Bitrix, WordPress и самописных лендингов после серии маркетинговых доработок.

Перед запуском рекламы проведите 15-минутный контроль сайта по 10 точкам: формы, согласия, политика, cookies, внешние сервисы и хранение данных. Такой экспресс-аудит часто экономит недели переделок и снижает риск серии штрафов по каждой форме.

Ещё один признак — документы есть, а фактические поля формы избыточны. Если для обратного звонка вы просите имя, телефон, e-mail, город, компанию и должность, возникает вопрос о минимизации данных. Проверка сайта на соответствие 152-ФЗ смотрит и на это: зачем бизнесу именно такой объём сведений на данном этапе воронки.

Если нужна внешняя проверка без паники, я обычно рекомендую сначала сделать короткий аудит сайта и процессов, а потом уже править тексты и интерфейс. Для этого у PROMAREN есть формат разобрать вашу ситуацию, когда мы смотрим сайт, путь данных и узкие места в связке с бизнес-задачей. После этого остаётся перейти от признаков нарушений к оценке последствий.

Какие риски, если сайт не соответствует 152-ФЗ

300 000 рублей потерь бывают быстрее, чем кажется: одна претензия, срочная переделка сайта, остановка рекламы, доработка CRM и работа юриста в пожарном режиме.

Риск состоит не только из штрафа. Для бизнеса обычно больнее цепочка последствий. Маркетинг останавливает лидогенерацию, подрядчики срочно переделывают формы, отдел продаж временно теряет заявки, а руководитель тратит время на разбор того, что можно было увидеть заранее. По данным из рыночных обзоров 2025 года, количество автоматизированных проверок и мониторинга выросло, а время обнаружения типовых нарушений у некоторых сервисов оценивается в 48 часов. Это логично: формы, баннеры и документы хорошо видны машинной проверке.

Когда меня спрашивают, какие документы по 152-ФЗ нужны для сайта, я отвечаю практично: нужен комплект, который подтверждает реальный процесс обработки, а не просто лежит в папке. На сайте обычно видны политика, согласия и логика работы cookies. Внутри компании должны быть роли, основания, маршрут передачи данных, договорная обвязка со сторонними сервисами и решение по локализации. Если этого нет, сайт соответствует 152-ФЗ только на словах.

Большинство проблем начинается не со штрафа, а с расхождения между интерфейсом сайта и реальным процессом обработки данных. Уберите этот разрыв до проверки: синхронизируйте формы, документы, интеграции и место хранения данных.

В 2025-2026 рынок стал жёстче ещё и потому, что выросла цена ошибки. В поисковых отчётах и сервисных обзорах фигурируют оценки штрафов до 18 000 000 ₽ по тяжёлым составам. Проверять такие цифры нужно по актуальной редакции норм и составу нарушения, но вывод для бизнеса простой: дешевле провести точечный аудит, чем потом разбирать накопленные несоответствия. Если после самопроверки нашли 2-3 пробела, нужна не паника, а прицельная коррекция сайта, интеграций и документов.

  1. Откройте сайт в режиме инкогнито и выпишите все формы, попапы и виджеты, где пользователь оставляет данные.
  2. Проверьте, есть ли у каждой формы отдельное согласие и ссылка на политику обработки персональных данных.
  3. Сверьте текст политики с фактическими целями сбора, составом данных и подключёнными сервисами.
  4. Проверьте cookies: ставятся ли аналитические и рекламные файлы до согласия пользователя.
  5. Посмотрите, какие внешние сервисы получают данные: CRM, чат, формы, аналитика, коллтрекинг, рассылки.
  6. Уточните, где хранятся данные и как закрыт вопрос локализации персональных данных.
  7. Проверьте, не собираете ли вы лишние поля, которые не нужны для текущей бизнес-цели.
  8. Сопоставьте сайт и внутренний процесс: кто оператор, кто отвечает за обновление форм и документов.
  9. Определите, требуется ли уведомление в Роскомнадзор по вашему сценарию обработки.
  10. Если нашли 2-3 пробела, зафиксируйте их в одном списке и исправляйте сначала критичные точки: формы, cookies, передача и хранение.

В 2025 году тема ужесточилась по двум причинам. Во-первых, у бизнеса стало больше внешних интеграций: аналитика, CRM, чат-виджеты, платформы рассылок, пиксели рекламы. Во-вторых, выросла формальная и репутационная цена ошибки. Поэтому сайт уже нельзя проверять только глазами юриста или только глазами маркетолога. Нужен совместный разбор интерфейса, процесса и архитектуры данных. По теме защиты данных есть и другие разборы по 152-ФЗ в блоге PROMAREN.

Если вы внедряете формы, чат-боты, квизы или автоворонки, закладывайте проверку ПДн до запуска, а не после первых лидов. На проектах такого типа я заранее смотрю, где процесс сломается под нагрузкой или проверкой. Это привычка из аудита: проблема почти всегда видна ещё до инцидента.

Что меняется, когда смотреть на сайт как на процесс

Смысл самопроверки простой. Сайт собирает данные ради бизнеса: лиды, записи, продажи, заявки партнёров. Значит и проверка должна идти от процесса, который эти данные создаёт и двигает дальше. Если интерфейс обещает одно, политика пишет второе, а интеграции делают третье, нарушение почти неизбежно.

Для владельца сайта здесь 3 практических вывода:

  1. Быстрая проверка сайта 152-ФЗ показывает большую часть проблем без длинного аудита.
  2. Критичные зоны почти всегда одни и те же: формы, согласия, cookies, хранение и передача.
  3. Если вы нашли несколько пробелов, исправлять нужно процесс целиком, а не только текст в футере.

Обо мне. Я — Марина Погодина, основательница PROMAREN. Раньше занималась аудитом ИТ-рисков (Большая четвёрка, ЦБ). Помогаю бизнесу в РФ строить автоматизацию кодом и на конструкторах.

Если после самопроверки вы нашли 2-3 пробела, лучше сделать аудит процесса и закрыть риски точечно. Разбираю такие ситуации еженедельно в Telegram, MAX и блоге.

Марина Погодина, PROMAREN. Разбираю такие ситуации еженедельно в каналах: Telegram (https://t.me/promaren) и MAX (https://max.ru/id6154561590_biz).

Что ещё стоит учесть

Можно ли проверить сайт на 152-ФЗ самому без юриста?

Да, можно сделать первичную самопроверку за 15 минут. Для этого достаточно пройти все формы, проверить согласия, политику, cookies и внешние сервисы. Такой проход покажет типовые проблемы. Если находите несколько разрывов между сайтом и процессом, дальше уже нужен точечный аудит.

Если на сайте только форма обратной связи, 152-ФЗ всё равно действует?

Да, действует. Имя, телефон и e-mail уже считаются персональными данными. Если сайт принимает такие сведения, он попадает под требования 152-ФЗ. Значит, нужны понятное основание обработки, согласие пользователя, открытая политика и прозрачный маршрут передачи данных после отправки формы.

Что должно быть на сайте по 152-ФЗ в минимальном варианте?

Минимум включает формы с корректным согласием, ссылку на политику обработки персональных данных, прозрачную работу cookies и соответствие документов реальным интеграциям. Этого недостаточно для всего контура комплаенса, но этого достаточно, чтобы убрать самые заметные нарушения на внешнем уровне сайта.

Как понять, что сайт нарушает 152-ФЗ, если жалоб ещё не было?

Смотрите на ясность для пользователя. Если человек не понимает, какие данные оставляет, зачем они нужны и кому уйдут, риск уже есть. Дополнительно проверьте, не ставятся ли cookies до согласия и нет ли форм без чекбоксов. Жалоба здесь не критерий, а просто более поздний сигнал.

Нужен ли чекбокс согласия под каждой формой?

В большинстве практических сценариев да, нужен. Пользователь должен явно подтвердить согласие в точке, где вводит данные. Одна общая фраза в футере закрывает риск слабо. Если на сайте 5 разных форм, проверяйте каждую отдельно, потому что именно там чаще всего и возникают отдельные нарушения.

Проверка сайта Роскомнадзор смотрит только документы или ещё и технику?

Смотрят не только документы. Видны формы, баннер cookies, скрипты аналитики, внешние виджеты и логика передачи данных. Поэтому сайт может выглядеть «юридически подготовленным», но фактически нарушать требования. Самый частый пример — аналитика запускается до согласия пользователя, хотя политика написана корректно.

Нужно ли уведомление в Роскомнадзор, если сайт небольшой?

Иногда нужно, даже если сайт маленький. Размер сайта сам по себе ничего не решает. Важен характер обработки, цели, объём и схема передачи данных. Поэтому вопрос про уведомление в Роскомнадзор лучше решать после короткого разбора процесса, а не по принципу «у нас маленький бизнес, значит нас это не касается».

Если политика есть, сайт соответствует 152-ФЗ?

Нет, одной политики недостаточно. Она должна совпадать с тем, как сайт реально собирает, хранит и передаёт данные. Если на сайте есть сторонние сервисы, формы без согласия или неверная работа cookies, наличие документа не закроет риск. Проверяется связка интерфейса, процесса и технической реализации.

Теги:
Бизнес под эксперта: упаковка и система продаж Хотите так же — без ручной рутины?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *