152-ФЗ

Проверка по 152-ФЗ в 2026 · что изменилось и как подготовиться

13 апреля 2026 г.·7 минПерсональные данные · РКН

Коротко

С 30 мая 2025 года и осенью 2025 года вступили в силу изменения, кратно повысившие штрафы по статье 13.11 КоАП за нарушения обработки персональных данных, а Роскомнадзор перешёл к автоматическому сканированию сайтов. Компании и ИП, у которых есть формы обратной связи, рассылки или личный кабинет, обязаны привести обработку данных в соответствие с законом, иначе попадают под санкции.

Роскомнадзор использует автоматический мониторинг сайтов. Рост проверок связан с изменениями, вступившими в силу 30.05.2025 и осенью 2025 года. Если на вашем сайте есть форма обратной связи, подписка на рассылку или личный кабинет, вы обрабатываете персональные данные. И вы обязаны делать это по закону.

Что изменилось в 2026

Автосканер РКН. Роскомнадзор больше не ждёт жалоб. Автоматизированная система проверяет сайты на типичные нарушения.

форма сбора данных без ссылки на политику обработки;
отсутствие согласия на обработку;
передача данных на иностранные серверы (Google Analytics, Hotjar).

Новые штрафы. С 30 мая 2025 штрафы по ст. 13.11 КоАП РФ выросли кратно (ФЗ № 420-ФЗ от 30.11.2024).

Нарушение	Штраф для ИП	Штраф для ООО
Нет политики обработки (ч. 3 ст. 13.11)	до 50 000 ₽	30 000-60 000 ₽
Нет согласия (ч. 2 ст. 13.11)	50 000-100 000 ₽	150 000-300 000 ₽
Утечка данных 1 000-10 000 субъектов (ч. 12 ст. 13.11)	3-5 млн ₽	3-5 млн ₽
Утечка данных 10 000-100 000 субъектов	5-10 млн ₽	5-10 млн ₽
Утечка данных свыше 100 000 субъектов или биометрия	10-15 млн ₽	10-15 млн ₽
Повторная утечка (оборотный штраф)	1-3% годовой выручки, мин. 20 млн, макс. 500 млн ₽	1-3% годовой выручки, мин. 20 млн, макс. 500 млн ₽
Повторно без согласия	100 000-200 000 ₽	300 000-500 000 ₽

Пошаговый план

1. Аудит текущего состояния

Начните с инвентаризации того, какие данные вы собираете, где храните и кому передаёте. Типичная IT-компания обрабатывает данные в нескольких местах.

формы на сайте;
CRM-система;
email-рассылки;
системы аналитики;
HR-процессы.

2. Документы

Минимальный набор документов для IT-компании выглядит так.

Политика обработки персональных данных публикуется на сайте;
Согласие на обработку подписывается пользователем;
Приказ о назначении ответственного, внутренний документ;
Уведомление в РКН подаётся через портал Роскомнадзора.

3. Техническая реализация

Баннер куки с возможностью отказа;
Чекбокс согласия на каждой форме;
Процедура удаления данных по запросу;
Шифрование базы данных.

4. Уведомление в Роскомнадзор

Если вы ещё не подали уведомление оператора ПД, сделайте это немедленно. Штраф за работу без уведомления составляет до 300 000 ₽.

Что мы делаем

DEPA проводит полный аудит по 152-ФЗ от 2 до 3 недель. На выходе вы получаете готовый результат.

аудит-отчёт с конкретными рекомендациями;
полный пакет документов (политика, согласия, приказы);
уведомление в РКН;
консультацию по технической реализации.

Стоимость от 85 000 ₽. Оставить заявку.

Вопросы и ответыFAQ

Какие документы по 152-ФЗ обязательно иметь компании с сайтом?

Минимальный набор включает политику обработки персональных данных, опубликованную на сайте, и форму согласия, которую подписывает пользователь. Внутри компании нужен приказ о назначении ответственного за обработку. Отдельно подаётся уведомление оператора в Роскомнадзор через портал.

Чем грозит работа без уведомления Роскомнадзора?

Подача уведомления оператора персональных данных обязательна. Штраф за работу без уведомления составляет до 300 000 рублей. Если уведомление ещё не подано, сделать это нужно безотлагательно через портал Роскомнадзора.

Можно ли использовать Google Analytics и иностранные сервисы аналитики?

Передача данных на иностранные серверы, в том числе через системы аналитики, входит в перечень типичных нарушений, которые выявляет автосканер Роскомнадзора. Использование таких сервисов требует отдельной правовой оценки и корректного оформления согласий. В рамках аудита проверяется, куда уходят данные и как это легализовать.