Как обеспечить соответствие 152-ФЗ для интернет-магазина в 2026 году

13.01.2023
17/07/26
Б-152
Как обеспечить соответствие 152-ФЗ для интернет-магазина в 2026 году
Интернет-магазин обрабатывает персональные данные не только при оформлении заказа. В контур 152-ФЗ попадают формы сбора на сайте, личный кабинет, программа лояльности, рассылки, онлайн-чат, данные, собираемые с помощью cookie-файлов, аналитика, платежи, возвраты, доставка и подрядчики, полностью или в части обеспечивающие работу интернет-магазина.
В 2026 году риск для интернет-магазина связан не только с классической проверкой. Сайт можно анализировать через открытые элементы: формы сбора, cookie-баннеры, политику конфиденциальности, чек-боксы, подключенные сервисы и видимый пользовательский путь.
Главная ошибка — привести в порядок документы, но не сверить их с реальным функционалом сайта. На практике претензии чаще возникают там, где политика конфиденциальности, согласия, оферта, формы сбора, CRM, рассылки и договоры с подрядчиками описывают разные версии одного процесса.

Почему интернет-магазины в 2026 году находятся в зоне внимания

В 2026 году интернет-магазины остаются одной из самых заметных категорий операторов персональных данных. Причина проста: сайт публичен, обработка данных идет постоянно, а большая часть рисков видна без доступа к внутренним системам.

Рост штрафов с 30 мая 2025 года по ст. 13.11 КоАП РФ и проведение контрольных мероприятий без взаимодействия с контролируемыми лицами привели к тому, что нарушения могут выявляться без традиционной проверки. Федеральный закон от 31.07.2020 № 248-ФЗ разделяет контрольные мероприятия на проводимые с взаимодействием и без взаимодействия с контролируемым лицом, а наблюдение за соблюдением обязательных требований может включать анализ обработки данных на сайте интернет-магазина.
Почему отсутствие классической проверки не означает отсутствие риска, подробнее разобрано в материале «Мораторий не спасет: в каких случаях компания все равно попадает в поле зрения регулятора». Для интернет-магазина это особенно важно: сайт, формы сбора, cookie-баннеры и политика конфиденциальности остаются открытыми для внешней оценки.
Многие операторы интернет-магазинов по-прежнему считают, что достаточно разместить на сайте политику обработки персональных данных и добавить пару чек-боксов под формами сбора. Практика аудитов показывает другое: несоответствия чаще возникают не из-за полного отсутствия документов, а из-за расхождений между реальными процессами обработки данных и тем, что зафиксировано на сайте.

Интернет-магазин давно перестал быть простой витриной с корзиной. Обычно это цифровая экосистема:

  • оформление заказа;
  • личный кабинет;
  • программа лояльности;
  • маркетинговые рассылки;
  • онлайн-чат;
  • сервисы аналитики;
  • платежные агрегаторы;
  • доставка;
  • возвраты;
  • системы персонализации;
  • антифрод и проверка платежей.

Каждый элемент обрабатывает персональные данные и требует отдельной правовой оценки. Поэтому соответствие 152-ФЗ невозможно обеспечить разовой подготовкой пакета документов. Любое обновление сайта, запуск акции, внедрение аналитики, изменение механики рассылок или подключение нового подрядчика должны сопровождаться проверкой влияния на обработку персональных данных.

Аудит интернет-магазина — это проверка всего пользовательского пути

Сегодня аудит интернет-магазина — это не проверка наличия политики конфиденциальности. Это оценка всего пользовательского пути: от первого посещения сайта до оформления заказа, участия в программе лояльности, получения рекламных рассылок, возврата товара и взаимодействия со службами доставки.

На практике такой аудит начинается не с вопроса «есть ли документы», а с более прикладных вопросов:

  • какие данные собираются на каждом шаге;
  • какая цель обработки у каждого набора данных;
  • какое правовое основание применяется;
  • где данные первично записываются и хранятся;
  • кому они передаются;
  • какие подрядчики участвуют;
  • какие согласия получает пользователь;
  • что происходит с данными после оформления заказа;
  • как пользователь может отказаться от рассылки;
  • как меняются документы после обновления сайта.

Такой подход помогает увидеть не только очевидные нарушения, но и скрытые расхождения. Например, форма сбора собирает дату рождения, политика ее не упоминает, программа лояльности использует поведение покупателя для персональных скидок, а в самом документе (например, в оферте программы лояльности) описана только «обработка для регистрации в программе лояльности».
Чтобы не проверять элементы сайта разрозненно, можно использовать чек-лист самопроверки бизнес-процесса обработки ПДн: он помогает пройти путь от цели и состава данных до сроков хранения, доступов, подрядчиков и документов.

Карта процессов интернет-магазина по 152-ФЗ

Элемент интернет-магазина
Какие данные обычно обрабатываются
Где чаще возникает риск
Форма заказа
ФИО, телефон, email, адрес доставки, состав заказа
Цель и состав данных не совпадают с политикой или офертой
Личный кабинет
Контакты, история заказов, адреса, бонусы, предпочтения
Документы описывают старую механику регистрации
Программа лояльности
Покупки, бонусы, дата рождения, сегменты, скидки
Смешиваются оферта программы, согласие на обработку ПДн и рекламные рассылки
Рассылки
Email, телефон, история покупок, интересы, клики
Нет отдельного добровольного согласия или оно встроено в оферту
Онлайн-чат
Имя, контакт, содержание обращения, номер заказа
Чат как процесс не отражен в политике или собирает лишние сведения
Cookie и аналитика
IP, cookie, ID устройства, поведение на сайте
Нет понятного баннера и описания работы сервисов веб-аналитики
Платежи и возвраты
Платежные данные, реквизиты, данные для возврата средств
Процессы после покупки не описаны в документах, а также какие данные при этом обрабатываются
Доставка
ФИО, телефон, адрес, данные получателя
Не определена роль службы доставки и документальная модель передачи
Подрядчики
Данные клиентов и пользователей сайта
Нет указания на привлечение контрагентов и договорных условий по ПДн

Локализация персональных данных: нарушение, которое обходится дороже всего

Одной из самых серьезных и дорогостоящих ошибок остается нарушение требований локализации персональных данных. По ч. 5 ст. 18 152-ФЗ при сборе персональных данных, в том числе через Интернет, запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ должны осуществляться с использованием баз данных на территории России, кроме предусмотренных законом исключений.

Для интернет-магазина это касается не только основной CRM. Проверять нужно всю инфраструктуру, через которую проходят данные:

  • CMS и личный кабинет;
  • CRM;
  • облачные сервисы;
  • сервисы рассылок;
  • онлайн-чаты;
  • формы обратной связи;
  • аналитические платформы;
  • платежные и антифрод-сервисы;
  • инфраструктуру подрядчиков, в которой реализуются бизнес-процессы оператора интернет-магазина.

На практике локализация часто нарушается не потому, что компания сознательно хранит базу за рубежом. Риск появляется через подключенный сервис: виджет чата, форму сбора, облачную CRM, иностранную аналитику, сервис персонализации или рассылочную платформу. Маркетинг видит удобный инструмент, ИТ подключает скрипт, бизнес получает конверсию, а юридический контур узнает об этом после запуска.

Рабочая проверка локализации должна не только отвечать на вопрос «где находится основная база». Важно понять, где происходит первичная запись данных российского пользователя, куда уходят события, как устроены интеграции и кто имеет доступ к инфраструктуре.

Документы должны отражать реальность, а не прошлый функционал

Практически в каждом аудите интернет-магазинов встречаются документы, которые описывают не текущий сайт, а его прошлую версию.

Типовые примеры:

  • вход через VK ID или Яндекс ID уже отключен, но продолжает упоминаться в оферте;
  • в документах описан логин и пароль, хотя регистрация идет по номеру телефона;
  • политика конфиденциальности перечисляет данные, которые пользователь больше не предоставляет;
  • согласие (мультисогласие) содержит цель, которая больше не используется;
  • в форме сбора появилась дата рождения, а в политике конфиденциальности ее нет;
  • чат, квиз или попап собирает данные, но не отражен в документах;
  • программа лояльности как процесс изменился, а оферта осталась прежней.

Такие расхождения показывают не просто редакционную неаккуратность. Для регулятора или клиента это признак того, что оператор не контролирует процессы обработки персональных данных.

Документы нужно сверять после каждого существенного обновления сайта. Политика обработки ПДн не должна содержать описание функций, которых уже нет, а согласия не должны предусматривать обработку сведений, которые фактически не собираются. Обратная ситуация тоже рискованна: сайт собирает данные, которых нет в документах.

Разделяйте правовые основания обработки

Одна из самых распространенных ошибок — смешение разных правовых оснований обработки персональных данных.

Политика обработки персональных данных не является согласием на обработку ПДн. Пользователь не должен «соглашаться» с политикой конфиденциальности. Корректная логика — пользователь подтверждает, что ознакомлен с документом.

Для интернет-магазина важно разделять:

  • обработку для исполнения договора купли-продажи, доставки заказа;
  • обработку обращений пользователей;
  • участие в программе лояльности;
  • получение рекламных рассылок;
  • участие в акциях и конкурсах;
  • использование cookie-файлов и аналитики;
  • персонализацию предложений;
  • возвраты и претензионную работу.

Для каждой цели должно быть самостоятельное правовое основание.

Многие интернет-магазины используют отдельное согласие на обработку ПДн там, где обработка нужна исключительно для исполнения договора купли-продажи. Пользователь ставит галочку под согласием и одновременно нажимает кнопку оформления заказа, хотя фактически правовым основанием обработки выступает договор (оферта). Такая конструкция усложняет пользовательский путь и создает риск: на одной форме смешиваются разные основания обработки.

Схожая проблема возникает при регистрации в программе лояльности. Пользователю часто предлагают одновременно согласиться на обработку ПДн, принять условия программы и подтвердить регистрацию. Но когда регистрация осуществляется в рамках программы лояльности, достаточным основанием может быть оферта программы лояльности. Дополнительное согласие в такой ситуации может быть избыточным и создавать путаницу.

При этом с 1 сентября 2025 года согласие на обработку персональных данных должно оформляться отдельно от другой информации или документов, которые подтверждает или подписывает субъект. Это закреплено в ч. 1 ст. 9 152-ФЗ. (КонсультантПлюс)
Если в одной форме объединены заказ, программа лояльности, согласие на ПДн и реклама, стоит отдельно проверить структуру согласий. В материале «Можно ли включать в одно согласие сразу несколько целей обработки персональных данных?» разобрано, почему разные цели лучше не смешивать в одну формулировку.

Как разделить цели и основания: рабочая таблица

Процесс
Частая ошибка
Рабочая логика
Оформление заказа
Требуют отдельное согласие на ПДн там, где обработка нужна для договора
Обосновать обработку исполнением договора
Доставка
Не отделяют передачу службе доставки от обработки заказа
Определить роль службы доставки и основание передачи
Программа лояльности
Смешивают оферту, согласие на ПДн и рекламу
Разнести участие в программе и рекламные рассылки
Рассылка
Встраивают согласие в оферту или общий чек-бокс
Оформить отдельное добровольное согласие
Акция или конкурс
Запускают механику до обновления документов
Проверить правила, форму, цели, данные и сроки хранения
Онлайн-чат
Не считают чат отдельным процессом
Отразить чат в политике и определить данные, цель, срок
Cookie и аналитика
Считают их техническим инструментом
Проверить cookie-баннер, политику, наличие сервисов веб-аналитики и правовое основание

Правовые основания обработки ПДн на сайтеКонтролируйте все формы сбора данных

Формы сбора на сайте должны быть синхронизированы с документами. Часто встречается ситуация, когда в согласии или договоре указан один набор данных, в политике обработки ПДн другой, а в форме сбора фактически собирается третий.

В результате оператор не может доказать законность обработки конкретных данных. Особенно это заметно при проверке не всего сайта, а отдельной посадочной страницы, формы акции, попапа, квиза, чата или формы подписки.

Каждая форма должна проходить проверку по вопросам:

  1. Какие данные собираются?
  2. Для какой цели они нужны?
  3. Действительно ли эти данные необходимы бизнесу?
  4. Отражены ли они в политике обработки ПДн?
  5. Отражены ли они в согласии, договоре или оферте?
  6. Какой срок хранения установлен?
  7. Куда попадают данные после отправки формы?
  8. Кто имеет доступ?
  9. Передаются ли данные подрядчику?
  10. Можно ли доказать получение согласия, когда оно требуется?

Отдельного внимания заслуживают предустановленные галочки в чек-боксах. Несмотря на многолетнюю позицию Роскомнадзора по этому вопросу, такие решения продолжают встречаться даже у крупных интернет-магазинов.

Автоматически проставленная отметка лишает пользователя возможности самостоятельно выразить волю на обработку персональных данных. После этого оператору сложно доказать, что согласие было получено свободно и добровольно.
Если согласия уже размещены на сайте, но есть сомнения в их формулировках, поможет разбор распространенных недостатков согласий: он полезен для проверки целей, состава данных, формы волеизъявления и связи согласия с конкретной формой.

Соблюдайте принцип минимизации данных

Закон требует обрабатывать только те сведения, которые необходимы для достижения заявленной цели. Для интернет-магазина это особенно важно, потому что маркетинг, логистика, клиентский сервис и аналитика часто стремятся собрать больше данных «на будущее».

Для оформления заказа может быть достаточно имени и телефона, но форма дополнительно запрашивает дату рождения, пол, второй телефон, социальные сети или подробные сведения о предпочтениях. Иногда эти данные потом никак не используются. В документах они тоже могут быть не отражены.

Особое внимание стоит уделять:

  • дате рождения;
  • дополнительным контактам;
  • данным из личного кабинета;
  • данным участников акций;
  • сведениям о получателе заказа;
  • истории покупок;
  • данным персонализации;
  • поведенческой аналитике.

Каждый дополнительный идентификатор должен иметь понятное обоснование. Иначе появляется расхождение: бизнес-процесс собирает данные, документы не объясняют цель, а пользователь не понимает, зачем эти сведения нужны.

На практике часто выявляется ситуация, когда политика обработки ПДн не содержит полного перечня данных, которые фактически собираются на сайте. Например, при оформлении заказа пользователь указывает дату рождения, но в политике такой категории данных нет. С точки зрения регулятора это может означать недостаточное информирование субъекта о характере обработки.

Маркетинговые рассылки: отдельная зона риска

Маркетинговые рассылки остаются одним из самых проблемных направлений для интернет-магазинов.

Типовые нарушения:

  • не указано, что сообщения имеют рекламный характер;
  • согласие на рассылку встроено в оферту;
  • чек-бокс заранее проставлен;
  • пользователь не может купить товар без согласия на рекламу;
  • в согласии указан один перечень данных, а фактически используется другой;
  • нет понятного способа отказаться от рассылки;
  • персонализированные рекомендации не отражены в документах;
  • рассылка идет по старой базе без проверки источника и наличия согласия.

При подписке пользователь должен понимать, какие сообщения он будет получать, какие данные используются и как отказаться от рассылки. При использовании персонализированных рекомендаций это также должно быть отражено в документации.

В ходе аудитов регулярно выявляются ситуации, когда согласие на получение рекламных рассылок фактически «встраивается» в текст публичной оферты. На первый взгляд это удобно: пользователь принимает один документ вместо нескольких. Но с точки зрения законодательства согласие на обработку персональных данныхдолжно быть оформлено отдельно от иной информации и документов, которые подтверждает субъект.

Пользователь должен иметь возможность купить товар без автоматического согласия на рекламу в будущем. Для бизнеса это не только правовой вопрос. Навязанная рассылка повышает риск жалоб, ухудшает доверие и снижает качество базы: в ней появляются пользователи, которые не хотели получать коммуникации.

Программа лояльности и акции: проверьте каждую механику

Программа лояльности — это не просто маркетинговый инструмент. С точки зрения 152-ФЗ это отдельный процесс обработки персональных данных.

В нем могут обрабатываться:

  • контактные данные;
  • история покупок;
  • бонусный баланс;
  • дата рождения;
  • сегмент клиента;
  • персональные скидки;
  • предпочтения;
  • участие в акциях;
  • реакция на предложения.

Нужно проверить оферту программы лояльности, описание обрабатываемых данных, правовые основания и порядок прекращения участия пользователя.

Проблема часто появляется из-за скорости маркетинга. Акция запускается быстрее, чем обновляются юридические документы. В результате правила акции содержат один перечень данных, форма регистрации — другой, политика обработки ПДн — третий, а рассылка использует еще и историю покупок.

Для каждой акции желательно проводить отдельную юридическую проверку до запуска. Это не обязательно долгий процесс. Но нужно понять, какие данные собираются, зачем, на какой срок, кому передаются и что будет после окончания акции.

Онлайн-чат и формы обратной связи — тоже обработка данных

Онлайн-чат часто воспринимается как сервисная функция сайта. На практике это самостоятельный процесс обработки данных.

Через чат могут передаваться:

  • имя;
  • телефон;
  • email;
  • номер заказа;
  • адрес доставки;
  • содержание претензии;
  • сведения о возврате;
  • данные третьего лица, получателя или плательщика;
  • информация из переписки.

Распространенная ошибка — включить в документы сведения, которые фактически не собираются через чат, или наоборот не описать данные, которые пользователь регулярно передает оператору в обращениях.

Нужно обеспечить соответствие формы чата, согласия, политики обработки ПДн и внутренних процессов обработки обращений. Важно также понимать, кто является поставщиком чат-сервиса, где хранится переписка, имеет ли подрядчик доступ к данным и как долго хранятся обращения.
Инцидент с персональными данными не замыкается на внутренней инфраструктуре
Организации, которые используют подрядчиков, облачные сервисы, CRM, сайты и рассылки, сталкиваются с риском инцидента не только внутри своей инфраструктуры. Разобрать порядок уведомления, роли команды и доказательства контроля подрядчиков можно с Б-152.

Учитывайте данные после оформления заказа

Многие интернет-магазины подробно описывают оформление заказа, но забывают о дальнейших этапах взаимодействия с покупателем.

После покупки могут обрабатываться:

  • данные документа, удостоверяющего личность;
  • реквизиты банковского счета для возврата денег;
  • сведения о получателе заказа;
  • данные для проверки платежей;
  • история обращения в поддержку;
  • информация о споре или претензии;
  • документы по возврату;
  • данные для предотвращения мошенничества.

Эти процессы часто не видны на первом экране сайта, но именно они создают существенные расхождения в документах. Пользователь оформляет заказ по одной логике, а затем его данные переходят в возвраты, бухгалтерию, антифрод, службу поддержки, доставку и претензионную работу. Такие процессы должны быть описаны, в т. ч. в политике обработки ПДн.

Документы должны описывать не только момент покупки, но и весь жизненный цикл данных покупателя.

Cookie-файлы и веб-аналитика: не технический, а правовой вопрос

В 2026 году особое внимание уделяется сервисам веб-аналитики и рекламным технологиям.

Оператору нужно понимать:

  • какие cookie-файлы используются;
  • какие данные собирают аналитические сервисы;
  • кто получает данные;
  • есть ли зарубежные сервисы;
  • можно ли связать данные с конкретным пользователем;
  • требуется ли согласие;
  • отражены ли cookie-файлы и аналитика в политике;
  • есть ли понятный cookie-баннер.

Практика показывает, что cookie-баннеры и системы веб-аналитики становятся частым объектом проверки (например, дело, рассматриваемое Арбитражным судом Тюменской области № А70−20 949/2025, об использовании «Яндекс.Метрики» без информирования об этом пользователей сайта). Многие организации все еще воспринимают cookie-файлы как технический инструмент работы сайта. Но подход Роскомнадзора смещается в сторону признания таких данных частью информации о пользователе, которая может относиться к персональным данным и требует надлежащего информирования и правового основания обработки.

Отсутствие cookie-баннера или неполное описание аналитических сервисов все чаще становится предметом внимания регулятора. Для интернет-магазина это особенно чувствительно: аналитика связана с продажами, рекламой, ретаргетингом, персональными рекомендациями и оценкой поведения пользователя.
Чтобы оценить cookie не как техническую настройку, а как часть обработки ПДн, можно использовать материал «Cookie-файлы как персональные данные»: там разобрано, почему cookie, IP-адреса и данные метрических программ требуют отдельной проверки.

Проведите инвентаризацию подрядчиков

Интернет-магазины обычно передают данные службам доставки, колл-центрам, сервисам рассылок, платежным агрегаторам, техническим подрядчикам, провайдерам онлайн-чата и аналитическим платформам.

Важно определить роль каждого контрагента:

  • самостоятельный оператор;
  • обработчик по поручению оператора;
  • технический поставщик без доступа к ПДн;
  • субподрядчик в цепочке другого поставщика.

Ошибка часто возникает из-за формального подхода: договор подписан, но роль контрагента не определена. Служба доставки, сервис рассылок, колл-центр и платежный агрегатор получают разные данные, действуют в разных целях и требуют разной договорной модели.

Компания должна понимать:

  • какие данные получает контрагент;
  • для какой цели;
  • на каком основании;
  • где он хранит данные;
  • привлекает ли субподрядчиков;
  • как уведомляет об инцидентах;
  • как прекращает обработку после завершения договора;
  • какие требования к защите ПДн закреплены.

Понятное взаимодействие с подрядчиками особенно важно для интернет-магазинов с большим количеством интеграций. Один новый сервис может изменить схему обработки данных сильнее, чем появление на сайте нового процесса оператора интернет-магазина.

Уведомление в Роскомнадзор: данные на сайте должны совпадать с реестром

Для интернет-магазина важно не только разместить документы на сайте, но и проверить уведомление в Роскомнадзор. По ст. 22 152-ФЗ оператор до начала обработки ПДн обязан уведомить уполномоченный орган о намерении осуществлять обработку, кроме случаев, предусмотренных законом. В уведомлении указываются, в том числе, цели обработки, категории данных, категории субъектов, правовые основания, сведения о трансграничной передаче и месте нахождения базы данных. При изменении сведений оператор обязан уведомить РКН не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения.

Для интернет-магазина это означает: новое поле в форме сбора, новая программа лояльности, новый личный кабинет, новая аналитика, новые категории данных или трансграничная передача могут потребовать актуализации уведомления.

На практике уведомление часто отстает от сайта. В реестре указаны одни цели и категории данных, в политике — другие, а в CRM — третьи. Это один из признаков того, что компания не управляет процессом обработки системно.

Актуальность документов и контроль изменений

Соответствие интернет-магазина 152-ФЗ нельзя обеспечить только подготовкой комплекта документов. Намного важнее поддерживать постоянную связь между юридической документацией и фактическими бизнес-процессами.

Проверку нужно запускать при каждом существенном изменении:

  • новая форма сбора на сайте;
  • новый чек-бокс;
  • изменение регистрации в личном кабинете, в программе лояльности;
  • запуск акции;
  • изменение программы лояльности;
  • подключение рассылочного сервиса;
  • новый онлайн-чат;
  • подключение аналитики;
  • новый платежный или антифрод-сервис;
  • изменение подрядчика;
  • перенос данных;
  • появление персонализации;
  • изменение состава данных в личном кабинете.

Рабочая модель выглядит так: бизнес запускает изменение, владелец процесса описывает механику, ИТ показывает фактические потоки данных, юрист проверяет основания и документы, ответственный за ПДн обновляет реестр и уведомление при необходимости.

Без такого процесса документы быстро устаревают. Интернет-магазин меняется каждую неделю, а политика остается той же месяцами. Именно в этом разрыве и появляются риски.
Если такие расхождения уже накопились, полезно оценить не отдельный документ, а весь контур обработки. В кейсе о приведении обработки ПДн в соответствие 152-ФЗ и выстраивании управляемого контура показано, как переход от разрозненных документов к управляемой модели снижает риск системных ошибок.

Чек-лист самопроверки интернет-магазина по 152-ФЗ

Что проверить
Рабочий вопрос
Политика обработки ПДн
Описывает ли она реальные бизнес-процессы, цели, данные, сроки и передачи данных третьим лицам?
Формы сбора на сайте
Совпадает ли фактический набор данных с документами?
Чек-боксы
Нет ли заранее проставленных галочек?
Оформление заказа
Не используется ли лишнее согласие там, где основание — договор?
Программа лояльности
Есть ли оферта, корректная цель, данные и порядок выхода из программы?
Рассылки
Получено ли отдельное добровольное согласие?
Акции
Проверены ли правила, формы сбора, сроки и данные до запуска?
Онлайн-чат
Отражен ли чат в политике как процесс и понятна ли роль подрядчика?
Возвраты
Описаны ли реквизиты, документы и постпродажные процессы?
Cookie и аналитика
Есть ли cookie-баннер, описание сервисов, в т.ч. сервисов веб-аналитики, и правовое основание?
Локализация
Понятно ли, где происходит первичная запись и хранение данных?
Подрядчики
Определены ли роли, договорные условия и субподрядчики?
Уведомление в РКН
Совпадают ли цели, категории данных и базы с фактической обработкой?
Контроль изменений
Есть ли процедура проверки после обновления сайта?

Типовые ситуации, где сайт перестает соответствовать 152-ФЗ

Новая форма появилась быстрее документов

Маркетинг запускает лендинг под акцию, добавляет форму регистрации и передает данные в CRM. Политика и согласия остаются прежними. Формально документ на сайте есть, но он не описывает новую цель, состав данных и срок обработки.

Подключили аналитику без юридической проверки

На сайт добавляют новую метрическую программу или рекламный пиксель. С технической точки зрения это несколько строк кода. С точки зрения 152-ФЗ — новый процесс обработки, который может затронуть cookie, IP-адреса, поведение пользователя, передачу данных третьему лицу и локализацию.

Рекламное согласие спрятали в оферту

Пользователь оформляет заказ или заявку и одновременно оказывается подписан на рекламу. Такая модель не показывает отдельное добровольное согласие на рекламные коммуникации и создает риск жалоб.

Политика описывает старую версию сайта

На сайте уже нет прежней регистрации, сменились формы, появился чат, изменились cookie, но политика осталась прежней. Для регулятора это может выглядеть как отсутствие контроля за обработкой ПДн.

Подрядчик получил доступ к данным, но его роль не определена

CRM, сервис рассылок, хостинг, чат, коллтрекинг или подрядчик по сопровождению сайта получает доступ к ПДн. Но в договорах не определено, является ли он обработчиком по поручению, самостоятельным оператором или техническим поставщиком без доступа к данным.

Что делать после первичной проверки сайта

После первичной проверки сайт лучше разделить на три зоны.

Первая зона — критичные нарушения: иностранные сервисы с риском локализации, отсутствующее правовое основание, предустановленные галочки, отсутствие политики, согласие на рекламу в оферте, неработающие ссылки на документы.

Вторая зона — расхождения между документами и фактическими процессами: формы собирают больше данных, чем указано в политике; cookie-баннер не отражает метрики; политика описывает старый функционал; подрядчики не учтены.

Третья зона — процессные риски: нет владельца обновлений, документы не пересматриваются после изменений сайта, маркетинг и ИТ подключают сервисы без privacy-проверки, согласия не хранятся как доказательства.

Рабочий результат — не просто обновленная политика. Компании нужна понятная модель: кто отвечает за сайт, кто согласует новые формы, кто проверяет cookie и скрипты, кто обновляет документы, кто хранит версии согласий и кто контролирует подрядчиков.

FAQ

1) Что нужно проверить на сайте по 152-ФЗ в 2026 году?

Нужно проверить формы сбора данных, cookie-баннер, метрические программы, политику обработки ПДн, согласия, оферту, рекламные рассылки, локализацию, подрядчиков, хостинг, CRM и фактический путь пользователя.

2) Достаточно ли разместить политику конфиденциальности на сайте?

Не только. Политика должна соответствовать реальным процессам обработки ПДн. Риск возникает, когда документ есть, но не описывает фактические формы, cookie, рассылки, аналитику, подрядчиков или состав собираемых данных.

3) Нужно ли пользователю соглашаться с политикой конфиденциальности?

Нет. Политика не является правовым основанием обработки ПДн. Пользователь может подтверждать ознакомление с политикой, но «согласие с политикой» не заменяет согласие на обработку ПДн или иное правовое основание.

4) Какие ошибки чаще всего встречаются в чек-боксах?

Частые ошибки — предустановленные галочки, объединение нескольких целей в одном согласии, ссылка на политику вместо согласия, согласие на рекламу внутри оферты, отсутствие отдельного добровольного согласия на рассылку.

5) Почему Google Analytics может быть риском по 152-ФЗ?

Риск связан с требованиями локализации. При сборе ПДн граждан РФ запись, систематизация, накопление, хранение, уточнение и извлечение должны обеспечиваться с использованием баз данных на территории России. В отношении Google Analytics это требование невозможно исполнить из-за отсутствия дата-центров Google в РФ.

6) Нужно ли указывать Яндекс. Метрику в cookie-баннере?

Да, при использовании метрических программ пользователь должен быть проинформирован о сборе ПДн при входе на сайт. В cookie-баннере нужно учитывать информацию о сборе с помощью метрических программ и название такой программы.

7) Как часто нужно обновлять документы на сайте?

Документы нужно пересматривать после каждого существенного изменения: новой формы, подключения метрики, изменения cookie, запуска рассылки, новой акции, смены CRM, хостинга, подрядчика или механики регистрации.

8) Что делать, если сайт уже работает, но документы давно не обновлялись?

Нужно провести инвентаризацию сайта: найти все формы, скрипты, cookie, сервисы, интеграции и документы, затем сверить их с политикой, согласиями, офертой, локализацией и фактическими бизнес-процессами.

Итог

Приведение сайта в соответствие 152-ФЗ в 2026 году — это не разовая публикация политики конфиденциальности. Сайт нужно рассматривать как рабочий контур обработки ПДн, где каждый элемент связан с конкретной целью, основанием, документом, сервисом и ответственным подразделением.

Самые серьезные риски связаны с локализацией, иностранными сервисами, cookie и метриками, некорректными согласиями, рекламными рассылками и политикой, которая не отражает фактический функционал сайта. Но в реальной работе нарушение часто начинается с малого: добавили форму, подключили скрипт, поменяли регистрацию, запустили акцию — и не обновили правовую модель.

Зрелый подход строится не вокруг шаблона документов, а вокруг процесса: инвентаризация сайта, проверка локализации, разделение целей и оснований, корректные согласия, актуальная политика, контроль подрядчиков и обязательная privacy-проверка после изменений сайта.

Компании, которые поддерживают связь между сайтом, документами и реальными процессами, находятся в более устойчивой позиции при мониторинге, запросе Роскомнадзора, жалобе пользователя или клиентском аудите.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Регулярные изменения сайта требуют регулярного privacy-контроля. Для отслеживания практики Роскомнадзора, cookie, согласий, сайтов и типовых ошибок операторов удобно читать разборы в Telegram-канале Б-152.
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме