Закон 152-ФЗ по полочкам
Ключевые статьи закона «О персональных данных» — простым языком, с пояснением «что это значит для сайта» и ссылкой на официальный текст. Плюс смежные акты и типовые нарушения. Или проверьте сайт за 30 секунд.
Глава 1. Общие положения
Глава 2. Принципы и условия обработки персональных данных
Глава 3. Права субъекта персональных данных
Глава 4. Обязанности оператора
Глава 5. Контроль, надзор и ответственность
Смежные нормативные акты
КоАП РФ, статья 13.11 — штрафы за нарушения в области ПДн
Основная «штрафная» норма. С 30 мая 2025 года (поправки 420-ФЗ) санкции кратно выросли, появились оборотные штрафы за утечки персональных данных — вплоть до процента от выручки при повторности. Отдельные составы — за обработку без согласия, отсутствие политики, работу без уведомления РКН.
Официальный текст →Постановление Правительства РФ № 1119 — уровни защищённости
Устанавливает требования к защите персональных данных при их обработке в информационных системах и определяет четыре уровня защищённости. От уровня зависит набор обязательных организационных и технических мер защиты. Конкретизирует общую обязанность из статьи 19 152-ФЗ.
Официальный текст →Федеральный закон № 242-ФЗ — локализация данных в РФ
Закон, которым в 152-ФЗ внесено требование локализации: при сборе данных, в том числе через интернет, базы с персональными данными граждан РФ должны находиться на территории России. Именно эта норма делает зарубежный хостинг основной базы нарушением.
Официальный текст →Судебная практика
Реальные дела по 152-ФЗ и ст. 13.11 КоАП. Каждое подтверждено первоисточником (официальная новость РКН, информагентство, правовой обзор). Для арбитражных дел указан номер — это ключ для поиска карточки на kad.arbitr.ru. Данные носят справочный характер; для юридически значимых целей сверяйтесь с первоисточником.
Утечка персональных данных — один из первых оборотных штрафов
Дело А40-351064/2025Итог: Штраф за допущенную утечку персональных данных
Одно из первых дел по новым «оборотным» составам за крупные утечки ПДн, введённым поправками 420-ФЗ (действуют с 30.05.2025). Показывает, что норма реально применяется судами.
Первоисточник: ГАРАНТ.РУ →Утечка персональных данных — штраф оператору
Дело А56-4733/2026Итог: Штраф за утечку персональных данных
Ещё одно из первых дел по штрафам за утечки. Подтверждает: после инцидента ответственность наступает даже у тех, кто не является крупным бизнесом.
Первоисточник: ГАРАНТ.РУ →Утечка, но предупреждение вместо штрафа — помогло своевременное уведомление РКН
Дело А27-27136/2025Итог: Предупреждение (без штрафа)
Компания уведомила Роскомнадзор об утечке в течение 24 часов, ранее не нарушала и не причинила вреда — суд ограничился предупреждением. Наглядно, зачем нужен план реагирования на инцидент (ст. 21 152-ФЗ).
Первоисточник: law.ru →Take-Two Interactive — штраф за отказ локализовать данные россиян
Итог: Штраф 2 млн ₽
Американского разработчика видеоигр оштрафовали за невыполнение требования хранить персональные данные граждан РФ на серверах в России. В той же волне РКН оштрафовал Interactive Advertising Bureau (2 млн ₽) и Dinamic Technologies (1 млн ₽).
Первоисточник: РИА Новости →Facebook и Twitter — первые штрафы за нарушение локализации
Итог: По 4 млн ₽ каждой компании
Первые крупные штрафы за неисполнение требования локализации баз данных российских пользователей на территории РФ (242-ФЗ). С этих дел началась реальная правоприменительная практика по локализации.
Первоисточник: vc.ru →Facebook, Twitter и WhatsApp — повторные штрафы на 36 млн ₽
Итог: Facebook — 15 млн ₽, Twitter — 17 млн ₽ (всего по делам — 36 млн ₽)
За повторное неисполнение требования локализации суммы штрафов выросли многократно. Иллюстрирует ключевой принцип: повторное нарушение кратно увеличивает ответственность.
Первоисточник: Роскомнадзор (офиц.) →Типовые нарушения на практике
Разбор частых ситуаций и категорий нарушений. За судебной практикой — ГАС «Правосудие» (sudrf.ru) и постановления Роскомнадзора.
На сайте нет политики обработки ПДн
Риск: Самое частое нарушение. Политику закон требует разместить в свободном доступе (ст. 18.1 ч. 2). Её отсутствие — типовой повод для предписания РКН и штрафа по ст. 13.11 КоАП.
Как исправить: Опубликуйте политику и дайте ссылку на неё в подвале каждой страницы и рядом с каждой формой.
Чекбокс согласия отмечен по умолчанию
Риск: Предзаполненная галочка не является сознательным согласием (ст. 9). При проверке оператор не сможет доказать, что согласие было получено законно.
Как исправить: Снимите отметку по умолчанию — пользователь ставит галочку сам. Сохраняйте дату, время и версию текста согласия.
Данные россиян на зарубежном хостинге
Риск: Нарушение требования локализации (ст. 18 ч. 5, 242-ФЗ). Основная база с данными граждан РФ обязана находиться в России.
Как исправить: Перенесите первичную базу на сервер в РФ. Иностранные облака используйте только как вторичные, после локализации.
Незаявленная трансграничная передача (зарубежные счётчики)
Риск: Google Analytics, Meta Pixel, Google Fonts и подобные передают данные за рубеж. Без уведомления РКН (ст. 12) это нарушение порядка трансграничной передачи.
Как исправить: Уведомите РКН о трансграничной передаче либо замените зарубежные сервисы на российские аналоги и отразите это в политике.
Рекламная рассылка без отдельного согласия
Риск: Реклама по сетям связи допускается только с предварительного согласия адресата (ст. 9 152-ФЗ и ст. 18 38-ФЗ «О рекламе»). Грозит ответственность сразу по двум законам — РКН и ФАС.
Как исправить: Сделайте согласие на рассылку отдельным чекбоксом, используйте double opt-in и давайте простой способ отписаться в каждом письме.
Проверьте, нет ли этих нарушений у вас
Автоматическая проверка по требованиям 152-ФЗ. Первые рекомендации — бесплатно.
Проверить мой сайтМатериал носит информационный характер, отражает изложение норм и не заменяет юридическую консультацию. Точные формулировки и действующая редакция — в официальном тексте закона.