Sitelaw

152-ФЗ · Проверка сайта

Как проверить сайт на 152-ФЗ за 5 минут или 30 секунд

Ниже — пошаговая инструкция, как самостоятельно проверить сайт на соответствие 152-ФЗ о персональных данных, и описание, что делает автоматический сканер. Чек-лист, типичные нарушения, ссылки на статьи КоАП, готовые шаги по исправлению — без регистрации и оплаты.
  • Ручной чек-лист из 8 пунктов
  • Что находит сканер сверх ручной проверки
  • Топ-6 типичных нарушений на сайтах РФ
  • Сколько стоит каждое нарушение

Введите URL — отчёт обычно за ~30 секунд:

Без регистрации, бесплатно. Полный список нарушений с пунктами КоАП и штрафом.

Зачем проверять

Когда нужно проверять сайт на 152-ФЗ

Сайт попадает под 152-ФЗ, как только на нём появляется любая форма, которая принимает имя, телефон, email, адрес, файл документа или любые другие данные физического лица. Лендинг с одной кнопкой «оставить заявку», личный блог с комментариями, корпоративный сайт с формой обратной связи, интернет-магазин — все они автоматически становятся операторами персональных данных и обязаны выполнить набор требований 152-ФЗ.

Самопроверка нужна в трёх случаях: вы получили письмо от Роскомнадзора или жалобу пользователя, вы запускаете новый сайт или меняете обработку данных, вы покупаете сайт или платите подрядчику и хотите убедиться, что не унаследуете чужие штрафы.

С 30 мая 2025 года штрафы по статье 13.11 КоАП существенно увеличены законом 420-ФЗ: для юрлица за утечку 10 000 — 100 000 субъектов — от 5 до 10 миллионов рублей (ст. 13.11 ч. 13 КоАП), за повторную утечку — оборотный штраф 1—3% выручки (не менее 20 миллионов рублей, до 500 миллионов; ст. 13.11 ч. 15 КоАП).

Параллельно отмечается рост автоматизированных проверок сайтов: по сообщениям отраслевых изданий, специализированные парсеры ищут отсутствие политики, неверный cookie-баннер, отсутствие сайта в реестре операторов. Штраф может быть выписан без визита инспектора — по результатам сканирования или жалобы пользователя.

Ручная проверка

Чек-лист самопроверки из 8 пунктов

На каждый пункт нужно от 30 секунд до 2 минут. Полный круг — 5–15 минут. Чек-лист покрывает 5–6 самых видимых требований из примерно 22, которые проверяет автоматический сканер. На остальные пункты нужно либо знать DevTools и реестр операторов РКН, либо запустить сканер.

  • Откройте сайт в режиме инкогнито и найдите ссылку «Политика конфиденциальности»

    Должна вести на отдельную страницу без регистрации. Обычно в подвале сайта

  • Проверьте, что политика содержит реквизиты оператора: наименование, ИНН, контакты

    Без реквизитов политика не идентифицирует оператора — это нарушение ст. 18 ч. 3 ФЗ-152

  • Найдите любую форму сбора данных (заявка, обратная связь, подписка) и убедитесь, что рядом есть отдельный чекбокс согласия

    Не «продолжая нажимать, вы соглашаетесь» — нужна явная галочка под формой со ссылкой на политику

  • Откройте DevTools (F12) → вкладка Network → перезагрузите страницу — поищите запросы к google-analytics.com, doubleclick.net, facebook.com

    Если такие запросы есть до согласия пользователя — потенциальная трансграничная передача без правового основания

  • Проверьте, есть ли cookie-баннер и блокирует ли он сторонние трекеры до клика «принимаю»

    Баннер без реальной блокировки = декорация, требования ст. 6 ФЗ-152 не выполнены

  • Найдите в политике пункт об обязанностях оператора и порядок отзыва согласия пользователя

    Должен быть конкретный канал (email или форма) и срок реакции

  • Проверьте на pd.rkn.gov.ru, подал ли владелец сайта уведомление в реестр операторов ПДн

    Любая обработка ПДн на сайте требует уведомления по ст. 22 ФЗ-152 (есть исключения, но для коммерческого сайта почти всегда обязательно)

  • Уточните, на каких серверах физически хранятся данные пользователей

    По 242-ФЗ для ПДн граждан РФ — обязательно серверы в РФ. AWS, Heroku, Cloudflare Workers за пределами РФ — нарушение

Типичные нарушения

Что чаще всего находят на сайтах РФ

Подборка по результатам автоматического сканирования сотен сайтов малого и среднего бизнеса в нишах медицины, e-commerce, услуг и образования. Эти ошибки повторяются вне зависимости от тематики.

«Политика для галочки» из конструктора

Тильда / Wix / Битрикс дают универсальный шаблон, который покрывает только формальное наличие документа. Реальный текст не указывает категории обрабатываемых ПДн, не описывает пользователей данных, не содержит сроков хранения — типичные пропуски по ст. 18.1 ч. 2 и ст. 18 ч. 3 ФЗ-152.

Согласие в форме объединено с офертой

Один чекбокс «Согласен с офертой и политикой» формально не выражает свободное и информированное согласие на обработку ПДн (ст. 9 ч. 1 ФЗ-152). Корректно — два отдельных чекбокса.

Google Analytics / Meta Pixel грузятся до согласия

Cookie-баннер показывается, но сторонние трекеры уже отправили запросы. Это значит, что cookie с идентификатором устройства попали в США — потенциальная трансграничная передача без правового основания (ст. 12 ФЗ-152).

Нет уведомления в РКН

Самая распространённая публичная ошибка — оператор обрабатывает ПДн, но в реестре pd.rkn.gov.ru его нет. Уведомление подаётся бесплатно через Госуслуги. Штраф за неуведомление — отдельная статья КоАП.

Иностранные платёжные шлюзы без согласия

Stripe, PayPal, иностранные эквайринги — передача ПДн за рубеж. Требуется отдельное согласие пользователя с указанием страны и цели передачи (ст. 12 ч. 4 ФЗ-152).

Формы скрытого согласия в footer-popup

«Если вы продолжаете пользоваться сайтом, вы соглашаетесь со сбором cookies». РКН явно указал в письме от 2022 года, что такая конструкция не образует согласия — пользователь должен совершить активное действие.

Автоматическая проверка

Что делает сканер сверх ручной проверки

Сканер открывает сайт через безголовый Chromium и снимает не визуальную страницу, а весь поток сетевых запросов: какие сторонние скрипты загружаются, какие cookies устанавливаются, какие домены получают данные пользователя. Это позволяет ловить скрытые трекеры, которые ручная проверка пропускает.

Дальше структурно разбирается HTML каждой формы, проверяется привязка чекбокса согласия к политике, считаются количества обязательных пунктов в политике конфиденциальности через ИИ-анализ (через российского посредника, ПД пользователей в этот процесс не уходят), сверяется список иностранных сервисов с реестром запрещённых и ограниченных в РФ.

Глубокий тариф дополнительно обходит до 50 внутренних страниц — проверяет, что политика доступна с каждой ключевой страницы, а форма заявки на отдельных лендингах не теряет согласие.

На выходе — отчёт со списком нарушений в порядке убывания штрафа, привязкой к статьям КоАП, вилкой штрафа под ваш тип лица (физлицо / ИП / юрлицо) и готовыми текстами для исправления. В платном тарифе Аудит дополнительно генерируется шаблон политики в .docx с уже подставленными реквизитами по ИНН.

Частые вопросы

Что чаще всего спрашивают про проверку сайта

  • Можно ли проверить сайт на 152-ФЗ бесплатно?
    Да. Бесплатный тариф Sitelaw показывает полный список нарушений, статьи КоАП и округлённые штрафы — без регистрации одна проверка любого сайта. После Telegram-входа лимит — 5 быстрых и 1 глубокая проверка в месяц.
  • Чем автоматическая проверка отличается от ручной самопроверки?
    Ручная проверка по чек-листу выше занимает 5–15 минут и охватывает самые видимые пункты: наличие политики, чекбокс согласия, заметные трекеры. Сканер проверяет 22 правила, в том числе невидимые глазу: реальные сетевые запросы каждого скрипта, упоминание иностранных сервисов в исходниках, корректность ссылок на политику в форме, наличие сайта оператора в реестре РКН, маркировку рекламы по 38-ФЗ. Скорость сканера — около 30 секунд, формат — структурированный отчёт со ссылками на конкретные нарушенные нормы и шаблонами фиксов.
  • Какие самые частые нарушения 152-ФЗ на сайте?
    По нашему сканированию первых сотен сайтов чаще всего встречаются: отсутствие уведомления в РКН, политика конфиденциальности из конструктора без обязательных пунктов ст. 18 ч. 3, отсутствие отдельного чекбокса согласия в форме, Google Analytics или Meta Pixel без правового основания трансграничной передачи, cookie-баннер без реальной блокировки трекеров до согласия. Каждое нарушение — отдельная статья КоАП и отдельный штраф.
  • Сколько стоит исправить найденные нарушения?
    Большинство нарушений закрывается без юриста: подать уведомление в РКН — бесплатно через Госуслуги, добавить чекбокс согласия в форму — правка HTML, заменить шаблонную политику на корректную — закрывается в тарифе Аудит за 590 ₽, заменить Google Analytics на Я.Метрику — бесплатно. Существенные затраты возникают только при необходимости миграции иностранного хостинга или CRM в РФ.
  • Что считается «соответствием 152-ФЗ» — есть ли точный список?
    Минимум — это: уведомление в реестр РКН по ст. 22, политика конфиденциальности с обязательными сведениями по ст. 18.1 ч. 2 (а при получении ПДн не от субъекта — дополнительно ст. 18 ч. 3), согласие в формах по ст. 9, локализация ПДн в РФ по 242-ФЗ, правовое основание трансграничной передачи по ст. 12, корректное использование cookie по ст. 6, своевременное уведомление РКН об инцидентах с ПДн. Полный разбор каждого требования — на странице 152-ФЗ для сайта.
  • Что делать, если сайт сделал внешний подрядчик и я не понимаю кода?
    Сканер вернёт отчёт человеческим языком: какой пункт нарушен, какая статья КоАП, какой штраф, что именно нужно изменить. В тарифе Аудит за 590 ₽ дополнительно прилагается готовый шаблон политики под ваш бизнес. Этот отчёт можно отдать подрядчику как техническое задание, без необходимости разбираться в коде самостоятельно.

Смежные темы

Дальше по теме

152-ФЗ для сайта: что это и кому обязательноТеория закона, кто оператор ПДн, штрафы за нарушения по ст. 13.11 КоАП.ЧитатьCookie-баннер: что должно бытьОбязательные элементы баннера, корректный текст согласия, типичные ошибки.ЧитатьМетодология проверкиКак именно сканер находит каждое нарушение, что он видит и чего не видит.Читать

Прогнать автоматическую проверку

Введите адрес сайта — за ~30 секунд получите полный отчёт со списком нарушений 152-ФЗ, статьями КоАП и шагами по исправлению. Без регистрации.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.