Какие документы обязательны для сайта по 152-ФЗ?

Для любого сайта, собирающего персональные данные, обязательны три документа: политика конфиденциальности (опубликованная на сайте), форма согласия на обработку персональных данных и уведомление в Роскомнадзор. С 2025 года по ФЗ-156 также требуется отдельная политика использования cookie.

Где должна быть размещена политика конфиденциальности на сайте?

Политика конфиденциальности должна быть доступна по прямой ссылке (обычно /privacy-policy или /privacy) и размещена в футере сайта — чтобы пользователь мог найти её с любой страницы. Ссылка также размещается рядом с каждой формой сбора данных.

Что изменилось в требованиях к сайтам в 2025 году?

В 2025 году вступили в силу три закона: ФЗ-23 (июль) — ужесточение требований к локализации данных, ФЗ-420 (май) — увеличение штрафов, ФЗ-156 (сентябрь) — требование отдельного согласия на cookie-трекеры. Последнее означает, что простого уведомления о cookie недостаточно — нужно явное согласие пользователя.

152-ФЗ · Чеклист

Что должно быть на сайте по 152-ФЗ: полный чеклист 2026

17 июня 2026· Обновлено с учётом ФЗ-156 и ФЗ-420 (2025)· 8 мин. чтения

По 152-ФЗ каждый сайт, который собирает персональные данные пользователей, обязан иметь четыре обязательных элемента: политику конфиденциальности, форму согласия на обработку ПДн, уведомление cookie и регистрацию в Роскомнадзоре. Отсутствие любого из них — самостоятельное основание для штрафа.

Быстрый чеклист: 4 обязательных элемента

1

Политика конфиденциальности Опубликована на отдельной странице, доступна из футера с любой страницы сайта. Ссылка рядом с каждой формой.
2

Согласие на обработку персональных данных Отдельный чекбокс в каждой форме сбора данных. С 01.09.2025 (ФЗ-156) — отдельный документ согласия. Как оформить правильно →
3

Политика использования cookie По ФЗ-156 (сентябрь 2025): явное согласие на cookie-трекеры, баннер с возможностью отказаться. Не только уведомление, но и согласие. Как настроить баннер →
4

Уведомление в Роскомнадзор Не на сайте — это действие: регистрация через pd.rkn.gov.ru. Разовое, но обязательное с первого дня сбора данных.

Политика конфиденциальности: что должна содержать

Политика конфиденциальности — это публичный документ, который описывает, как оператор обрабатывает персональные данные. Требования к содержанию установлены ст. 18.1 152-ФЗ и Приказом РКН № 996.

Обязательные разделы политики конфиденциальности:

Данные оператора — полное наименование, ИНН, адрес, контактные данные
Категории персональных данных — какие именно данные обрабатываются (имя, email, телефон, IP-адрес и т.д.)
Цели обработки — для чего нужны данные (выполнение договора, маркетинг, аналитика)
Правовые основания обработки — согласие субъекта, договор, законный интерес
Срок хранения данных — конкретные сроки или условия прекращения обработки
Права субъектов ПДн — как пользователь может получить, исправить или удалить свои данные
Порядок отзыва согласия — конкретная процедура и контактные данные
Передача третьим лицам — если данные передаются партнёрам, рекламным системам, платёжным шлюзам
Трансграничная передача — если данные обрабатываются на серверах за рубежом

Частая ошибка

Скачанный из интернета шаблон без замены реквизитов — это нарушение. В политике должны быть ваши данные: ваше ИНН, ваш адрес, ваши контакты. РКН при проверке смотрит на содержание, а не только на наличие страницы.

Согласие на обработку персональных данных

С 1 сентября 2025 года ФЗ-156 ввёл новые требования: согласие на обработку персональных данных должно быть явным и информированным. Это означает:

Предзаполненный чекбокс (уже отмеченный галочкой) не считается согласием
Пользователь должен самостоятельно поставить галочку
Ссылка на политику конфиденциальности — рядом с чекбоксом
Для отдельных категорий данных (биометрия, спецкатегории) — отдельное согласие

Если на вашем сайте несколько форм (обратная связь, подписка, оформление заказа) — согласие нужно в каждой форме.

Политика использования cookie (ФЗ-156)

До 2025 года достаточно было уведомить пользователей о cookie. ФЗ-156 (вступил в силу 1 сентября 2025) изменил правила:

Пользователь должен иметь возможность отклонить нефункциональные cookie
Аналитические трекеры (Яндекс Метрика, Google Analytics) — требуют согласия
Рекламные пиксели (ВКонтакте, Facebook) — требуют отдельного согласия
Технические cookie (корзина, авторизация) — можно использовать без согласия

Как это выглядит на практике

Баннер при первом визите с двумя кнопками: «Принять все» и «Только необходимые». Если пользователь нажимает «Только необходимые» — аналитика и реклама не должны загружаться. Это требует технической интеграции баннера с кодом трекеров.

Уведомление в Роскомнадзор

Уведомление в РКН — не документ на сайте, а регистрационное действие. Вы подаёте уведомление один раз через портал pd.rkn.gov.ru и получаете регистрационный номер оператора персональных данных.

Подавать уведомление обязаны все операторы ПДн, кроме нескольких узких исключений (обработка данных исключительно для трудовых отношений без передачи третьим лицам, обработка данных без использования средств автоматизации). На практике любой сайт с формой попадает под обязательство подачи уведомления.

Штраф за отсутствие уведомления — до 100 000 руб. для ИП и организаций.

Типичные ошибки на сайтах

Ошибка	Последствие
Политика конфиденциальности не обновлялась после 2023 года	Нарушение — не учтены ФЗ-23, ФЗ-420, ФЗ-156
Предзаполненный чекбокс согласия	Нарушение ФЗ-156 — согласие должно быть добровольным
Политика без реквизитов оператора (имя, ИНН)	Нарушение ст. 18.1 — должны быть данные реального оператора
Cookie-баннер без кнопки отказа	Нарушение ФЗ-156 с 01.09.2025
Нет уведомления в РКН	Штраф до 100 000 руб.
Политика есть, но нет ссылки в форме	Согласие без ссылки на политику недействительно

Как проверить свой сайт

Сканер сайта Privadoc работает по freemium-модели: базовая проверка без оплаты, полный отчёт платно. Автоматически проверяет:

Наличие и доступность политики конфиденциальности
Корректность форм согласия
SSL-сертификат и заголовки безопасности
Наличие cookie-трекеров
WHOIS данные домена

Базовая проверка без оплаты показывает критические нарушения. Полный аудит-отчёт (390 руб.) — перечень всех нарушений с конкретными инструкциями по устранению.

Получите все документы за 10 минут

Политика конфиденциальности, согласие, политика cookie и уведомление в РКН — с вашими реквизитами, в редактируемом формате, сразу после оплаты.

Оформить документы — от 590 ₽

Часто задаваемые вопросы

Для любого сайта с формой сбора данных: политика конфиденциальности (на отдельной странице), согласие на обработку ПДн (в каждой форме), политика cookie (баннер с выбором) и уведомление в РКН (регистрация через pd.rkn.gov.ru). Минимальный пакет для сайта закрывают три документа от Privadoc — от 590 руб.

Да. Если на лендинге есть форма сбора данных (имя, email, телефон) — политика конфиденциальности обязательна по ст. 18.1 152-ФЗ. Исключений для одностраничных сайтов нет. Роскомнадзор проверяет в том числе лендинги.

Нет. Скачанный шаблон без замены реквизитов — нарушение. В политике обязательно должны быть ваши данные: ИНН, наименование, адрес, контакты, конкретные категории данных которые вы обрабатываете, и цели обработки. Privadoc генерирует политику с вашими реквизитами автоматически.

Три закона: ФЗ-23 (июль 2025) — требования к локализации, ФЗ-420 (май 2025) — увеличение штрафов, ФЗ-156 (сентябрь 2025) — требование явного согласия на cookie-трекеры. Теперь недостаточно показать уведомление о cookie — пользователь должен иметь возможность отказаться от нефункциональных трекеров.

Автор: действующий архитектор кибербезопасности и систем защиты персональных данных. Создатель сервиса Privadoc. 17 лет в кибербезопасности · Специализация: эксперт в кибербезопасности, проектирование СЗПДн, защита персональных данных · Privadoc