Коротко (TL;DR)
152‑ФЗ — федеральный закон о персональных данных. Если ваш сайт собирает имя, телефон, email, IP, куки или другие идентификаторы — вы оператор персональных данных и обязаны соблюдать требования закона. В 2025 году требования ужесточены: локализация первичного сбора и повышенные санкции.
В этом руководстве вы найдёте: что и как проверять, как работать с трансграничной передачей и зарубежными почтовыми сервисами (например Gmail), почему cookie‑баннер критичен, какие штрафы возможны и пошаговый план работ.
1. Что такое 152‑ФЗ и почему он важен (простыми словами)
152‑ФЗ регулирует порядок сбора, хранения и обработки персональных данных граждан РФ. Цель — защита прав субъектов данных. Если ваш сайт сохраняет или обрабатывает данные, вы должны иметь правовое основание для этого и информировать пользователя.
2. Что изменилось в 2025 году — главное
- Локализация первичного сбора. Данные россиян при первичном сборе нельзя записывать в зарубежные базы (есть исключения).
- Ужесточение штрафов. Ответственность за несоблюдение выросла: больше сумм и рисков.
- Повышенное внимание к cookie и трекерам. Аналитические и маркетинговые cookie требуют явного согласия.
3. Какие операции на сайте считаются обработкой персональных данных
К персональным данным относятся не только ФИО и телефоны, но и IP, идентификаторы куки и другие технические маркеры. Операции — сбор, запись, хранение, обработка, передача.
- Формы заказа / подписки
- Аналитика через сторонние сервисы
- Виджеты чата, соцсети, карты
- Платёжные формы и CRM
4. Быстрый чек‑лист для аудита сайта
- Политика конфиденциальности: есть и актуальна ли?
- Формы: куда данные отправляются и где хранятся?
- Внешние скрипты: какой домен получает данные при первом заходе?
- Cookie‑баннер: даёт ли он явный выбор и откладывает загрузку аналитики?
- Хостинг и БД: серверы РФ или нет?
- Почта: используются ли зарубежные почтовые ящики (Gmail и т.п.) для хранения ПДн?
- Процесс реакции на инциденты: готов ли вы уведомить РКН и пользователей?
5. Таблица: что проверяем и почему
| Элемент | Что ищем | Почему это важно |
|---|---|---|
| Политика конфиденциальности | Описание целей, список ПДн, способы передачи | Закон требует информировать субъектов данных |
| Формы и CRM | Куда отправляются данные, где хранятся | Первичный сбор в зарубежные БД — риск нарушения |
| Почтовые ящики | Используются ли Gmail/Outlook и где хранятся письма | Почта часто содержит ПДн; хранение за рубежом может считаться трансграничной передачей |
| Cookie и аналитика | Категории cookie, срок, согласие | Некоторые cookie — ПДн; нужна явная согласие |
| Внешние скрипты | Список доменов и API | Могут отправлять данные за рубеж |
| Хостинг/БД | География хранения | Локализация влияет на правомерность первичного сбора |
| Уведомления РКН | Есть ли запись в реестре | Отсутствие — риск штрафа |
6. Что такое трансграничная передача и почему её ограничивают
Трансграничная передача — передача персональных данных за пределы РФ. В 2025 году для первичного сбора требования ужесточены: важно не допускать первичную запись россиян в зарубежные базы без оснований.
7. Убираем трансграничную передачу — какие преимущества
- Юридическая безопасность. Меньше рисков штрафов и претензий.
- Скорость сайта. Меньше внешних запросов — быстрее загрузка.
- SEO. Улучшаются поведенческие факторы и позиции в выдаче.
- Безопасность. Меньше сторонних сервисов, значит меньше поверхностей для утечки.
8. Сервисы, создающие риск трансграничной передачи
Чаще всего это:
- Google Analytics / GTM / reCAPTCHA
- Facebook / Meta Pixel
- Виджеты чата (Intercom, Zendesk и др.)
- Зарубежные CRM и сервисы рассылок (Mailchimp, HubSpot)
- Зарубежные почтовые сервисы (Gmail, Outlook) — подробнее ниже
9. Почта (Gmail, Outlook и другие) — почему это важно
Почтовые ящики часто являются «тайником» персональных данных: туда приходят заявки, резюме, сканы документов, персональные контакты и переписка с клиентами. Если вы используете почту в зарубежном сервисе (Gmail, Outlook.com и др.), письма и вложения физических лиц могут храниться на серверах за рубежом — это потенциальная трансграничная передача ПДн.
Риски использования Gmail/Outlook для хранения ПДн
- Первичный сбор и хранение. Если заявка с сайта поступает сразу на Gmail и хранится там, это рассматривается как первичный сбор/хранение за рубежом.
- Юридические риски. В случае проверок такой подход может быть квалифицирован как нарушение локализации данных.
- Контроль и доступ. Вы не контролируете физическую географию хранения и доступ третьих лиц.
- Утечки и политика провайдера. Процедуры доступа правоохранительных органов/организаций за границей отличаются и могут повлиять на безопасность данных.
Практические рекомендации по почте
- Не храните первичные заявки в зарубежных ящиках. Делайте так, чтобы заявки сначала записывались в вашу БД/CRM на сервере в РФ, а уже затем рассылались (копии или уведомления) на внешние ящики.
- Используйте почту на домене с хостингом в РФ. Почтовые сервисы, размещённые в РФ (или корпоративная почта через российский хостинг), минимизируют риск ТПД.
- Шифрование и DLP. Настройте шифрование на уровне транспорта (TLS) и при необходимости шифрование вложений/архивов. Внедрите правила DLP (Data Loss Prevention) — не отправлять сканы документов на внешние адреса без контроля.
- Proxy/forwarding с фильтрацией. Если вам нужно пересылать уведомления на Gmail (например, для менеджеров), настройте пересылку так, чтобы в почту приходила только уведомление (без ПДн) или краткая информация: «Новый лид — проверь CRM» вместо полного payload.
- Логирование и доступ. Ведите журнал доступа к почтовым ящикам и ограничьте круг лиц, имеющих доступ к PII в письмах.
- Двухфакторная аутентификация (2FA). Обязательно включите 2FA для всех почтовых аккаунтов, которые имеют доступ к PII.
- Политика хранения. Установите правила удаления писем с ПДн через определённый срок или экспортируйте и храните в защищённой базе на территории РФ.
Пример архитектуры обработки формы (без первичного ТПД)
1) Пользователь отправляет форму на сайте
2) Сервер сайта (в РФ) принимает данные и сохраняет в БД/CRM (сервер в РФ)
3) Система отправляет уведомление менеджеру: "Новая заявка №123" (без личных данных) на почту Gmail
4) Менеджер логинится в CRM (в РФ) и видит все данные, не обмениваясь письмами с PII
Рекомендации по текстам согласия (email)
Я даю согласие на обработку моих персональных данных (имя, телефон, email) для связи со мной и обработки запроса. Данные будут храниться на серверах в РФ. Отозвать согласие можно, написав на info@вашдомен.ru10. Как сократить трансграничную передачу — пошагово
- Инвентаризируйте внешние запросы (DevTools, Network).
- Определите, где происходит первичный сбор — перенесите запись в РФ.
- Используйте proxy/server-side для интеграций с зарубежными сервисами.
- Отложенная загрузка скриптов до согласия (consent‑based loading).
- Хостинг/шрифты/статические файлы — на отечественном CDN или на своём сервере.
12. Пример реализации простого cookie‑баннера (минималка)
<!-- Простой баннер (упрощённый) -->
<div id="cookie-banner" style="position:fixed;bottom:0;left:0;right:0;padding:16px;background:#222;color:#fff;z-index:9999;">
<div style="max-width:1000px;margin:0 auto;display:flex;gap:12px;align-items:center;justify-content:space-between;">
<div>Мы используем cookie для работы сайта и аналитики. <a href="/privacy" style="color:#ffd700">Подробнее</a></div>
<div>
<button id="cookie-decline">Отклонить</button>
<button id="cookie-accept">Принять</button>
<button id="cookie-settings">Настроить</button>
</div>
</div>
</div>
<script>
document.getElementById('cookie-accept').onclick = function(){
localStorage.setItem('cookies_accepted','analytics,marketing');
loadAnalytics();
document.getElementById('cookie-banner').style.display='none';
};
document.getElementById('cookie-decline').onclick = function(){
localStorage.setItem('cookies_accepted','essential');
document.getElementById('cookie-banner').style.display='none';
};
function loadAnalytics(){
// Динамическая загрузка аналитики после согласия
}
</script>13. Примеры санкций и ориентиры по штрафам (2025)
Приведены ориентировочно — для точных сумм смотрите официальные акты и консультируйтесь с юристом.
| Нарушение | Тип субъекта | Ориентир штрафа (₽) |
|---|---|---|
| Отсутствие или неправильное уведомление в реестре РКН | Компания / ИП | 100 000 — 300 000 |
| Несвоевременное уведомление об утечке | Компания | сотни тысяч — миллионы |
| Обработка ПДн без правового основания | Юридические лица | сотни тысяч — миллионы |
| Нарушение требований локализации первичного сбора | Компания | существенные санкции, вплоть до блокировки |
14. Мини‑шаблон раздела Политики конфиденциальности (ключевые блоки)
- Наименование оператора и контакты.
- Перечень собираемых данных.
- Цели обработки и правовые основания.
- Сроки хранения и порядок уничтожения.
- Информация о трансграничной передаче.
- Порядок отзыва согласия и контакты.
15. Roadmap — план работ на 30/60/90 дней
До 30 дней
- Инвентаризация внешних скриптов и форм.
- Внедрение cookie‑баннера с возможностью отказа.
- Добавление чекбоксов в формы.
30–60 дней
- Перевод первичного сбора в РФ (proxy/server).
- Замена/самохостинг шрифтов и статичных файлов.
- Обновление политики конфиденциальности.
60–90 дней
- Внедрение server‑side analytics / отечественной аналитики.
- Регламенты и обучение сотрудников.
- Тестирование инцидент‑плана.
16. FAQ — ответы на часто задаваемые вопросы
Нужно ли уведомлять РКН сейчас?
Если вы являетесь оператором ПДн — проверьте наличие записи в реестре. При отсутствии — подготовьте уведомление.
Обязательно ли убирать Google Analytics?
Не обязательно, но лучше не загружать его до согласия или использовать server‑side/ российские аналоги.
17. Итог — первые пять шагов прямо сейчас
- Инвентаризируйте внешние запросы и формы.
- Включите cookie‑баннер и отложите загрузку аналитики до согласия.
- Добавьте чекбоксы в формы и обновите Политику конфиденциальности.
- Проверьте, зарегистрированы ли вы как оператор в РКН.
- Спланируйте перевод первичного сбора в РФ в течение 60 дней.
Если нужно — мы можем подготовить готовую Политику конфиденциальности под ваш сайт, сделать аудит внешних скриптов и составить план миграции аналитики. Свяжитесь с нами через форму на сайте.
