152-ФЗ · Аудит безопасности

Проверьте сайт на соответствие 152-ФЗ

Профессиональный аудит вашего сайта на соблюдение требований закона «О персональных данных». Находим нарушения, готовим отчёт с инструкциями по устранению — чтобы ваш бизнес был защищён от штрафов и блокировок.

Заказать аудит Что входит в аудит

Федеральный закон

152-ФЗ «О персональных данных»

⚠ Штрафы за нарушения

до 6 000 000 ₽

За повторные нарушения, помимо штрафов — блокировка сайта по решению Роскомнадзора

Блокировка сайта Роскомнадзором без суда
Штрафы от 15 000 до 6 000 000 ₽
Уголовная ответственность при утечке
Потеря доверия клиентов и репутации

39+ Сайтов проверено на соответствие 152-ФЗ

99% Клиентов проходят проверку Роскомнадзора

от 3 дн. Срок проведения полного аудита

0 ₽ Штрафов у наших клиентов за последний год

Риски

Что происходит, если сайт не соответствует 152-ФЗ

Роскомнадзор активно проверяет сайты. Большинство нарушений обнаруживается по жалобам пользователей. Вот с чем сталкиваются те, кто игнорирует закон.

Штраф до 6 млн рублей

Ст. 13.11 КоАП РФ: от 15 000 ₽ за первоое нарушение до 6 000 000 ₽ за повторное. Для малого бизнеса это может быть фатально — один штраф убивает всю маржинальность.

Блокировка сайта

Роскомнадзор вправе заблокировать сайт без суда, если оператор не реагирует на предписания. Восстановление занимает от нескольких дней до нескольких месяцев. Всё это время бизнес теряет клиентов.

Уголовная ответственность

Если утечка персональных данных повлекла причинение вреда (материальный ущерб, мошенничество с данными) — ст. 137 УК РФ. Наказание: штраф до 1,5 млн или лишение свободы до 4 лет.

Что проверяем

Что входит в аудит 152-ФЗ

Мы проверяем каждый аспект вашего сайта, связанный со сбором, хранением и обработкой персональных данных. Ниже — полный чек-лист.

Формы и сбор данных

Проверка всех форм обратной связи на наличие согласия на обработку ПДн

Анализ полей форм: какие данные собираются, есть ли обоснование для сбора

Наличие чекбокса «Согласен на обработку персональных данных» перед отправкой

Проверка форм подписки на рассылку: double opt-in, право на отписку

Документация и политики

Наличие и корректность Политики конфиденциальности

Публикация Политики обработки персональных данных оператора

Наличие Пользовательского соглаения с условиями обработки данных

Проверка уведомления Роскомнадзора о обработке ПДн (при необходимости)

Куки-файлы и трекинг

Наличие баннера согласия на использование cookie-файлов

Возможность отказа от необходимых cookie без ущерба для функционала

Анализ аналитических скриптов (Яндекс.Метрика, Google Analytics) на установку cookie

Передача данных третьим лицам

Проверка интеграций с CRM, рассыльщиками, платёжными системами

Наличие договоров поручения на обработку ПДн с подрядчиками

Проверка условий передачи данных за рубеж (GDPR-кросс-референс)

Техническая защита

Наличие SSL/TLS-шифрования (HTTPS) на всех страницах

Проверка шифрования паролей и чувствительных данных в базе

Анализ механизмов контроля доступа к данным на сервере

Проверка наличия журнала событий (логов) доступа к ПДн

SSL/TLS шифрование Найдено

Согласие в формах Нарушение

Политика конфиденциальности Отсутствует

Cookie-баннер Частично

Передача данных 3 лицам Без договора

Шифрование БД Найдено

Уведомление РКН Не подано

Журнал доступа Не настроен

Процесс

Как проходит аудит

Прозрачный и понятный процесс — вы точно знаете, что получите и когда.

Заявка и бриф

Вы оставляете заявку, мы уточняем детали: платформу, объём данных, интеграции.

День 1

Сбор данных

Получаем доступ к сайту, документации, политикам. Анализируем архитектуру обработки данных.

День 1–2

Проверка

Детальный аудит всех пунктов: формы, политики, cookie, техническая защита, передача данных.

День 2–4

Отчёт

Подробный документ: каждое нарушение, его критичность и пошаговая инструкция по устранению.

День 4–5

Устранение

Помогаем закрыть все нарушения или контролируем вашу команду. Финальная проверка после исправлений.

День 5–10

Результат

Что вы получите по итогам аудита

Полный набор документов и рекомендаций, чтобы ваш сайт стал полностью «чистым» перед 152-ФЗ.

Отчёт с нарушениями

Документ с полным списком найденных нарушений, сгруппированных по категориям: документация, формы, техническая защита, cookie, передача данных. Каждое нарушение снабжено ссылкой на конкретную статью закона.

Инструкция по устранению

Пошаговый план действий для каждого нарушения: что сделать, кто должен сделать, какой результат ожидается. Приоритизация по критичности — что исправить немедленно, что допустимо позже.

Сертификат соответствия

После устранения всех нарушений вы получаете заключение о соответствии вашего сайта требованиям 152-ФЗ. Этот документ можно предъявить при проверке Роскомнадзора как доказательство добросовестности.

Для кого

Кому нужен аудит 152-ФЗ

Если ваш сайт собирает хотя бы имя и email — закон к вам уже применим. Вот кто под наибольшим риском.

Интернет-магазины

Формы заказа, доставки, оплаты — все собирают ФИО, адреса, телефоны. У каждой формы должно быть согласие на обработку.

Лендинги с формами

Любая форма захвата лидов — от заявки на звонок до калькулятора — это сбор ПДн. Без согласия и политики — нарушение.

SaaS и онлайн-сервисы

Регистрация, авторизация, платёжные данные — объём ПДн огромный. Особое внимание — хранение и шифрование.

Финтех и микрофинансирование

Двойное регулирование: 152-ФЗ + требования ЦБ. Лицензирование невозможно без соответствия стандартам ИБ.

Медицинские сайты

Данные о здоровье — особая категория ПДн. Требования усилены: шифрование, доступ по ролям, аудит.

Корпоративные порталы

Данные сотрудников, кандидатов, партнёров. Внутренние системы часто забывают про 152-ФЗ, хотя он применим.

Обязан ли я получать согласие на обработку персональных данных?

Да, абсолютно. Ст. 6 ч. 1 п. 5 152-ФЗ требует получения письменного согласия субъекта ПДн на обработку его персональных данных. Это касается любых форм на сайте: обратной связи, заказа, подписки, регистрации. Согласие должно быть конкретным, информированным и сознательным — то есть пользователь должен точно знать, какие данные вы собираете и зачем.

Требуется ли уведомление Роскомнадзора о обработке ПДн?

В большинстве случаев — да. Оператор обязан уведомить Роскомнадзор до начала обработки ПДн. Исключение — если данные обрабатываются для своих сотрудников и не передаются третьим лицам (за исключением обязательных по закону). Мы поможем определить, нужно ли вам уведомление, и при необходимости подготовим и подадим его.

Что считается персональными данными по 152-ФЗ?

Любая информация, относящаяся к определённому физическому лицу. Это не только ФИО, паспорт, СНИЛС. Сюда входят: email, телефон, IP-адрес, cookie-файлы (если они позволяют идентифицировать пользователя), данные о местоположении, история посещений, фото, видеозаписи. Даже если у вас есть только форма с именем и email — это уже ПДн.

Мой сайт на Tilda / WordPress / Bitrix — нужен ли аудит?

Да, однозначно. Платформа не снимает ответственности с владельца сайта. Вы являетесь оператором ПДн и отвечаете за соблюдение закона. Конкретные проблемы зависят от платформы: у Tilda свои особенности с cookie и формами, у WordPress — с плагинами, у Bitrix — с интеграциями. Мы знаем особенности каждой платформы.

Как долго занимает аудит и сколько он стоит?

Базовый аудит — от 3 рабочих дней, стоимость от 15 000 ₽. Полный аудит с пентестингом технической защиты — до 14 дней, от 80 000 ₽. Помесячная защита с непрерывным мониторингом — от 45 000 ₽/мес. Точная стоимость зависит от объёма сайта, количества форм, интеграций и категорий обрабатываемых данных.

Что такое «zonakz.ru» и зачем подавать уведомление именно туда?

zakaz.gov.ru (не zonakz.ru) — официальный портал для подачи уведомлений об обработке ПДн в Роскомнадзор. С 2022 года уведомления подаются исключительно через этот портал в электронном виде. Мы поможем заполнить форму, подготовить необходимые документы и подать уведомление правильно — с первой попытки.

Какие штрафы за отсутствие политики конфиденциальности?

Отсутствие Политики конфиденциальности — это нарушение ст. 13.11 КоАП РФ. Штраф: от 15 000 до 60 000 ₽ для ИП, от 30 000 до 150 000 ₽ для юрлиц. При повторном нарушении — от 300 000 до 6 000 000 ₽. Причём штраф назначается за каждый вид нарушения отдельно: отсутствие политики + отсутствие согласия + нарушение технической защиты = три отдельных штрафа.

Вы только консультируете или помогаете исправить нарушения?

Полный цикл: от аудита до устранения. Мы не только находим проблемы, но и помогаем их закрыть: готовим документы, настраиваем формы, внедряем cookie-баннеры, подаём уведомления в Роскомнадзор. После исправлений проводим повторную проверку и выдаём заключение о соответствии.

Не ждите проверки Роскомнадзора — проверьте себя сами

Закажите бесплатную предварительную оценку — мы по телефону определим, есть ли риски на вашем сайте. Без обязательств, конфиденциально.

Бесплатная 15‑минутная консультация
Первичная оценка рисков по телефону
Ответы на все вопросы по 152-ФЗ
Рекомендации по первым шагам

Заявка на аудит 152-ФЗ

Заполните форму — перезвоним в течение часа