152-ФЗ

152-ФЗ (Федеральный закон «О персональных данных») - основополагающий российский закон, регулирующий сбор, обработку, хранение и защиту персональных данных граждан Российской Федерации. Принят 27 июля 2006 года, вступил в силу 26 января 2007 года.

Для интернет-маркетинга 152-ФЗ имеет ключевое значение, поскольку практически любая маркетинговая деятельность связана со сбором данных пользователей: email-адреса для рассылок, номера телефонов для звонков, файлы cookie для аналитики, данные в CRM-системах. Нарушение требований закона может привести к крупным штрафам, блокировке сайта и, в отдельных случаях, к уголовной ответственности. Изложенные ниже требования актуальны с учётом последних изменений, вступивших в силу в 2025 году.

Федеральный закон № 152-ФЗ «О персональных данных» был принят Государственной Думой 8 июля 2006 года и одобрен Советом Федерации 14 июля 2006 года. Президент РФ подписал закон 27 июля 2006 года. Закон вступил в силу по истечении 180 дней после официального опубликования - 26 января 2007 года.

Цель закона - обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

За годы действия закон многократно дополнялся и ужесточался. Наиболее существенные изменения, касающиеся размера штрафов и требований к операторам, вступили в силу 30 мая 2025 года.

Закон вводит несколько ключевых определений, необходимых для понимания его требований.

Персональные данные - любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Это максимально широкая формулировка, которая может включать практически любые сведения о человеке: от имени и телефона до IP-адреса и истории покупок.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных и действия с ними. В контексте маркетинга оператором является компания или индивидуальный предприниматель, владеющий сайтом или пользующийся CRM.

Обработка - любое действие (операция) или совокупность действий с персональными данными, совершаемых с использованием средств автоматизации или без их использования. К обработке относятся сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение.

Передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или юридическому лицу.

Особо чувствительные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Их обработка по общему правилу запрещена, за исключением случаев, прямо предусмотренных законом.

Закон устанавливает ряд обязательных требований к операторам персональных данных.

Обработка персональных данных допускается только с согласия субъекта. Согласие должно быть:

• Конкретным
• Информированным
• Сознательным
• Однозначным

Согласие может быть дано в любой форме, позволяющей подтвердить факт его получения. Для интернет-сайтов это означает необходимость реализации активных действий со стороны пользователя. Предустановленные отметки (галочки, проставленные по умолчанию) не соответствуют требованию сознательности и однозначности.

Согласие должно содержать:

• Фамилию, имя, отчество субъекта или его представителя
• Адрес электронной почты или почтовый адрес
• Наименование оператора, получающего согласие
• Цель обработки персональных данных
• Перечень персональных данных, на обработку которых даётся согласие
• Перечень действий с персональными данными
• Срок, в течение которого действует согласие
• Способ отзыва согласия

На практике для типовых маркетинговых задач, таких как сбор email для рассылки, допустимо краткое согласие, если в политике конфиденциальности детально раскрыты все перечисленные пункты.

До начала обработки персональных данных оператор обязан уведомить Роскомнадзор о своём намерении осуществлять обработку. Исключения составляют случаи, когда:

• Данные обрабатываются исключительно в соответствии с трудовым законодательством
• Данные получены в связи с заключением договора и используются только для исполнения этого договора (например, для доставки товара), а также для продвижения товаров, работ, услуг путём осуществления прямых контактов с потенциальным потребителем (при наличии отдельного согласия)
• Данные обрабатываются для однократного пропуска на территорию
• Иные исключения, предусмотренные законом

Для большинства компаний, использующих маркетинговые базы для рассылок, уведомление является обязательным.

С 2015 года действует требование о локализации персональных данных. При сборе персональных данных граждан РФ, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

Это требование касается всех компаний, работающих с данными российских граждан, включая иностранные интернет-платформы. Для маркетолога это означает, что использование зарубежных CRM или сервисов рассылок допустимо только при условии дублирования и первичного хранения данных на серверах в РФ.

Персональные данные должны храниться не дольше, чем этого требуют цели обработки. По достижении целей обработки или в случае утраты необходимости в их достижении данные подлежат уничтожению или обезличиванию. Например, данные участника разового конкурса после его завершения и подведения итогов должны быть удалены.

Оператор обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения. К таким мерам относятся назначение ответственного за обработку, использование антивирусов, разграничение доступа сотрудников к базам данных.

Для специалистов по интернет-маркетингу 152-ФЗ определяет правила работы с данными пользователей.

Если на сайте присутствуют:

• Формы обратной связи, заказа, подписки
• Кнопки «Поделиться» или виджеты социальных сетей
• Счётчики аналитики (Яндекс.Метрика, Google Analytics)
• Любые скрипты, собирающие информацию о пользователях (пиксели соцсетей, чаты)

- всё это подпадает под действие закона, так как предполагает обработку данных (включая IP-адреса, которые часто признаются персональными данными).

На сайте должно быть явно выраженное согласие пользователя на обработку его персональных данных. На практике это реализуется через чекбокс в форме с текстом примерно такого содержания:

«Я даю согласие на обработку моих персональных данных в соответствии с политикой конфиденциальности».

Чекбокс не должен быть отмечен по умолчанию - пользователь должен поставить галочку самостоятельно. Отдельное согласие требуется для каждой цели обработки (например, отдельно для оформления заказа и отдельно для подписки на новости).

На сайте обязательно должна быть страница с политикой конфиденциальности (политикой обработки персональных данных), где подробно описано:

• Какие данные собираются и с какой целью
• На каком основании происходит обработка
• Кто имеет к ним доступ (передаются ли данные третьим лицам, например, сервисам доставки или платежным системам)
• Как субъект данных может их удалить или отозвать согласие
• Сроки хранения данных

Политика должна быть доступна по прямой ссылке из интерфейса сбора данных (например, рядом с чекбоксом).

Практически все сайты используют файлы cookie. Хотя прямого требования в 152-ФЗ о баннере с согласием на все типы cookie нет, Роскомнадзор рекомендует информировать пользователей об их использовании. Для cookie, которые позволяют идентифицировать пользователя в маркетинговых целях (например, рекламные пиксели), получение согласия обязательно. Стандартная практика - использование баннера с возможностью согласиться или отказаться от необязательных (маркетинговых) cookie.

Для email-маркетинга критически важно соблюдение следующих правил:

• Получение явного и подтверждённого согласия на получение рассылок (double opt-in является лучшей практикой, хотя закон требует только подтвердимость согласия).
• Хранение доказательств получения согласия: дата, время, IP-адрес, текст согласия, версия политики на тот момент.
• Наличие простого и понятного способа отписаться от рассылки в каждом письме.
• Запрет на использование купленных или арендованных баз адресов - согласие должно быть получено от конкретного лица для конкретного оператора.

При использовании внешних сервисов (CRM, платформ рассылок, систем аналитики, коллтрекинга) необходимо:

• Убедиться, что они обеспечивают необходимый уровень защиты данных (наличие физических серверов в РФ для хранения данных российских пользователей).
• Заключить с ними договоры, содержащие условия о конфиденциальности и обязанности по защите персональных данных.

За нарушение требований 152-ФЗ предусмотрена административная, уголовная и гражданско-правовая ответственность.

Размеры штрафов для юридических лиц после изменений 2025 года:

Нарушение	Штраф для юрлиц (руб.)
Обработка персональных данных без согласия	до 300 000
Невыполнение требований по локализации данных	до 6 000 000
Непредоставление информации Роскомнадзору или предоставление неполных сведений	до 40 000
Разглашение персональных данных	до 50 000
Повторное нарушение требований по локализации	до 18 000 000

За незаконный сбор или распространение персональных данных, особенно с использованием служебного положения или в отношении несовершеннолетних, предусмотрена уголовная ответственность по статье 137 УК РФ (вплоть до лишения свободы).

Роскомнадзор имеет право требовать блокировки сайтов, систематически нарушающих требования закона. В отношении иностранных компаний, работающих с данными россиян, применяются меры принуждения, включая замедление трафика и полную блокировку.

Субъекты персональных данных могут обращаться в суд с исками о компенсации морального вреда, причинённого нарушением их прав. Размер компенсации определяется судом.

Для соблюдения требований 152-ФЗ рекомендуется следующий минимальный набор действий:

1. Разработать и опубликовать политику конфиденциальности. Документ должен быть доступен по прямой ссылке.
2. Настроить корректный сбор согласий во всех формах на сайте: активный чекбокс с текстом о согласии и ссылкой на политику.
3. Внедрить cookie-баннер с разделением на обязательные (технические) и необязательные (маркетинговые, аналитические) cookie и возможностью выбора.
4. Проверить договоры с подрядчиками (сервисы рассылок, CRM, аналитика, коллтрекинг) на предмет соответствия требованиям 152-ФЗ и наличия условий о локализации данных.
5. Назначить ответственного за обработку персональных данных. В небольшой компании это может быть отдельный сотрудник или внешний специалист по договору.
6. Направить уведомление в Роскомнадзор, если деятельность компании не подпадает под исключения.
7. Обеспечить техническую возможность локализации данных. При использовании иностранных сервисов убедиться, что данные российских пользователей хранятся на серверах в РФ.
8. Фиксировать и хранить согласия. Вести журнал учета согласий (дата, время, IP, текст согласия).
9. Регулярно актуализировать документы и процедуры в соответствии с изменениями в законодательстве (не реже одного раза в год).

• Персональные данные
• GDPR
• Cookie
• Политика конфиденциальности
• Согласие на обработку
• Роскомнадзор
• Локализация данных
• Email-маркетинг
• CRM