ТОП-10 ошибок по 152‑ФЗ на сайтах в 2025

1) Нет актуальной политики конфиденциальности

Документ отсутствует или не отражает фактическую обработку (новые формы, подрядчики, трекеры).

2) Нет корректного согласия в формах

Согласие отсутствует, предзаполнено или смешано с другими целями.

3) Согласия не разделены по целям

Один чекбокс сразу на обработку заявки и на маркетинг.

4) Cookie-баннер есть, но не управляет скриптами

Визуально баннер показан, но аналитика/маркетинг запускаются до выбора пользователя.

5) Нет процесса по правам субъекта ПД

Не определены канал, сроки и ответственные по обращениям.

6) Не контролируются сроки хранения и удаления

Данные хранятся «пока не удалим вручную», без регламента и фактического исполнения.

7) Трансграничная передача описана как «техническая деталь»

Это не «усложнение compliance», а самостоятельная зона ответственности.
С 2023 года нарушение правил трансграничной передачи выделено в отдельный риск по КоАП, и для юрлиц штраф может достигать 500 тыс. ₽, а в отдельных сценариях — до 1 млн ₽.

8) Уведомление в РКН воспринимается как опциональное

Формулировка «в части сценариев» часто вводит в заблуждение.
На практике большинство сайтов должны уведомлять, а исключения (ч. 2 ст. 22 152‑ФЗ) сравнительно редки.

9) Нет договора поручения обработки с внешними сервисами

Передача данных в CRM, рассылку, облако, коллтрекинг, чат-виджеты без оформленного поручения обработки (ст. 6 152‑ФЗ) — частая и критичная ошибка.

10) Нет плана уведомления об утечке

После инцидента команда не знает, кто и как уведомляет РКН.
А обязанность наступает быстро: 24 часа на первичное уведомление и 72 часа на результаты расследования.

Что сделать в первую очередь

1. Зафиксировать статус уведомления в РКН.
2. Проверить загрузку скриптов до/после согласия.
3. Провести инвентаризацию подрядчиков и договоров поручения.
4. Внедрить регламент по обращениям субъектов (30 дней / 10 рабочих дней).
5. Подготовить процедуру реагирования на утечки (24/72).