# Правовой справочник: 152-ФЗ для аудита веб-приложений

**Редакция:** от 24.06.2025 (актуальная)
**Назначение:** Используется на ЭТАПЕ 5 аудита для правовой квалификации нарушений.
**Как применять:** Для каждого нарушения из отчёта — указать статью, часть, пункт и санкцию из КоАП.

---

## СТ. 3 — Ключевые определения

- **Персональные данные** — любая информация, относящаяся к прямо _или косвенно_ определяемому физическому лицу. Сюда входят: IP-адреса, cookies, поведенческие данные — если позволяют идентифицировать пользователя.
- **Оператор** — юридическое или физическое лицо, организующее обработку ПДн и определяющее её цели.
- **Обработка** — любое действие с ПДн: сбор, запись, хранение, передача, удаление и т.д.
- **Трансграничная передача** — передача ПДн на территорию иностранного государства иностранным лицам или организациям.

---

## СТ. 5 — Принципы обработки (нарушение = риск по любой форме)

Ключевые принципы для веб-аудита:

- **Ч. 2:** Цели обработки должны быть конкретными и заранее определёнными. Нельзя собирать данные "про запас".
- **Ч. 4-5:** Обрабатываются только данные, нужные для заявленной цели. Избыточный сбор — нарушение.
- **Ч. 7:** Хранить ПДн можно не дольше, чем требуют цели обработки. После — уничтожить или обезличить.

---

## СТ. 6 — Правовые основания обработки (обязателен хотя бы один)

Для веб-приложений актуальны:

- **П. 1 ч. 1:** Согласие субъекта ← основной вариант для большинства сайтов
- **П. 5 ч. 1:** Исполнение договора, стороной которого является субъект ← для интернет-магазинов, сервисов с аккаунтами
- **П. 7 ч. 1:** Законный интерес оператора или третьих лиц ← при условии, что не нарушаются права субъекта

> ⚠️ **Важно:** Если ни одно из оснований не применимо — обработка незаконна.

**Ч. 3:** Оператор может поручить обработку третьему лицу (подрядчику, сервису) только с согласия субъекта и на основании договора. Ответственность перед субъектом несёт оператор.

---

## СТ. 9 — Требования к согласию

**Ч. 1:** Согласие должно быть:

- конкретным, предметным, информированным, сознательным и **однозначным**
- оформлено **отдельно** от других документов/чекбоксов
- молчание, бездействие, предзаполненный чекбокс = **не согласие**
- **не может быть получено через принятие оферты или пользовательского соглашения** — это явно закреплено в редакции от 24.06.2025. Формулировки вида «нажимая кнопку, вы соглашаетесь с условиями и даёте согласие на обработку ПДн» — **нарушение**.

**Ч. 2:** Субъект вправе отозвать согласие в любой момент.

**Ч. 3:** Бремя доказательства получения согласия лежит на **операторе**. Необходимо вести журнал согласий: timestamp, ID сессии/пользователя, версия текста согласия на момент подписания.

**Ч. 4 — Письменная форма согласия обязательна** при обработке специальных категорий (ст. 10) и биометрии (ст. 11). Должна содержать:

- ФИО и адрес субъекта
- Наименование и адрес оператора
- Цель обработки
- Перечень данных
- Перечень действий с данными
- Срок действия согласия и способ его отзыва

> 🔍 **Для аудита:** Проверь каждую форму — есть ли отдельный чекбокс согласия, не предзаполнен ли он, не совмещён ли с принятием оферты, ведётся ли журнал согласий.

---

## СТ. 10 — Специальные категории ПДн (повышенная защита)

**Ч. 1:** Обработка **запрещена** без явного письменного согласия для данных о:

- расовой, национальной принадлежности
- политических взглядах
- религиозных или философских убеждениях
- **состоянии здоровья**
- интимной жизни

> 🔍 **Для аудита:** Если сайт — медицинский, фитнес, психологический, страховой — проверить наличие письменного согласия на обработку данных о здоровье.

---

## СТ. 11 — Биометрические ПДн

**Ч. 1:** Физиологические и биологические данные для идентификации личности — только с **письменного согласия**.

**Ч. 3:** Нельзя отказывать в обслуживании при отказе предоставить биометрию (если закон не обязывает).

> 🔍 **Для аудита:** Фото профиля само по себе — не биометрия. Биометрия — если используется для идентификации (Face ID, распознавание лиц).

---

## СТ. 12 — Трансграничная передача

**Ч. 3:** До начала трансграничной передачи — уведомить Роскомнадзор **отдельным уведомлением** (отдельно от общего уведомления по ст. 22).

**Ч. 10–11 — Два разных режима в зависимости от страны:**

РКН ведёт **два списка** стран:

1. **Страны с адекватной защитой** (список утверждён РКН) — передача разрешена после направления уведомления. Большинство стран ЕС, Великобритания входят в этот список.
2. **Все остальные страны** (включая США) — передача **запрещена до получения разрешения РКН** (срок рассмотрения — 10 рабочих дней). США в списке адекватной защиты **отсутствуют**.

> ⚠️ **Практическое следствие:** Google Analytics (серверы Google LLC, США) — требует разрешения РКН, а не просто уведомления. Stripe (США) — аналогично. Сервисы ЕС (например, Crisp — Франция) — достаточно уведомления.

> 🔍 **Для аудита:** Проверить: (1) направлено ли уведомление о трансграничной передаче, (2) для сервисов из США — получено ли разрешение РКН или приняты ли альтернативные меры (стандартные договорные условия, согласие субъекта с явным указанием на передачу в США).

---

## СТ. 14 — Права субъекта на доступ к данным

Субъект вправе получить от оператора:

- подтверждение факта обработки его ПДн
- цели и правовые основания обработки
- перечень обрабатываемых данных
- информацию о третьих лицах, которым переданы данные
- сроки хранения
- информацию о трансграничной передаче

**Срок ответа:** 10 рабочих дней с даты запроса (+ продление до 5 дней с уведомлением).

> 🔍 **Для аудита:** На сайте должна быть контактная информация для направления таких запросов.

---

## СТ. 15 — Запрет рекламной рассылки без согласия

**Ч. 1:** Обработка ПДн для **прямого маркетинга** (email-рассылки, SMS, звонки) — только при **предварительном** согласии субъекта. Бремя доказательства — на операторе.

**Ч. 2:** По требованию субъекта — немедленно прекратить.

> 🔍 **Для аудита:** Форма подписки на рассылку — обязателен отдельный чекбокс. "Нажимая кнопку, вы соглашаетесь на рассылку" — недостаточно.

---

## СТ. 18 — Обязанности при сборе данных

**Ч. 5 (ЛОКАЛИЗАЦИЯ — КРИТИЧНО):** При сборе ПДн через интернет — запись, хранение, накопление данных граждан РФ **только на серверах в РФ**.

> ⚠️ **Редакция от 28.02.2025:** Норма о локализации ужесточена. Первичный сбор — только БД в РФ. Нарушение — блокировка сайта.

> 🔍 **Для аудита:** Где физически находится БД? AWS, Google Cloud, Azure без российского региона = нарушение ст. 18 ч. 5.

---

## СТ. 18.1 — Обязанности оператора (чеклист соответствия)

Оператор обязан:

1. Назначить **ответственного за обработку ПДн** (для юр. лиц)
2. Издать **Политику конфиденциальности** и локальные акты — с указанием целей, категорий данных, сроков, порядка уничтожения
3. Применять **технические и организационные меры** защиты (ст. 19)
4. Проводить **внутренний аудит** соответствия
5. Оценивать **вред** субъектам при возможных нарушениях
6. **Ознакомить сотрудников** с требованиями по ПДн

**Ч. 2:** Политика конфиденциальности должна быть **публично доступна** на сайте — ссылка на каждой странице сбора данных.

---

## СТ. 19 — Технические меры защиты

Оператор обязан обеспечить:

- защиту от несанкционированного доступа, уничтожения, изменения данных
- обнаружение фактов несанкционированного доступа
- установление правил доступа к ПДн
- регистрацию всех действий с ПДн в системе

> 🔍 **Для аудита:** HTTPS, хеширование паролей (bcrypt/argon2), ролевой доступ к БД, логирование операций с ПДн.

---

## СТ. 21 ЧЧ. 3.1 — Утечки данных (уведомление РКН)

При факте неправомерной передачи/утечки ПДн оператор обязан уведомить РКН:

- **В течение 24 часов:** о факте инцидента, предполагаемых причинах, вреде субъектам, принятых мерах и контактном лице
- **В течение 72 часов:** о результатах внутреннего расследования и виновных лицах

> ⚠️ Уведомление направляется через портал РКН (госуслуги для операторов). Отсутствие уведомления — отдельный состав правонарушения.

---

## СТ. 22 — Уведомление РКН о начале обработки

**Ч. 1:** До начала обработки ПДн — уведомить Роскомнадзор (реестр операторов на rkn.gov.ru).

**Ч. 7:** При изменении сведений — уведомить не позднее 15-го числа следующего месяца.

> 🔍 **Для аудита:** Проверить наличие оператора в реестре РКН: https://pd.rkn.gov.ru/operators-registry/

---

## Санкции: ст. 13.11 КоАП РФ (справочно)

| Нарушение | Штраф (юр. лицо) |
| --- | --- |
| Обработка без согласия (ч. 2) | до 500 000 руб. |
| Обработка без согласия, повторно (ч. 2) | до 1 500 000 руб. |
| Отсутствие/несоответствие Политики конфиденциальности (ч. 3) | до 100 000 руб. |
| Необеспечение уничтожения ПДн (ч. 5) | до 500 000 руб. |
| Нарушение локализации (ч. 8) | до 18 млн руб. (повторно — до 72 млн) |
| Нарушение порядка трансграничной передачи (ч. 12) | до 6 млн руб. |
| Невыполнение требования субъекта (ч. 4) | до 160 000 руб. |
| **Утечка ПДн — необеспечение защиты (ч. 14)** | **до 15 млн руб.** |
| **Утечка ПДн повторно или в крупном размере (ч. 15)** | **до 3% годовой выручки (не менее 15 млн руб.)** |
| **Нарушение требований к cookie-баннеру (2025)** | **до 700 000 руб.** |
| Отсутствие уведомления РКН об утечке (ст. 21 ч. 3.1) | отдельный состав, до 500 000 руб. |

> **Важно:** Составы по утечкам (ч. 14–15) введены поправками 2023 года и активно применяются с 2024-го. Штраф рассчитывается от годовой выручки — для крупных компаний это наиболее опасный состав. Суммы актуальны для редакции КоАП на момент создания документа. Перед использованием в юридических целях — проверить актуальность санкций.

---

## Быстрая таблица: нарушение → статья

| Нарушение на сайте | Статья 152-ФЗ |
| --- | --- |
| Нет Политики конфиденциальности или не опубликована | Ст. 18.1 ч. 2 |
| Нет согласия перед формой / предзаполненный чекбокс | Ст. 9 ч. 1 |
| Согласие совмещено с принятием оферты/соглашения | Ст. 9 ч. 1 (ред. 24.06.2025) |
| Нет механизма отзыва согласия | Ст. 9 ч. 2 |
| Нет журнала согласий (невозможно доказать факт получения) | Ст. 9 ч. 3 |
| Данные хранятся на зарубежных серверах | Ст. 18 ч. 5 |
| Google Analytics / зарубежный трекер без уведомления РКН | Ст. 12 ч. 3 |
| Сервис из США используется без разрешения РКН | Ст. 12 ч. 10–11 |
| Нет уведомления РКН об обработке | Ст. 22 ч. 1 |
| Нет контакта для запросов субъектов | Ст. 14 ч. 3 |
| Пароли хранятся в открытом виде / MD5 | Ст. 19 |
| Избыточный сбор данных (лишние поля) | Ст. 5 ч. 4–5 |
| Рассылка без явного согласия | Ст. 15 ч. 1 |
| Не уведомлен РКН об утечке в течение 24/72 часов | Ст. 21 ч. 3.1 |
| Нет DPA с подрядчиком, обрабатывающим ПДн | Ст. 6 ч. 3 |
| Не назначен ответственный за обработку ПДн | Ст. 18.1 ч. 1 п. 1 |
| Аналитические скрипты загружаются до получения согласия на cookie | Ст. 9 ч. 1 |