Чек-лист документов по 152-ФЗ: минимальный пакет для компании и сайта

Полное руководство оператора персональных данных — от уведомления РКН до технических мер защиты. Актуально с учётом изменений 2025 года

Почему это важно прямо сейчас

Большинство компаний до недавнего времени воспринимали соблюдение 152-ФЗ «О персональных данных» как формальность: разместить политику конфиденциальности на сайте — и достаточно. Практика 2024–2025 годов сломала эту модель.

Закон № 420-ФЗ от 30 ноября 2024 года радикально ужесточил административную ответственность, а поправки, внесённые законами № 233-ФЗ и № 156-ФЗ, добавили новые обязанности. Роскомнадзор (РКН) получил инструменты автоматической проверки и фактически начал работать в режиме непрерывного мониторинга [50].

Статья адресована широкой аудитории: предпринимателям, HR-специалистам, разработчикам сайтов, офицерам по защите данных и всем, кто хочет понять, какие именно документы нужны, зачем и в какой последовательности их получать. Материал актуален для компаний любого масштаба — от самозанятого мастера маникюра до среднего бизнеса с CRM и кадровой базой.

Часть 1. Основы: кто является оператором и что означает «обрабатывать данные»

1.1 Кто попадает под действие 152-ФЗ

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» [2] регулирует отношения, связанные с обработкой персональных данных физических лиц. Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими организуют и осуществляют обработку ПДн, а также определяют её цели и состав [7].

На практике оператором становится практически любой бизнес:

• интернет-магазин, принимающий заказы;
• медицинская клиника, ведущая карты пациентов;
• работодатель, хранящий личные дела сотрудников;
• блогер, собирающий подписчиков на рассылку;
• парикмахерская, записывающая клиентов по телефону;
• самозанятый фрилансер, хранящий контакты клиентов в Google Таблицах [3].

Обработка — это не только сбор. К ней относятся хранение, передача, систематизация, обезличивание, удаление и любые иные операции с персональными данными [35].

1.2 Что считается персональными данными

Персональные данные — любая информация, прямо или косвенно относящаяся к определённому физическому лицу [7]:

• имя, фамилия, отчество;
• номер телефона, e-mail, адрес проживания;
• IP-адрес при определённых условиях;
• cookie-идентификаторы в связке с другими данными;
• сведения о здоровье, национальности, религиозных взглядах (специальные категории, требующие усиленной защиты);
• биометрические данные — лицо, отпечатки пальцев, голос.

Часть 2. Архитектура документации: три слоя

Все необходимые документы удобно разделить на три группы. Такой подход используется в профессиональном сообществе [31] и позволяет структурировать работу.

Слой 1 — Публичные документы (сайт и открытый доступ)

Это материалы, которые должен видеть любой пользователь — проверяющий РКН, клиент, партнёр. Отсутствие хотя бы одного из них на сайте является нарушением, которое фиксируется автоматически [50].

Слой 2 — Организационные документы

Распорядительные документы, уведомления и формы, которые доказывают, что в компании выстроен процесс управления ПДн.

Слой 3 — Внутренние регламенты и контроль

Положения, журналы, инструкции, модели угроз, акты. Именно этот слой проверяется при плановых и внеплановых проверках РКН [47].

Часть 3. Слой 1 — Публичные документы

3.1 Политика конфиденциальности (Политика в отношении обработки ПДн)

Это центральный публичный документ. Основание — статья 18.1 152-ФЗ: оператор обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн [2].

Что должно быть в политике [24]:

• наименование и адрес оператора;
• цели обработки персональных данных;
• правовые основания обработки (согласие, договор, закон);
• перечень обрабатываемых категорий ПДн;
• порядок и условия обработки (сроки хранения, способы уничтожения);
• перечень третьих лиц, которым данные могут передаваться;
• права субъектов ПДн и порядок их реализации;
• меры по обеспечению безопасности данных;
• сведения об используемых сервисах аналитики и трекинга (Яндекс.Метрика, VK Pixel и др.) [50].

Документ размещается в открытом доступе — как правило, ссылка в «подвале» сайта. Политика не должна быть шаблоном из интернета: РКН проверяет её соответствие тому, что указано в уведомлении о начале обработки ПДн [43].

Нарушение — статья 13.11 ч. 3 КоАП: штраф для организаций 30 000–60 000 рублей [21].

3.2 Согласие на обработку персональных данных

Согласие — базовое правовое основание для обработки в большинстве коммерческих ситуаций (статья 9 152-ФЗ) [2].

Ключевые требования, изменившиеся с 1 сентября 2025 года [5]:

• согласие должно быть оформлено отдельно от других документов — оферты, договора, заявки;
• нельзя совмещать согласие на обработку ПДн с акцептом публичной оферты;
• галочка в чекбоксе не должна быть проставлена заранее — её ставит пользователь самостоятельно [4];
• для каждой цели обработки — отдельное согласие (маркетинговые рассылки, передача партнёрам, cookies и т.д.) [48];
• каждый факт согласия необходимо сохранять: IP-адрес, дату, источник [49].

Для письменного согласия обязательное содержание установлено частью 4 статьи 9 152-ФЗ и включает: ФИО субъекта, наименование оператора, цель обработки, перечень данных, срок действия и способ отзыва [30].

Нарушение — статья 13.11 ч. 2 КоАП: штраф для организаций 300 000–700 000 рублей [21].

3.3 Согласие на использование Cookie

С 2025 года баннер о cookie должен обеспечивать реальную возможность управления согласием, а не просто информировать [45]. При первом посещении сайта пользователю должна отображаться форма согласия, в том числе в отношении аналитических и рекламных cookie [4].

В политике конфиденциальности необходимо явно указывать все сервисы, использующие файлы cookie (Яндекс.Метрика, счётчики социальных сетей и др.) [3].

3.4 Контактные данные оператора на сайте

На сайте должны быть размещены реквизиты юридического лица: полное наименование, ИНН, адрес, контакты для обращений субъектов ПДн. Указание только торговой марки без юридического лица является нарушением [51].

Пользователь должен иметь возможность направить запрос об обработке своих данных, а оператор — ответить на него в течение 10 рабочих дней [45].

Часть 4. Слой 2 — Организационные документы

4.1 Уведомление Роскомнадзора о начале обработки ПДн

Уведомление — первый обязательный шаг до начала любой обработки персональных данных (статья 22 152-ФЗ) [2]. После его получения РКН в течение 30 дней вносит оператора в реестр операторов персональных данных [14].

Форма уведомления утверждена приказом Роскомнадзора от 28.10.2022 № 180 [32]. В уведомлении указывается:

• наименование и адрес оператора;
• цели обработки ПДн;
• перечень обрабатываемых категорий ПДн;
• категории субъектов;
• правовые основания обработки;
• способы обработки;
• меры по обеспечению безопасности;
• сведения о местонахождении баз данных (только Россия или также зарубеж);
• ФИО лица, ответственного за организацию обработки ПДн [36].

Уведомление подаётся онлайн через портал РКН, через Госуслуги или в бумажном виде. При изменении любого из указанных сведений — необходимо подать корректирующее уведомление не позднее 15-го числа следующего месяца [35].

Штраф за неподачу уведомления с 30 мая 2025 года — от 100 000 до 300 000 рублей для организаций и ИП [33].

Важно: подача уведомления — финальный шаг, а не первый. До подачи нужно разработать локальную нормативную базу и назначить ответственного [34].

4.2 Приказ о назначении ответственного за организацию обработки ПДн

Закон прямо требует назначить лицо, ответственное за организацию обработки персональных данных (статья 22.1 152-ФЗ) [30]. Это может быть руководитель, юрист, HR-специалист, офицер ИБ или сторонняя организация.

В обязанности ответственного входят [24]:

• информирование сотрудников о требованиях законодательства;
• внутренний контроль за соблюдением норм;
• организация приёма и обработки запросов от субъектов ПДн;
• проведение внутренних проверок (аудитов).

Именно данные этого лица вносятся в уведомление РКН [41].

4.3 Приказ об утверждении перечня лиц, допущенных к обработке ПДн

Документ закрепляет список должностей и сотрудников, имеющих доступ к персональным данным. Как правило, это HR-специалисты, бухгалтеры, менеджеры по продажам, IT-администраторы [24]. Регулярно обновляется при изменении кадрового состава.

4.4 Уведомление РКН о трансграничной передаче ПДн (при наличии)

Если персональные данные передаются в зарубежные системы — CRM с серверами за рубежом, Google Analytics, иностранные облачные сервисы, — необходимо уведомить РКН до начала такой передачи [46]. Ведомство в течение установленного срока может принять решение о запрете или ограничении передачи.

С 1 июля 2025 года требование локализации ужесточено: первичная запись, обновление и уточнение персональных данных россиян должны осуществляться в базах данных на территории России [17]. Хранение данных на зарубежных серверах без соответствующего уведомления — штраф от 1 000 000 до 6 000 000 рублей [43].

Часть 5. Слой 3 — Внутренние регламенты и техническая документация

5.1 Положение об обработке и защите персональных данных

Базовый внутренний документ, устанавливающий правила работы с ПДн в организации [24]. Включает:

• цели и правовые основания обработки данных сотрудников, клиентов, контрагентов;
• порядок хранения, передачи и уничтожения данных;
• права субъектов ПДн и процедуру их реализации;
• ответственность сотрудников за нарушения.

С документом знакомятся под роспись все сотрудники, имеющие доступ к ПДн (статья 18.1, 19 152-ФЗ) [11].

5.2 Модель угроз безопасности персональных данных

Документ разрабатывается во исполнение пункта 1 части 2 статьи 19 152-ФЗ и Постановления Правительства № 1119 от 01.10.2012 [26]. Определяет актуальные угрозы для каждой информационной системы, обрабатывающей ПДн.

На основании модели угроз устанавливается уровень защищённости ИСПДн (информационной системы персональных данных). Согласно Постановлению Правительства № 1119, предусмотрено четыре уровня защищённости [53]. Уровень зависит от:

• типа угроз (1-й, 2-й или 3-й тип);
• категории ПДн (специальные, биометрические, общедоступные, иные);
• количества субъектов (более или менее 100 000).

Четвёртый уровень — минимальный, первый — максимальный. Для большинства небольших коммерческих организаций, обрабатывающих стандартные ПДн клиентов, актуален третий или четвёртый уровень [59].

5.3 Технические меры защиты и их документирование

На основе модели угроз и установленного уровня защищённости компания определяет технические меры защиты ИСПДн в соответствии с Приказом ФСТЭК России № 21 от 18.02.2013 [60]. Результаты фиксируются в актах и технической документации:

• акт классификации информационной системы;
• перечень средств защиты информации (СЗИ);
• техническое задание и технический паспорт ИСПДн.

5.4 Журналы учёта обработки и передачи данных

Журналы должны вестись постоянно, а не «для проверки». Они фиксируют: кто, когда, какие данные обрабатывал или передавал, на каком основании и когда уничтожил [11]. При проверке РКН журналы являются доказательством реального соблюдения процедур.

5.5 Инструкции и обязательства о неразглашении для сотрудников

Каждый сотрудник, имеющий доступ к ПДн, должен:

• пройти ознакомление с нормативными документами под роспись (листы ознакомления или журнал) [11];
• подписать обязательство о неразглашении персональных данных [23].

5.6 Договоры с подрядчиками (поручение обработки ПДн)

Если обработку ПДн осуществляет третье лицо (облачный провайдер, CRM-система, служба рассылок, колл-центр), необходимо заключить с ним договор-поручение. В нём должны быть определены: перечень операций с ПДн, цели обработки, обязанность по соблюдению конфиденциальности и требования к защите данных (статья 6 152-ФЗ) [28]. Без такого договора передача данных подрядчику незаконна.

5.7 Порядок реагирования на инциденты и уведомление РКН об утечках

При выявлении утечки данных оператор обязан [45]:

• уведомить РКН в течение 24 часов с момента обнаружения;
• направить уточнённые сведения (результаты внутреннего расследования) в течение 72 часов.

Порядок уведомления утверждён Приказом Роскомнадзора от 14.11.2022 № 187. Процедура реагирования должна быть задокументирована заранее, а не создаваться в момент инцидента.

Часть 6. Полный чек-лист: минимальный пакет для компании и сайта

Ниже приведён структурированный перечень документов с указанием правового основания и приоритета. Знак «✓» означает документ, необходимый большинству операторов; «△» — документ, нужный при наличии соответствующего процесса.

Публичные документы (сайт)

• ✓ Политика конфиденциальности / Политика в отношении обработки ПДн — ст. 18.1 152-ФЗ
• ✓ Форма-согласие на обработку ПДн под каждой формой сбора данных — ст. 9 152-ФЗ
• ✓ Согласие на использование Cookie / Cookie-баннер — ст. 9 152-ФЗ
• ✓ Контактные данные оператора и форма для обращений субъектов — ст. 14, 20 152-ФЗ
• △ Согласие на распространение ПДн (если данные публикуются) — ст. 10.1 152-ФЗ
• △ Уведомление о трансграничной передаче (если используются зарубежные сервисы) — ст. 12 152-ФЗ

Организационные документы

• ✓ Уведомление в Роскомнадзор о начале обработки ПДн — ст. 22 152-ФЗ
• ✓ Приказ о назначении ответственного за организацию обработки ПДн — ст. 22.1 152-ФЗ
• ✓ Приказ об утверждении перечня лиц, допущенных к обработке ПДн — ст. 18.1 152-ФЗ
• △ Уведомление РКН о трансграничной передаче — ст. 12 152-ФЗ

Внутренние документы

• ✓ Положение об обработке и защите ПДн работников / клиентов — ст. 18.1 152-ФЗ
• ✓ Модель угроз безопасности ПДн — п. 1 ч. 2 ст. 19 152-ФЗ, ПП № 1119
• ✓ Акт классификации ИСПДн и определения уровня защищённости — ПП № 1119
• ✓ Перечень информационных систем, обрабатывающих ПДн — ст. 18.1 152-ФЗ
• ✓ Инструкция администратора ИСПДн — Приказ ФСТЭК № 21
• ✓ Обязательство о неразглашении для сотрудников — ст. 7 152-ФЗ
• ✓ Листы ознакомления сотрудников с нормативными документами — ст. 18.1 152-ФЗ
• ✓ Журнал учёта обработки и передачи ПДн — ст. 18.1 152-ФЗ
• △ Договор-поручение с подрядчиком по обработке ПДн — ст. 6 152-ФЗ
• △ Порядок реагирования на инциденты и уведомления РКН — Приказ РКН № 187
• △ Форма запроса субъекта ПДн и порядок ответа — ст. 14 152-ФЗ
• △ Перечень средств защиты информации (СЗИ) — Приказ ФСТЭК № 21

Полный расширенный перечень документов, по данным профессиональных источников, насчитывает более 60 позиций и зависит от отраслевой специфики [10].

Часть 7. Штрафы 2025–2026: что грозит за нарушения

С 30 мая 2025 года вступили в силу изменения в КоАП РФ, существенно повысившие размеры штрафов (Закон № 420-ФЗ от 30.11.2024) [15].

Обработка ПДн в случаях, не предусмотренных законодательством:

• физические лица — 10 000–15 000 рублей;
• должностные лица — 50 000–100 000 рублей;
• организации — 150 000–300 000 рублей [21].

Отсутствие публичной политики обработки ПДн — штраф для организаций 30 000–60 000 рублей [21].

Неподача уведомления в РКН о начале обработки — 100 000–300 000 рублей для организаций и ИП [18].

Нарушение локализации (хранение данных за рубежом без оснований):

• организации и ИП — 1 000 000–6 000 000 рублей;
• повторное нарушение — 6 000 000–18 000 000 рублей [43].

Утечка персональных данных (неправомерная передача):

• утечка от 1 000 до 10 000 записей — штрафы для организаций исчисляются миллионами рублей;
• максимальный штраф при массовой утечке — 500 млн рублей [15];
• повторная утечка — 1–3% годовой выручки, минимум 20–25 млн рублей, максимум 500 млн рублей [13].

Нарушение требований к биометрическим данным — от 15 000 000 до 20 000 000 рублей для организаций [14].

Помимо административных штрафов, компании несут гражданско-правовую ответственность: субъект ПДн вправе требовать компенсации морального вреда, которая взыскивается независимо от имущественного ущерба [20].

Часть 8. Типичные ошибки и как их избежать

Ошибка 1. Политика конфиденциальности — скопированный шаблон

Самая распространённая проблема: политика взята из интернета и не отражает реальные процессы компании. РКН проверяет соответствие политики уведомлению, реальным формам сбора данных и используемым сервисам. Типовая политика, в которой не упомянуты Яндекс.Метрика, VK Pixel или конкретная CRM — прямое нарушение [50].

Что делать: разработать политику под конкретный сайт и бизнес-процессы, перечислить все инструменты сбора данных.

Ошибка 2. Галочка в чекбоксе проставлена по умолчанию

До сих пор встречается на сайтах, хотя является очевидным нарушением с момента вступления в силу соответствующих требований. Пользователь должен выразить согласие активным действием [4].

Что делать: убрать предустановленные галочки, разделить согласия на отдельные чекбоксы по каждой цели.

Ошибка 3. Согласие на ПДн включено в текст договора или оферты

С 1 сентября 2025 года это прямо запрещено [5]. Согласие должно быть оформлено как самостоятельный документ.

Что делать: вынести согласие в отдельную форму, не совмещать с другими документами.

Ошибка 4. Сбор лишних данных

Принцип минимизации — один из базовых принципов 152-ФЗ (статья 5). Запрашивать домашний адрес для отправки электронного чек-листа — нарушение [43].

Что делать: проверить все формы сайта и CRM, оставить только те поля, которые реально нужны для указанной цели.

Ошибка 5. Зарубежные сервисы без документирования

Google Analytics, зарубежный хостинг, Notion, Dropbox, иностранные CRM — всё это трактуется как трансграничная передача ПДн [46]. После 1 июля 2025 года первичный сбор данных на зарубежных серверах прямо запрещён.

Что делать: перейти на российские аналоги либо направить уведомление о трансграничной передаче в РКН и получить согласие субъектов.

Ошибка 6. Уведомление РКН не подавалось или устарело

Распространённое заблуждение: многие компании уведомили РКН один раз несколько лет назад и с тех пор не обновляли информацию. Изменение целей обработки, перехода на новые сервисы, смена ответственного лица — всё это требует корректирующего уведомления [35].

Что делать: проверить актуальность данных в реестре операторов на сайте РКН.

Ошибка 7. Нет документов по подрядчикам

Облачные сервисы, агентства email-маркетинга, колл-центры — все они получают персональные данные клиентов. Без договора-поручения это незаконная передача данных [31].

Что делать: заключить договоры с клаузулой о ПДн со всеми подрядчиками, имеющими доступ к данным.

Ошибка 8. Отсутствие процедуры реагирования на инциденты

Многие компании не знают, что при утечке у них есть только 24 часа на уведомление РКН. При отсутствии регламента время теряется на согласования [45].

Что делать: разработать и протестировать процедуру реагирования заранее.

Часть 9. Как РКН проверяет сайты и компании в 2025 году

Роскомнадзор перешёл на автоматизированный мониторинг: сайты проверяются алгоритмически без жалоб и без участия инспектора [50]. Проверка выявляет:

• отсутствие политики конфиденциальности;
• несоответствие политики уведомлению в реестре операторов;
• отсутствие чекбоксов согласия под формами;
• использование скриптов, передающих данные на зарубежные серверы;
• хранение данных за рубежом без соответствующей документации.

При плановой проверке компании РКН использует подробный чек-лист из 20+ пунктов [47], включающий:

• наличие и содержание согласий (в том числе на распространение и биометрические данные);
• соответствие согласий требованиям к составу сведений;
• соблюдение требований к трансграничной передаче;
• наличие договоров с поручителями;
• техническую защиту ИСПДн.

Часть 10. Специфика для разных типов бизнеса

Интернет-магазин

Обязателен минимальный публичный пакет + договоры с платёжными агрегаторами и службами доставки (они получают ПДн покупателей). Отдельно оформляется согласие на маркетинговые рассылки [5].

Работодатель

Помимо клиентских ПДн, особый режим установлен для данных работников: соискателей, сотрудников, бывших сотрудников. Обработка данных уволенного сотрудника после его увольнения строго ограничена [15]. Трудовой договор является основанием обработки, но не заменяет другие документы.

Медицинская организация

Данные о здоровье — специальная категория ПДн (статья 10 152-ФЗ), требующая отдельного письменного согласия. Режим защиты значительно строже, уровень ИСПДн, как правило, первый или второй [53].

ИП и самозанятые

С 2024 года все ИП и самозанятые, обрабатывающие ПДн, обязаны уведомить РКН. По большинству статей КоАП ИП приравниваются к юридическим лицам [3].

Часть 11. Тренды и будущее регулирования

Несколько тенденций, которые уже формируют регуляторный ландшафт 2025–2026 годов:

Автоматизация надзора. Роскомнадзор активно использует ИИ для мониторинга сайтов, а штрафы фактически стали оборотными [50]. Это означает, что риск наказания больше не зависит от размера бизнеса.

Уголовная ответственность за «серые» базы. С 2025 года покупка, использование или продажа баз данных без согласий субъектов — уголовно наказуемое деяние [17]. Это затрагивает прежде всего агентства лидогенерации и call-центры.

Обезличивание как инструмент. С 1 сентября 2025 года введена отдельная статья об обработке обезличенных ПДн (ст. 13.1 152-ФЗ). Обезличенные данные могут использоваться для аналитики без части ограничений [48].

Рост требований к согласиям. Тренд на детализацию и раздельность согласий продолжится. В перспективе возможно введение требования к машиночитаемым форматам согласий.

Давление на B2B-цепочки. Проверки всё чаще выявляют нарушения не у конечного оператора, а в его подрядной цепочке. Это означает, что документирование поручений обработки станет стандартом деловой практики.

Часть 12. «Пятый фактор» — технология для непрерывного контроля ПДн

Отдельный вызов, с которым сталкиваются компании, — не разовая подготовка документов, а поддержание актуальной картины того, где и какие персональные данные хранятся прямо сейчас. IT-ландшафт постоянно меняется: появляются новые поля в базах данных, новые сервисы, интеграции и подрядчики. Классический подход — ручной аудит раз в год — уже не работает: к моменту его завершения данные успевают устареть.

Именно эту проблему решает on-prem платформа «Пятый фактор» (5factor.ru). Система автоматически обнаруживает, инвентаризирует и контролирует персональные данные в корпоративных системах: базах данных, файловых хранилищах, почте, AD/LDAP, CRM, 1С и API.

Ключевое отличие — принцип privacy-by-design: платформа работает с метаданными, структурой и агрегатами, не передавая и не сохраняя сырые значения ПДн. Это означает, что само решение не становится дополнительным источником риска утечки.

В итоге компания получает «живую карту ПДн»: где и какие данные обрабатываются, кто является владельцем процесса, что изменилось с последней проверки. Новые риски — новые поля, интеграции, источники — видны раньше, чем они превращаются в инцидент или предписание РКН. Контроль становится непрерывным процессом, а не серией дорогостоящих аудитов.

С чего начать прямо сейчас

Соблюдение 152-ФЗ — это не разовый проект, а система, которую нужно выстроить и поддерживать. Алгоритм для тех, кто начинает:

1. Провести инвентаризацию: понять, где и какие персональные данные обрабатываются — на сайте, в CRM, в кадровой базе, у подрядчиков.
2. Разработать Политику конфиденциальности, отражающую реальные процессы.
3. Разработать формы согласий: отдельное под каждую форму и каждую цель.
4. Назначить ответственного приказом.
5. Подать уведомление в Роскомнадзор.
6. Разработать внутренние документы: Положение, модель угроз, инструкции.
7. Заключить договоры-поручения со всеми подрядчиками.
8. Проверить локализацию: убедиться, что данные хранятся на российских серверах.
9. Обучить сотрудников и зафиксировать это в листах ознакомления.
10. Выстроить процесс мониторинга: отслеживать изменения в данных и IT-инфраструктуре в режиме реального времени.

Документы — это только часть работы. Важно, чтобы они отражали реальность: РКН проверяет не бумаги, а соответствие между тем, что написано, и тем, что происходит [31].

Источники

[1] «Штрафы за персональные данные с 30 мая 2025 года» — https://www.arbitr-praktika.ru/article/2742-shtrafy-za-personalnye-dannye

[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (последняя редакция) — https://www.consultant.ru/document/cons_doc_LAW_61801/

[3] «Полный гайд по 152-ФЗ об обработке персональных данных с изменениями 2025 года» — https://1ps.ru/blog/dirs/2025/kak-ne-popast-na-millionyi-razbiraem-novyie-trebovaniya-po-obrabotke-personalnyix-dannyix/

[4] «Обработка персональных данных на сайте: требования к сайту по 152-ФЗ» — https://e-office24.ru/news/obrabotka-personalnykh-dannykh-na-sayte-kakie-est-trebovaniya-k-saytu/

[5] «Изменения 152-ФЗ с 1 сентября 2025: чек-лист подготовки» — https://robokassa.com/blog/articles/izmeneniya-v-152-fz-s-1-sentyabrya/

[6] Федеральный закон от 27.07.2006 № 152-ФЗ (последняя редакция) — https://base.garant.ru/12148567/

[7] «Как избежать штрафов в связи с поправками к закону о персональных данных» — https://tilda.education/articles-personal-data-law

[8] «Документы по персональным данным в 2026 году» — https://legal-box.ru/152fz-docs

[9] «152-ФЗ О персональных данных — пошаговая инструкция» — https://blog.cortel.cloud/2024/06/27/152-fz-o-personalnyh-dannyh-poshagovaya-instrukcziya-k-vypolneniyu-trebovanij

[10] «Персональные данные 2024–2025: обязательные документы и регистрация в РКН» — https://www.klerk.ru/blogs/fedresurs/625336/

[11] «Перечень документов по 152-ФЗ для организации в 2025 году» — https://ic-tech.ru/blog/knowledge-base/pdn-152fz-2025/

[12] «Ужесточение ответственности за нарушение 152-ФЗ» — https://sec.ussc.ru/152fz

[13] «Штрафы за персональные данные в 2026 году» — https://data-sec.ru/personal-data/fines/

[14] «Увеличение штрафов за нарушение законодательства о персональных данных с 30 мая 2025 года» — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/

[15] «Штрафы за персональные данные с 30 мая 2025 года» — https://www.arbitr-praktika.ru/article/2742-shtrafy-za-personalnye-dannye

[16] «Ответственность за нарушение закона о персональных данных» — https://www.garant.ru/actual/persona/otvetstvennost/

[17] «Закон о персональных данных: что изменилось в 2025 году» — https://b-152.ru/zakon-o-personalnyh-dannyh-2025

[18] «Новые штрафы с 30 мая 2025 года» — https://www.consultant.ru/legalnews/28492/

[19] «Штрафы за нарушения обработки персональных данных в 2025 году» — https://portal-yug.ru/blog/shtrafy-za-narusheniya-obrabotki-personalnykh-dannykh-/

[20] «Нарушение закона о персональных данных: штрафы и последствия» — https://www.klerk.ru/blogs/fedresurs/678917/

[21] КоАП РФ Статья 13.11 — https://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/

[22] Федеральный закон № 152-ФЗ (последняя редакция) — https://www.consultant.ru/document/cons_doc_LAW_61801/

[23] «Нормативные документы по защите персональных данных — полный пакет» — https://b-152.ru/docs

[24] «Базовые документы для работы с персональными данными» — https://kurs.alfabank.ru/articles/bez-paniki-bazovyj-nabor-dokumentov-dlya-raboty-s-pdn/

[25] Федеральный закон № 152-ФЗ (редакция ГАРАНТ) — https://base.garant.ru/12148567/

[26] «Документы по персональным данным в 2026 году» — https://legal-box.ru/152fz-docs

[27] Президент России, текст 152-ФЗ — http://www.kremlin.ru/acts/bank/24154

[28] Роскомнадзор, текст 152-ФЗ — https://72.rkn.gov.ru/p21978/p25026/p25030/

[29] 152-ФЗ — https://docs.cntd.ru/document/901990046

[30] «Персональные данные в организации: обработка, защита, ответственность» — https://astral.ru/aj/elem/personalnye-dannye-s-1-marta-2023-goda/

[31] «Документы по ФЗ-152: полный перечень обязательных документов» — https://www.klerk.ru/blogs/roskom24/675886/

[32] «Обработка персональных данных с 30 мая 2025 года: как подать уведомление» — https://astral.ru/products/152doc/uvedomlenie-ob-obrabotke-personalnykh-dannykh/

[33] «Кто ещё не сделал — до 30 мая 2025 подайте уведомление в Роскомнадзор» — https://v8.1c.ru/news/do-30-maya-2025-podayte-uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnykh-dannykh.htm

[34] «Как уведомить РКН об обработке персональных данных в 2025 году» — https://e-office24.ru/news/kak-uvedomit-rkn-ob-obrabotke-personalnykh-dannykh/

[35] «Уведомление в Роскомнадзор об обработке ПДн — Точка Банк» — https://tochka.com/knowledge/buhgalteriya/uvedomlenie-v-roskomnadzor-ob-obrabotke-personalnyh-dannyh/

[36] «Уведомление об обработке ПДн — пошаговая инструкция 2025» — https://sapelkin.ru/blog/kak-podat-uvedomlenie-v-roskomnadzor/

[37] «Инструкция: как подать уведомление в Роскомнадзор в 2025 году» — https://teyca.ru/rkn

[38] «Заполненное уведомление в Роскомнадзор 2026: образец» — https://www.glavbukh.ru/art/387739-uvedomlenie-v-roskomnadzor

[39] «Уведомление об обработке ПДн в 2025 году» — https://pod-ft.ru/baza-znaniy/uvedomlenie-ob-obrabotke-personalnykh-dannykh-v-2025-godu-/

[40] «Штрафы за неподачу уведомлений в Роскомнадзор: что делать после 30 мая 2025» — https://saby-sbis.ru/blog/chto-nuzhno-delat-operatoram-personalnyh-dannyh-posle-30-maya-2025-goda

[41] «Как заполнить и подать уведомление в Роскомнадзор в 2025 году» — https://buh.ru/articles/uvedomlenie-v-roskomnadzor-kto-i-zachem-obyazan-sdavat.html

[42] «Чек-лист: Подготовка сайта к новым требованиям РКН и ФЗ-152» — https://itb-company.com/blog/stati/check-list-roskomnadzor

[43] «7 ошибок, из-за которых ваш сайт могут оштрафовать» — https://vc.ru/id4767693/1905463-7-oshibok-sajta-shtrafy-152-fz-2025

[44] «ФЗ 152 о данных: чек-лист на проверку сайта» — https://www.sostav.ru/blogs/282100/62298

[45] «Чек-лист проверки сайта на соответствие 152-ФЗ» — https://integrator.digital/blog/vse-o-razrabotke-saytov/chek-list-proverki-saita-fz-152-o-personalnyh-dannyh/

[46] «Новые требования РКН 2025: как избежать штрафов за локализацию» — https://vc.ru/legal/2149867-novye-trebovaniya-rkn-2025

[47] «Плановые проверки Роскомнадзора: чек-лист» — https://blog.cortel.cloud/2025/01/28/planovye-proverki-roskomnadzora-chek-list/

[48] «Топ-5 ошибок сайтов по 152-ФЗ» — https://kompot.bz/blog/tpost/x3jp6d6co1-top-5-tipichnih-oshibok-na-saitah-po-152

[49] «Чек-лист по 152-ФЗ для владельцев сайтов — 2025» — https://prodvj.ru/blog/tpost/3x9x70pro1-chek-list-po-152-fz-dlya-vladeltsev-sait

[50] «Как РКН проверяет сайты на соответствие ФЗ 152» — https://vc.ru/marketing/2264701-avtomaticheskaya-proverka-saytov-roskomnadzora

[51] «Требования Роскомнадзора к сайтам 2025: чек-лист для бизнеса» — https://www.klerk.ru/blogs/roskom24/650389/

[52] Постановление Правительства РФ № 1119, Kaspersky RegulHub — https://regulhub.kaspersky.ru/decrees/pp-1119

[53] Постановление Правительства РФ от 01.11.2012 № 1119 (ГАРАНТ) — https://base.garant.ru/70252506/

[54] Постановление Правительства РФ от 01.11.2012 № 1119 (КонсультантПлюс) — https://www.consultant.ru/document/cons_doc_LAW_137356/

[59] «Уровни защищённости персональных данных в ИСПДн» — https://data-sec.ru/personal-data/protection-level/

[60] Приказ ФСТЭК России от 18.02.2013 № 21 — https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21