152-ФЗ
Федеральный закон №152-ФЗ «О персональных данных» — основной российский закон, регулирующий сбор, хранение, обработку и передачу персональных данных физических лиц. Регулятор — Роскомнадзор.
Что регулирует 152-ФЗ
Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» устанавливает правила работы с любой информацией, по которой можно идентифицировать человека: ФИО, телефон, email, IP-адрес, cookie, данные геолокации. Закон распространяется на всех, кто собирает данные граждан РФ — сайты, приложения, CRM-системы, программы лояльности в кафе и маркетплейсы.
Оператором персональных данных становится любое юридическое или физическое лицо, которое хотя бы один раз собрало данные пользователя. Уведомить об этом Роскомнадзор обязан почти каждый — с 2022 года исключений почти не осталось. Регулятор ведёт реестр операторов и проводит плановые и внеплановые проверки.
Закон тесно связан с требованиями к фискальным инструментам — подробнее о смежном регулировании в 54-ФЗ о применении ККТ.
Как соблюсти при использовании QR
QR-код сам по себе данных не собирает. Проблема возникает, когда за QR стоит форма или аналитическая система. Разберём конкретные сценарии.
- Форма за QR (регистрация, опрос, заявка) — обязательны галочка согласия на обработку ПДн и ссылка на политику конфиденциальности. Согласие должно быть конкретным, добровольным и информированным: нельзя предзаполнять галочку.
- Аналитика сканирований в Яндекс.Метрике или Google Analytics — IP-адрес и поведенческие данные считаются ПДн. В политике конфиденциальности должно быть указано, какие данные и кому передаются.
- Интеграция с CRM (Битрикс24, AmoCRM) — данные клиентов, пришедших через QR, должны храниться на серверах в РФ либо в облаках с подтверждённой локализацией. Если используете динамический QR-код с передачей данных о переходах в CRM — это уже полноценная обработка ПДн.
- Трансграничная передача данных — с 2022 года обязательно уведомлять Роскомнадзор до начала передачи данных в страны без «адекватного» уровня защиты. Большинство западных стран требует дополнительного разрешения.
- Уведомление РКН как оператора — подаётся через портал pd.rkn.gov.ru, занимает 15-30 минут. Без этого любая проверка автоматически заканчивается предписанием.
Практический минимум для сайта с QR-формами: политика конфиденциальности, согласие на сайте, уведомление РКН, локализация хранения данных.
Штрафы и риски 2024-2025
До конца 2024 года штрафы были символическими — 75 000 рублей за первичное нарушение. С 2025 года картина изменилась принципиально.
- Отсутствие уведомления РКН — до 300 000 рублей.
- Обработка ПДн без согласия — до 700 000 рублей для юрлиц.
- Утечка данных — до 15 млн рублей за первичную утечку; до 500 000 рублей + до 3% годового оборота при повторном нарушении (фактически от 18 млн рублей при обороте 600 млн).
- Незаконная передача данных за рубеж — до 6 млн рублей.
Роскомнадзор активно использует автоматизированные инструменты мониторинга: анализирует код страниц, выявляет отсутствие согласий и нелокализованные хранилища. Малый бизнес попадает в проверки не реже крупного.
Для автоматизации сбора данных через QR рекомендуем использовать динамические QR-коды с аналитикой, настроенной в соответствии с политикой конфиденциальности.
Частые вопросы
Если QR ведёт просто на сайт без форм — нужно ли соблюдать 152-ФЗ?
Да, если на сайте установлены счётчики Яндекс.Метрики, Google Analytics или пиксели социальных сетей. Они автоматически собирают IP-адреса, cookie и поведение посетителей — всё это персональные данные по российскому законодательству. Достаточно разместить корректную политику конфиденциальности с описанием используемых сервисов аналитики и уведомить Роскомнадзор как оператор ПДн. Без этих двух шагов любая проверка завершится предписанием.
Как правильно оформить согласие на обработку ПДн в форме за QR?
Согласие должно быть явным: незаполненный чекбокс с текстом «Я согласен на обработку персональных данных в соответствии с [ссылка на политику]». Предзаполненная галочка, согласие «в теле договора» или мелкий нечитаемый текст — не соответствуют требованиям. Для форм, где собирается только email или телефон без имени, требования те же: данные всё равно позволяют идентифицировать человека при наличии дополнительных источников. Храните факты согласий с датой, IP и текстом согласия — они понадобятся при проверке.
Нужно ли уведомлять РКН, если я просто делаю QR на визитке?
Нет, если QR ведёт только на статичную страницу без форм и аналитики. Но как только на сайте появляется любая форма или счётчик — вы становитесь оператором ПДн и обязаны уведомить РКН. Процедура уведомления бесплатна и занимает 15-30 минут на портале pd.rkn.gov.ru. Повторно уведомлять при смене форм не нужно — достаточно обновить запись в реестре при изменении целей или состава обрабатываемых данных.
Где должны храниться данные пользователей из QR-форм?
По статье 18.1 152-ФЗ первичная запись ПДн граждан РФ должна осуществляться в базах данных, физически расположенных на территории России. Облачные сервисы (AWS, Google Cloud, Airtable, Typeform и другие) без российского региона или без соглашения о локализации формально не соответствуют требованию. На практике Роскомнадзор фокусируется на крупных утечках, но при проверке задаёт вопрос о месте хранения в первую очередь. Безопасный выбор — российские облака: Яндекс.Облако, VK Cloud, Selectel.
Что изменилось в 152-ФЗ с 2022 года?
Сразу несколько существенных изменений. Во-первых, уведомление РКН стало обязательным для подавляющего большинства операторов — исключений почти не осталось. Во-вторых, ужесточился порядок трансграничной передачи данных: теперь нужно уведомлять РКН до начала передачи, а не после. В-третьих, появилось требование к срокам реагирования на инциденты (утечки): оператор обязан уведомить РКН в течение 24 часов об инциденте и в течение 72 часов — о его причинах. Штрафы были многократно увеличены в 2024-2025 годах.