Аудит сайта на соответствие 152-ФЗ: техническое руководство 2025
Проверка сайта на соответствие 152-ФЗ и поиск куки. Роскомнадзор усилил контроль - штрафы до 15 млн ₽. Техническое руководство

Аудит сайта на соответствие 152-ФЗ: техническое руководство 2025
Роскомнадзор усилил контроль — штрафы до 15 млн рублей за нарушения уже действуют. Проверьте свой сайт прямо сейчас.
Введение
"Успеваем, но сроки уже горят" — именно так чувствует себя большинство владельцев сайтов после усиления контроля Роскомнадзора. На вопрос "Может сроки?" многие все еще отвечают "Нет", продолжая откладывать приведение сайта в соответствие 152-ФЗ.
Но огонь уже разгорается: штрафы 152-ФЗ 2025 достигают 15 млн рублей, а при повторных нарушениях — до 3% годовой выручки. И это уже не угрозы, а реальная практика.
Большинство сайтов нарушают закон, даже не подозревая об этом. Проверка сайта 152-ФЗ показывает: Google Analytics, Facebook Pixel, неправильно оформленные согласия — все это может стоить бизнесу миллионы.
В этом руководстве мы покажем, как самостоятельно провести аудит сайта 152-ФЗ любого ресурса и выявить все нарушения для приведения сайта в соответствие 152-ФЗ.
Основные нарушения 152-ФЗ: что проверять в первую очередь
Критические нарушения (штраф до 15 млн)
Запрещенные аналитические системы
Google Analytics, Google Tag Manager
Facebook Pixel (Meta)
Любые американские трекеры
Передача данных в "недружественные" страны
Google Таблицы для сбора заявок
Gmail для уведомлений
Зарубежные CRM и почтовые сервисы
Отсутствие корректных согласий
Нет отдельных чекбоксов в формах
Отсутствует cookie-баннер
Устаревшая политика конфиденциальности
Обязательная регистрация в реестре Роскомнадзора
Важно: Каждый владелец сайта, собирающий персональные данные (даже просто имя и телефон в форме обратной связи), должен уведомить Роскомнадзор и зарегистрироваться в реестре операторов персональных данных.
Штраф за отсутствие уведомления: до 300 000 рублей для организаций.
Проверить регистрацию можно здесь: Реестр операторов персональных данных Роскомнадзора
Если вашей организации нет в реестре — это критическое нарушение, требующее немедленного устранения.
Техническая диагностика по платформам
Tilda (самая популярная в России)
Поиск куки в админке Tilda
Настройки сайта
Сайт → Настройки → Аналитика - коды Google Analytics, Яндекс.Метрики
Сайт → Настройки → Другие - дополнительные скрипты в head
Сайт → Настройки → Формы - интеграции с внешними сервисами
Проверка интеграций
Сайт → Интеграции - подключенные сервисы (Google Таблицы, CRM)
Проверить активные интеграции: Google Sheets, Mailchimp, GetResponse
Почтовые уведомления: Gmail, внешние SMTP
Аудит форм на сайте
Каждая страница → Редактировать блок формы
Настройки формы → После отправки → Интеграции
Проверить чекбоксы согласий в каждой форме отдельно
Типичные нарушения в Tilda
Google Analytics в настройках аналитики
Интеграция форм с Google Таблицами
Gmail для уведомлений форм
Отсутствие отдельных чекбоксов согласий
Неактивные ссылки на политику конфиденциальности
Особенность Tilda: При некорректной настройке каждая форма может иметь индивидуальные параметры. Правильно настроенные глобальные параметры сайта применяются ко всем формам автоматически.
Пример критических нарушений в Tilda:
На скриншоте админки Tilda видны сразу три критических нарушения 152-ФЗ:
Google Analytics — передача данных в США
Google Tag Manager — еще одна запрещенная система
Facebook Pixel — передача данных в Meta
Все эти сервисы нужно немедленно удалить и заменить на Яндекс.Метрику и VK Pixel. Штраф за каждое нарушение может достигать 15 млн рублей.

⚡ Next.js
🔍 Где искать куки:
1. В коде приложения:
bash# Поиск в файлах проекта
grep -r "document.cookie" src/
grep -r "setCookie|getCookie" src/
grep -r "_ga|_ym|fbq" src/
2. В файлах конфигурации:
next.config.js - внешние скрипты
_app.js - глобальные скрипты аналитики
_document.js - head секция с трекерами
pages/api/ - серверные куки
3. Проверить зависимости:
bash# Поиск аналитических пакетов
grep -E "(google-analytics|gtag|facebook-pixel|yandex)" package.json
🎯 Что проверять:
Компоненты аналитики в components/
Хуки для куки hooks/useCookie
Middleware для куки
Серверные действия с куки
Сторонние библиотеки (react-ga, gtag)
📱 Популярные библиотеки с нарушениями:
react-ga (Google Analytics)
gtag (Google Tag Manager)
react-facebook-pixel
@next/third-parties с Google-сервисами
Пример нарушения в Next.js:
На скриншоте видно типичное нарушение — в коде используется <ControlledVKPixel> и <ControlledYandexMetrika>, но при этом могут быть и запрещенные трекеры. Обратите внимание на компонент <CookieBanner /> — это правильный подход для получения согласий.

📝 WordPress
🔍 Где искать куки:
1. Админка WordPress:
Плагины → Установленные - поиск аналитических плагинов
Внешний вид → Редактор тем - проверить functions.php
Настройки → Общие - коды аналитики
2. Файловая система:
bash# Поиск в теме
grep -r "google-analytics|_ga|fbq|metrika" wp-content/themes/
grep -r "document.cookie" wp-content/themes/
3. Популярные плагины с нарушениями:
MonsterInsights (Google Analytics)
GA Google Analytics
PixelYourSite (Facebook Pixel)
Contact Form 7 (интеграции с Google)
WooCommerce (куки корзины + Google Analytics Enhanced Ecommerce)
Пример критического нарушения в WordPress:
На скриншоте видно админку плагина MonsterInsights — это прямое нарушение 152-ФЗ. Плагин передает данные в Google Analytics, что запрещено с 1 июля 2025 года. Подобные плагины нужно немедленно удалять и заменять на российские аналоги.

🎯 Проверить в админке:
Внешний вид → Настроить → Дополнительный CSS (коды трекеров)
Плагины → Редактор (код плагинов)
Виджеты (сторонние виджеты)
- WooCommerce → Настройки → Интеграция (Google Analytics)
🔧 Универсальный подход для любой платформы
1. Браузерные инструменты:
F12 → Application → Cookies
F12 → Network → Фильтр по "cookie"
F12 → Console → document.cookie
Пример проверки через DevTools:
На скриншоте видно, как выглядят куки в браузерных инструментах разработчика. Обратите внимание на куки от yandex.ru и actobase.ru — это типичные аналитические куки, которые требуют согласия пользователя по 152-ФЗ.

2. Онлайн сканеры:
Браузерные плагины для анализа технологий
Бесплатные онлайн-сканеры куки
Специализированные сервисы детального анализа
3. Командная строка:
bash# Поиск по всему проекту
grep -r -i "cookie|_ga|_ym|fbq|gtag" .
grep -r -i "google.*analytics|facebook.*pixel" .
grep -r -i "yandex.*metrica|vk.*pixel" .
4. Проверка исходного кода:
bash# Поиск трекинг-кодов
grep -r "UA-|G-|GTM-|fbp" .
grep -r "mc\.yandex\.ru|google-analytics" .
Категоризация найденных куки
✅ Технически необходимые (согласие НЕ требуется):
Сессионные куки (PHPSESSID, sessionid)
CSRF-токены защиты
Корзина покупок
Аутентификация пользователей
⚠️ Аналитические (согласие ТРЕБУЕТСЯ):
Разрешенные: Яндекс.Метрика (_ym_uid, _ym_d)
Запрещенные: Google Analytics (_ga, _gid, _gat)
🚫 Маркетинговые (согласие ТРЕБУЕТСЯ):
Запрещенные: Facebook Pixel (fbp, fbc)
Разрешенные: VK Pixel, myTarget
Ретаргетинг российских платформ
📋 Чек-лист полного аудита сайта 152-ФЗ
🔍 Технический аудит:
HTML шаблоны - скрипты в head/body
JavaScript файлы - аналитические библиотеки
Конфигурационные файлы - настройки трекеров
Зависимости проекта - сторонние пакеты
Статические ресурсы - файлы аналитики
Серверный код - установка куки
База данных - хранение согласий
📄 Правовой аудит:
Политика конфиденциальности - соответствие 152-ФЗ
Согласия в формах - корректные чекбоксы
Cookie-баннер - управление согласиями
Интеграции - только российские сервисы
🎯 Результат аудита:
Полный список найденных куки
Источники их установки
Категоризация по 152-ФЗ
Приоритезированный план устранения нарушений
Что делать с найденными нарушениями
🚨 Немедленно (риск штрафа):
Удалить Google Analytics и все Google-сервисы
Заменить Gmail на российские почтовые сервисы
Отключить Facebook Pixel и другие зарубежные трекеры
Добавить согласия во все формы сбора данных
⚡ В течение недели:
Установить cookie-баннер с управлением согласиями
Обновить политику конфиденциальности под требования 2025 года
Настроить российские аналоги (Яндекс.Метрика, VK Pixel)
Протестировать все формы на корректность согласий
Заключение
⚠️ Важное примечание: Все зарубежные сервисы, упомянутые в данной статье (Google Analytics, Google Tag Manager, Facebook Pixel и другие), являются запрещенными для использования на сайтах с российской аудиторией согласно требованиям 152-ФЗ. Их упоминание носит исключительно информационный характер для целей выявления нарушений и последующего удаления.
Соответствие сайта 152-ФЗ — это не разовая задача, а постоянный процесс. С каждым обновлением сайта, подключением новых сервисов или изменением законодательства требуется новый аудит сайта 152-ФЗ.
Помните: стоимость профессиональной проверки сайта 152-ФЗ в разы меньше минимального штрафа за нарушения.
Нужна помощь с аудитом вашего сайта? Команда ЭсПресс проводит полный технический и правовой аудит для обеспечения соответствия 152-ФЗ.
Диагностика-знакомство
30 минут со мной — разберём вашу ситуацию и подскажу, с чего стоит начать. Никаких продаж.
Записаться