Парсинг сайтов и 152-ФЗ: где проходит черта и что за ней грозит

Вопрос «законно ли парсить сайты» задают примерно раз в две недели в любом чате, где собираются разработчики, маркетологи или руководители с задачей «нам нужна база для обзвона». Короткий ответ: зависит от того, что именно вы собираете и что потом с этим делаете.

Длинный ответ - в этом разборе. Он написан не для юристов, а для тех, кто принимает реальные решения: запускать ли парсер, брать ли базу на стороне, ставить ли защиту на свой сайт.

Кстати, если хотите знать, как ваши данные утекают прямо сейчас - пока вы тратите бюджет на рекламу - читайте дальше до раздела 6.

[CTA-POINT-1: подписка на обновления LEADLIFE]


Что такое персональные данные по 152-ФЗ - и при чём тут ваш сайт?

Коротко: персональные данные - это любая информация, которая позволяет установить конкретного человека. ФИО, телефон, email - защищены. Цена товара, название компании - нет.

152-ФЗ «О персональных данных» работает с 2006 года, но серьёзно зашевелился в применении только к 2024-2025 годам. По данным Роскомнадзора, 84% проверенных сайтов нарушают требования обработки персональных данных - и большинство владельцев об этом не подозревают.

Что закон относит к персональным данным:

  • ФИО физического лица
  • Номер телефона
  • Email-адрес
  • Адрес проживания
  • Фотография
  • Любая комбинация данных, позволяющая однозначно определить человека

Что НЕ является персональными данными:

  • Название компании (юридического лица)
  • Описание товара или услуги
  • Цены и условия
  • Публичная статистика без привязки к конкретному человеку

Важный момент: данные о физическом лице в рамках его профессиональной деятельности (должность, рабочий телефон, корпоративный email) - тоже персональные данные. Это означает, что телефон менеджера по продажам из открытого источника защищён так же, как личный номер.

Отсюда и пересечение с 152-ФЗ: большинство сайтов содержат контактные данные сотрудников, формы с данными посетителей и другую информацию, напрямую относящуюся к конкретным людям.


Когда парсинг сайтов законен: три случая

Коротко: парсинг законен, если вы собираете данные, которые не являются персональными, либо если у вас есть явное правовое основание для обработки персональных данных конкретных людей.

Три ситуации, при которых парсинг находится в допустимой зоне:

  1. Парсинг не-персональных данных. Мониторинг цен конкурентов, сбор описаний товаров, парсинг публичных статистических данных - если в собираемом массиве нет информации о конкретных физических лицах, 152-ФЗ не применяется. Ограничения здесь другие: авторское право на контент, условия использования сайта, ФЗ-149 «Об информации».

  2. Парсинг с явного согласия субъектов. Если люди сами добровольно и осознанно заполнили форму, где указали свои данные, и форма содержала явное согласие на их обработку с конкретными целями - такие данные можно использовать. Но только в рамках тех целей, на которые было получено согласие.

  3. Работа через официальные API платформ. Ряд платформ предоставляют программный доступ к данным через официальные API с явно прописанными правилами использования. Работа в рамках этих правил и с разрешёнными данными - допустима. Это существенно отличается от обхода антиботовой защиты и прямого скрейпинга.

Что во всех трёх случаях остаётся обязательным:

  • Не хранить данные дольше, чем требуется для задачи
  • Не передавать третьим лицам без правового основания для этого
  • Уведомить Роскомнадзор о себе как об операторе персональных данных (если собираете данные людей)

[CTA-POINT-2: встроенный оффер StopParsing / LEADLIFE]

Пока вы разбираетесь, что законно парсить самому, конкуренты могут делать то же самое с вашим сайтом. StopParsing - сервис защиты данных от незаконного сбора - закрывает ваши сайты и телефоны сотрудников от систем перехвата. Это часть экосистемы LEADLIFE.


Когда парсинг превращается в нарушение 152-ФЗ?

Коротко: нарушение возникает, когда без согласия людей автоматически собираются их персональные данные, систематизируются и используются в коммерческих целях.

Три конкретные ситуации, где парсинг нарушает закон:

  1. Сбор контактных данных физических лиц с сайтов без их согласия. Если вы парсите сайт компании и собираете ФИО и телефоны сотрудников - это обработка персональных данных без правового основания. Люди не давали согласия на то, чтобы их данные попали в вашу базу для обзвона.

  2. Парсинг профилей из социальных сетей. Самое распространённое заблуждение: «данные публичные - значит, можно». Пользователь давал согласие на обработку своих данных конкретной платформе - ВКонтакте, LinkedIn, другим. Не вам. Массовый автоматический сбор этих данных третьей стороной - нарушение.

  3. Создание баз данных людей без их ведома. Даже если каждый отдельный кусочек информации взят из открытого источника, объединение данных о человеке в единый профиль - это «обработка персональных данных» в смысле 152-ФЗ. Агрегация данных требует правового основания.

Есть ещё один тонкий момент. 152-ФЗ регулирует не только сбор, но и хранение, передачу, использование данных. Даже если вы купили базу у кого-то - вы становитесь оператором персональных данных и несёте ответственность наравне с тем, кто базу собирал.


«Данные публичные» - не значит «берите все»

Коротко: публичность данных - не согласие на их обработку кем угодно с любыми целями. Статья 8 152-ФЗ об общедоступных источниках не превращает любой открытый сайт в базу для парсинга.

Статья 8 152-ФЗ описывает «общедоступные источники персональных данных» - это специально созданные справочники и адресные книги, куда человек внёс свои данные с явным намерением сделать их общедоступными. Даже из таких источников субъект может в любой момент потребовать исключения своих данных.

Что это означает на практике:

  • Человек выложил свой телефон на сайте компании, где работает. Этот телефон - его рабочий контакт для клиентов компании. Не для всех желающих.
  • Пользователь заполнил профиль в LinkedIn. Платформа использует эти данные по своим правилам. Парсер, собирающий эти профили для рассылки или базы обзвона, правового основания не имеет.
  • Компания разместила на сайте контакты отдела продаж. Это не приглашение автоматически собирать и перепродавать эти данные.

Ключевой принцип: правовое основание для обработки персональных данных нужно иметь в момент сбора. «Данные открытые» - это не правовое основание. Правовые основания по 152-ФЗ: согласие субъекта, исполнение договора, законный интерес (с ограничениями), выполнение обязанностей оператора по закону.

Ситуация Данные публичные? Парсинг законен?
Мониторинг цен конкурентов (цены - не ПД) Да Да (не ПД)
Сбор описаний товаров (без ФИО) Да Да (не ПД)
Сбор ФИО/телефонов сотрудников с сайтов Да Нет (ПД без согласия)
Парсинг профилей из соцсетей Да Нет (согласие - платформе, не вам)
Данные из формы с явным согласием субъекта Да Да (с согласием в заявленных целях)

Что грозит за незаконный парсинг в 2025-2026 году?

Коротко: с 30 мая 2025 года штрафы выросли в два раза. Добавилась уголовная ответственность. За утечку персональных данных - до 500 млн рублей.

С 30 мая 2025 года вступили в силу изменения в КоАП и УК по нарушениям в сфере персональных данных (ФЗ-420). Вот актуальная картина:

Административная ответственность (ст. 13.11 КоАП)

Нарушение Физлицо ИП Организация
Базовое нарушение обработки ПД (ч. 1) 20 000-40 000 руб. 50 000-100 000 руб. 150 000-300 000 руб.
Повторное нарушение 40 000-80 000 руб. 100 000-200 000 руб. 300 000-500 000 руб.
Утечка ПД (новая ст. 13.11.3) - до 50 млн руб. до 500 млн руб.

Для компании с оборотом: оборотный штраф за крупную утечку - до 3% от годовой выручки.

Уголовная ответственность (ст. 272.1 УК РФ)

Незаконные сбор, хранение, использование и передача компьютерной информации, содержащей персональные данные, полученной путём неправомерного доступа. Это касается случаев, когда для получения данных взламывали защиту сайта или использовали технические средства обхода ограничений.

Роскомнадзор - активная позиция с 2025 года

По данным самого РКН, 84% проверенных сайтов нарушают закон о персональных данных. Ведомство запустило массовые проверки и начало рассылать предписания. Одним из первых получил предписание предприниматель из Тюмени - с обычным лендингом, формой заявки и отсутствием правильно оформленного согласия на обработку ПД.


Как конкуренты снимают данные с вашего сайта?

Коротко: пока вы работаете, ваши посетители, контакты сотрудников и данные о звонках могут систематически собираться. Это происходит без вашего ведома и нарушает 152-ФЗ - но ущерб от этого несёте вы.

Четыре канала, через которые утекают данные:

  1. Посетители вашего сайта. Человек зашёл, изучил предложение, ушёл «подумать». Прежде чем он вернётся с заявкой, его контакт мог попасть в базу систем перехвата. Конкурент звонит первым. У вас в аналитике - просто «отказ».

  2. Номера сотрудников из открытых источников. Телефоны менеджеров по продажам, специалистов, руководителей - они есть в открытых источниках: на вашем же сайте, в справочниках, на картах. По этим телефонам собирают структуру вашей компании, переманивают сотрудников и заваливают спамом.

  3. Данные о ваших звонках. Если каналы связи не защищены, конкурент может понять, кому вы звоните, - и выйти на ваших клиентов до вас.

  4. Рекламный бюджет работает на чужие продажи. Вы оплатили каждый переход на сайт. Если данные о посетителе ушли наружу до того, как он оставил заявку, - вы заплатили за чужую сделку.

Важный нюанс: те, кто собирают ваши данные через перехват, нарушают 152-ФЗ. Но доказать конкретный факт нарушения и получить компенсацию сложно. Проще не дать им ничего собрать.

Подробнее о том, как конкуренты перехватывают ваших клиентов: читайте здесь.


Как защитить данные своего сайта от незаконного сбора?

Коротко: защита работает на двух уровнях - технический (закрыть каналы сбора) и юридический (правильно оформить обработку ваших собственных данных). Первый работает сразу, второй снижает риски претензий со стороны РКН.

Технические меры:

  1. Закрыть сайт от систем парсинга - антиботовая защита, CAPTCHA на формах, ограничение скорости запросов, маскировка данных сотрудников.

  2. Защитить телефоны сотрудников - убрать прямые номера из открытых источников или использовать системы, которые делают сбор этих номеров значительно сложнее.

  3. Мониторинг периметра - отслеживать, не появились ли ваши данные в базах, которые вы не создавали.

Юридические меры (защита своих ПД-обязательств):

  1. Привести формы захвата на сайте под требования 152-ФЗ: явное согласие, политика по персональным данным, конкретные цели обработки.
  2. Уведомить Роскомнадзор о себе как об операторе персональных данных.
  3. Оформить внутренние документы по обработке ПД - это снижает размер штрафа при проверке.

Эти два направления решают разные задачи. Юридическое оформление защищает вас от претензий РКН по вашей же обработке данных. Техническая защита - от того, что конкуренты используют ваш сайт как источник данных в своих интересах.

Для технической защиты периметра (сайты и телефоны сотрудников): StopParsing проводит бесплатный аудит того, какие данные доступны системам сбора, и закрывает каналы перехвата. Стоимость - индивидуально, по итогам аудита.

Подробнее о том, как закрыть сайт от парсеров конкурентов: читайте здесь.

О защите номеров сотрудников: читайте здесь.


Часто задаваемые вопросы о парсинге и 152-ФЗ

Парсинг данных о компаниях из открытых реестров - это нарушение?

Если вы парсите данные юридических лиц (ИНН, адрес, название) - это не персональные данные в смысле 152-ФЗ. Нарушения по этому закону не будет. Могут быть ограничения со стороны самих реестров по условиям использования данных - читайте условия платформы.

Можно ли купить базу контактов и легально её использовать?

Покупая базу контактов физических лиц, вы автоматически становитесь оператором персональных данных - с полным объёмом требований 152-ФЗ. Нужно проверить, есть ли у продавца основание для передачи этих данных. На практике большинство таких баз собрано с нарушениями, и их использование несёт риски для покупателя.

Роскомнадзор реально штрафует за парсинг?

Напрямую за «парсинг» - нет, такого состава нет. Штрафуют за нарушение порядка обработки персональных данных, в том числе полученных через парсинг. С 2025 года проверки стали массовыми и предписания выдаются даже небольшим бизнесам.

Мой конкурент парсит мой сайт - что делать?

Обратиться с жалобой в Роскомнадзор (если есть основания считать, что собираются данные физлиц без оснований). Параллельно - поставить техническую защиту: конкурент не получит данные, которые не смог собрать.

Яндекс и Google индексируют мой сайт - это тоже «парсинг»?

Технически - да. Юридически - отдельная история. Поисковые роботы работают в рамках стандартных протоколов (robots.txt), и их деятельность подпадает под другие правовые нормы. Обычный парсер, собирающий данные для базы обзвона, с поисковой индексацией не сравнивать.


Источники

  1. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (ред. от 24.06.2025): consultant.ru
  2. Статья 13.11 КоАП РФ - штрафы за нарушения при обработке ПД: consultant.ru/legalnews/28492
  3. Статья 272.1 УК РФ - незаконное использование персональных данных: consultant.ru
  4. Новые штрафы за персональные данные с 30 мая 2025: edlegal.ru
  5. Законность парсинга открытых данных в России (гайд 2025): datalopata.ru
  6. Юридические границы парсинга в России: vc.ru/services/2280233
  7. РКН: 84% сайтов нарушают закон о ПД: vc.ru
  8. Правовое обоснование парсинга открытых данных: parsingx.ru/legal

Защита данных - двусторонняя работа: следить за тем, что вы собираете сами, и не давать собирать ваше. StopParsing закрывает вторую сторону. Начните с бесплатного аудита на leadlife.pro.

[CTA-POINT-3: финальный блок - рендерит cms.adapter]