В этой статье — подробный чек-лист, который поможет владельцу сайта самостоятельно проверить и устранить все основные нарушения.
Почему это важно именно сейчас
С 2024 - 2025 годов штрафы за нарушения в сфере персональных данных были существенно увеличены. Для юридических лиц суммы могут достигать сотен тысяч рублей за каждое нарушение, а в случае утечки данных — миллионов. Роскомнадзор проводит как плановые, так и внеплановые проверки, в том числе по жалобам пользователей. Кроме того, ведомство использует автоматизированные системы мониторинга сайтов.
С 2025 года Роскомнадзор активно проверяет сайты и отправляет предписания на устранение нарушений в течение 10 рабочих дней. Многим нашим клиентам уже приходили такие предписания и лучше заранее подготовить сайт чем в спешке потом искать юристов и разработчиков, которые смогут оперативно внести изменения.
Что грозит за нарушения
По состоянию на 2026 год основные штрафы предусмотрены статьёй 13.11 КоАП РФ:
- Обработка данных без согласия — штраф для юрлиц от 30 000 до 150 000 рублей (при повторном нарушении — до 500 000 рублей)
- Непубликация Политики конфиденциальности — штраф для юрлиц от 30 000 до 60 000 рублей
- Неуведомление РКН — штраф для юрлиц от 30 000 до 50 000 рублей (с учётом последних изменений суммы могут быть выше)
- Нарушение требований о локализации данных — штраф для юрлиц от 1 000 000 до 6 000 000 рублей (при повторном — до 18 000 000 рублей)
- Утечка данных без уведомления РКН — отдельные санкции, размеры которых продолжают увеличиваться
Кроме штрафов, Роскомнадзор может потребовать блокировки сайта через суд.
Что считается персональными данными на сайте
Персональные данные — это любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. На практике это означает, что персональными данными являются:
- Имя, фамилия, отчество
- Номер телефона
- Адрес электронной почты
- Почтовый адрес
- Дата рождения
- Фотография
- IP-адрес (в контексте, позволяющем идентифицировать пользователя)
- Данные cookies (в определённых случаях)
- Любые комбинации данных, позволяющие установить личность
Если на вашем сайте есть хотя бы одна форма, в которую пользователь вводит любые из перечисленных данных, — вы оператор персональных данных и обязаны соблюдать закон.
Полный чек-лист приведения сайта в соответствие
Документы на сайте
Основываясь на своём практическом опыте мы собрали список документов, которые обязательно должны быть на сайте, чтобы он соответствовал всем требованиям РКН.
Это основной документ, который должен быть размещён на сайте и доступен с любой страницы. Он должен содержать:
- Наименование и контактные данные оператора (владельца сайта)
- Цели сбора и обработки персональных данных
- Перечень собираемых персональных данных
- Правовые основания обработки
- Порядок и условия обработки данных
- Сроки обработки и хранения данных
- Порядок уничтожения данных по достижении целей обработки
- Сведения о передаче данных третьим лицам (если применимо)
- Сведения о трансграничной передаче данных (если применимо)
- Информация о способах защиты данных
- Порядок реализации прав субъектов персональных данных (доступ, изменение, удаление, отзыв согласия)
- Сведения об использовании cookies и систем аналитики
Если на сайте предусмотрена регистрация, личный кабинет или оказание услуг, необходимо пользовательское соглашение, в котором также должны быть затронуты вопросы обработки данных.
Каждая форма сбора данных должна сопровождаться механизмом получения согласия. Об этом — подробнее в следующем блоке.
Формы сбора данных
Здесь пойдёт речь о формах на сайте и как их привести ко всем требованиям. Если на вашем сайте нет ни одной формы, которую заполняет пользователь, то вам данный раздел не актуален.
Под каждой формой, в которой пользователь вводит свои данные, должен быть чекбокс (флажок) с текстом вида: «Я даю согласие на обработку моих персональных данных в соответствии с политикой конфиденциальности», где ссылки ведут на соответствующие документы на сайте.
Важные требования:
- Чекбокс не должен быть отмечен по умолчанию — пользователь должен поставить галочку самостоятельно (активное действие).
- Без установки чекбокса отправка формы должна быть невозможна
- Согласие должно быть конкретным, информированным и сознательным
Пройдитесь по всему сайту и составьте список всех форм, собирающих данные. Каждая из этих форм должна иметь чекбокс согласия и ссылку на Политику. Даже формы регистрации и авторизации должны соответствовать этим требованиям, но часто про них забывают почему-то.
Собирайте только те данные, которые действительно необходимы для заявленной цели. Если для обратного звонка достаточно номера телефона — не запрашивайте дату рождения и адрес. Принцип минимизации — одно из требований закона.
Cookies и системы аналитики
Если сайт использует cookies (а это практически любой современный сайт), необходимо уведомить об этом пользователя. Рекомендуется разместить баннер (всплывающую плашку), который:
- Информирует пользователя о том, что сайт использует cookies
- Объясняет цели использования (аналитика, функциональность, реклама)
- Содержит ссылку на Политику конфиденциальности или отдельный документ о cookies
В Политике должно быть указано:
- Какие cookies используются (собственные, сторонние)
- Для каких целей
- Какие системы аналитики подключены (Яндекс.Метрика, Google Analytics и др.)
- Как пользователь может отключить cookies
Хранение данных на территории России
Одно из важных требований — это хранение данных пользователей из России на серверах, которые расположены непосредственно в РФ. Ниже разберём все нюансы данного вопроса.
Согласно ч. 5 ст. 18 ФЗ-152, при сборе персональных данных граждан РФ оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
Что проверить:
- Хостинг сайта расположен в России (или первичная база данных — в России)
- CRM-система хранит данные на серверах в РФ
- Если используются зарубежные сервисы (например, облачные CRM), убедитесь, что первичная запись данных происходит на территории РФ
Если данные передаются за рубеж (например, в зарубежные сервисы рассылок, аналитики, CRM), это должно быть:
- Отражено в Политике конфиденциальности
- Обосновано правовым основанием
- В ряде случаев — согласовано с Роскомнадзором (с учётом изменений законодательства 2022–2023 годов, требуется уведомление РКН о трансграничной передаче)
Уведомление Роскомнадзора
Помимо соблюдения требований к сайту вы обязаны подать уведомление в Роскомнадзор, что вы являетесь оператором персональных данных.
Оператор персональных данных обязан до начала обработки подать уведомление в Роскомнадзор (ст. 22 ФЗ-152). Есть исключения (например, обработка данных только в рамках трудовых отношений), но для сайтов, собирающих данные клиентов, уведомление, как правило, обязательно.
Как подать:
- Через портал персональных данных Роскомнадзора
- Заполнить электронную форму уведомления
- Распечатать, подписать и направить бумажный экземпляр в территориальное управление РКН (или подать с ЭЦП)
После подачи уведомления проверьте, что ваша организация включена в Реестр операторов персональных данных на сайте Роскомнадзора.
При изменении сведений (новые цели обработки, новые категории данных, смена юридического адреса и т.д.) необходимо подать информационное письмо в РКН для актуализации данных в реестре.
Типичные ошибки
- Политика конфиденциальности скопирована с другого сайта. Документ должен отражать реальные процессы именно вашей организации. Шаблонная политика с чужим названием компании — это и нарушение, и репутационный риск.
- Чекбокс отмечен по умолчанию. Это не считается добровольным согласием. Роскомнадзор прямо указывает на недопустимость предзаполненных чекбоксов.
- Нет чекбокса на части форм. Часто забывают про формы в pop-up окнах, виджетах обратного звонка, квизах и чат-ботах.
- Не подано уведомление в РКН. Многие владельцы сайтов даже не знают об этом требовании.
- Хостинг за рубежом без локальной базы данных. Использование зарубежного хостинга само по себе не запрещено, но первичная база данных с ПДн граждан РФ должна быть в России.
- Отсутствие процедуры удаления данных. Пользователь просит удалить свои данные, а в компании нет регламента — данные продолжают храниться.
- Использование сторонних сервисов без оценки рисков. Подключение зарубежных CRM, сервисов рассылок, аналитики без учёта требований о трансграничной передаче.
Заключение
Приведение сайта в соответствие с требованиями законодательства о персональных данных — это не разовая акция, а непрерывный процесс. Законодательство меняется, появляются новые формы на сайте, подключаются новые сервисы. Рекомендуется проводить аудит не реже одного раза в год, а также при каждом существенном изменении на сайте.
Начните с этого чек-листа, пройдите по каждому пункту, устраните выявленные несоответствия — и вы значительно снизите риски претензий со стороны Роскомнадзора и повысите доверие пользователей к вашему ресурсу.
Наша команда может вам помочь осуществить технические доработки сайта и составить необходимые документы с политиками и согласиями, чтобы он соответствовал всем требованиям Роскомнадзора по обработке персональных данных.