Наличие сайта с формой обратной связи автоматически делает компанию оператором персональных данных со всеми вытекающими обязанностями по Федеральному закону № 152-ФЗ «О персональных данных». В 2026 году Роскомнадзор усилил надзор за малым и средним бизнесом: требования направляются не только крупным компаниям, но и небольшим региональным предприятиям. Практика показывает, что большинство нарушений обнаруживается не при сложных технических проверках, а при элементарном просмотре сайта — именно так работает и сам регулятор.
Что говорит закон об обязанностях оператора персональных данных
Федеральный закон № 152-ФЗ «О персональных данных» обязывает любую организацию, собирающую сведения о физических лицах, получать их явное, информированное и добровольное согласие до начала обработки. Согласие должно быть конкретным: пользователь должен понимать, какие данные, для каких целей и кем обрабатываются.
Статья 22 того же закона требует направить уведомление в Роскомнадзор до начала обработки персональных данных. При изменении целей или состава обрабатываемых данных необходимо подать уведомление об изменении сведений через портал ведомства. Несоответствие между реальной практикой сайта и данными в реестре операторов — самостоятельное нарушение.
Использование сервисов веб-аналитики — Яндекс Метрики, Google Analytics и аналогов — означает передчу данных посетителей третьим лицам. По закону это требует отдельного согласия пользователя на обработку cookie-файлов и технических данных, а также отражения этого факта в политике конфиденциальности и в уведомлении Роскомнадзора.
Федеральный закон № 152-ФЗ «О персональных данных», статья 9
Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.Топ-5 нарушений на сайтах компаний которые выявляет Роскомнадзор
- Форма обратной связи без чекбокса согласия. Кнопка «Отправить» без отдельного поля для выражения согласия на обработку персональных данных — нарушение ч. 1 ст. 9 ФЗ-152. Штраф для юридических лиц — от 30 000 до 150 000 рублей по ст. 13.11 КоАП РФ.
- Отсутствие согласия на cookie. Если сайт использует Яндекс Метрику или иные счётчики, посетитель должен явно согласиться с обработкой технических данных. Всплывающее уведомление без возможности отказа не считается надлежащим согласием.
- Устаревшая или формальная политика конфиденциальности. Документ, скопированный из интернета и не отражающий реальные цели обработки данных конкретной компании, не защищает от ответственности. Политика должна содержать перечень обрабатываемых данных, цели, сроки хранения и сведения о третьих лицах.
- Несоответствие сведений в реестре Роскомнадзора реальной практике. Если компания добавила на сайт новую форму или подключила аналитический сервис, но не обновила уведомление — это отдельное нарушение, которое выявляется при сверке реестра с содержимым сайта.
- Хранение данных на серверах за пределами России. С 2015 года персональные данные российских граждан должны первично обрабатываться на серверах в РФ (ст. 18.1 ФЗ-152). Использование зарубежных CRM или облачных форм без российской локализации — нарушение, штраф до 6 000 000 рублей при повторном выявлении.
Пошаговая инструкция как привести сайт в соответствие с законом
- Шаг 1. Аудит форм и сервисов (1–2 дня). Пройдите по сайту как обычный посетитель. Зафиксируйте все точки сбора данных: формы заявок, подписки, обратной связи, чаты, кнопки «Перезвоните мне». Составьте список подключённых сервисов: счётчики, CRM, рекламные пиксели.
- Шаг 2. Подготовка согласия на обработку персональных данных. Для каждой формы разработайте текст согласия с указанием оператора, целей обработки, перечня данных, срока хранения и порядка отзыва. Разместите чекбокс рядом с кнопкой отправки — он не должен быть предварительно отмечен.
- Шаг 3. Оформление согласия на cookie (до 3 дней). Подготовьте отдельный документ — политику использования cookie. Разместите его на отдельной странице. Добавьте всплывающий баннер при первом посещении сайта с кнопками «Принять» и «Отклонить».
- Шаг 4. Актуализация политики конфиденциальности. Внесите в документ реальные цели обработки данных: приём заявок, обратная связь, веб-аналитика, улучшение работы сайта. Укажите сведения о третьих лицах, которым передаются данные (Яндекс, рекламные сети). Обновите дату документа.
- Шаг 5. Уведомление Роскомнадзора об изменении сведений. Через портал pd.rkn.gov.ru подайте уведомление об изменении сведений. Добавьте фактические цели обработки, укажите используемые сервисы и категории обрабатываемых данных. Срок рассмотрения — 30 дней.
- Шаг 6. Проверка локализации данных. Убедитесь, что данные российских пользователей первично хранятся на серверах в России. При использовании зарубежных сервисов — проконсультируйтесь с юристом о допустимости трансграничной передачи.
Какие документы должны быть на сайте: полный список
| Документ | Где размещается | Основание |
|---|---|---|
| Политика обработки персональных данных | Отдельная страница, ссылка в подвале сайта | Ст. 18.1 ФЗ-152 |
| Согласие на обработку персональных данных | Рядом с каждой формой сбора данных (чекбокс) | Ст. 9 ФЗ-152 |
| Политика использования cookie | Отдельная страница + всплывающий баннер | Ст. 6 ФЗ-152, рекомендации РКН |
| Реквизиты оператора | В политике и в подвале сайта | Ст. 14 ФЗ-152 |
| Уведомление в реестре РКН | Портал pd.rkn.gov.ru (не на сайте) | Ст. 22 ФЗ-152 |
Топ-3 ошибки при оформлении согласия на обработку данных
- Предварительно отмеченный чекбокс. Если галочка уже стоит при загрузке страницы — это не согласие. Роскомнадзор квалифицирует это как обработку данных без согласия субъекта. Штраф по ч. 2 ст. 13.11 КоАП РФ — от 15 000 до 75 000 рублей для должностных лиц и от 75 000 до 200 000 рублей для организаций.
- Одно согласие на все цели сразу. Согласие на получение рекламной рассылки и согласие на обработку данных для исполнения договора — разные документы с разными правовыми основаниями. Смешение целей в одном тексте лишает согласие юридической силы в части каждой из них.
- Отсутствие механизма отзыва согласия. Пользователь должен иметь возможность отозвать согласие так же легко, как он его дал. Если на сайте нет соответствующей формы или инструкции — это нарушение ст. 9 ФЗ-152, которое фиксируется при проверке.
Что происходит если Роскомнадзор выявил нарушение на сайте
Какие меры может применить Роскомнадзор если компания не оформила согласие на обработку данных
При выявлении нарушений Роскомнадзор вправе направить предписание об устранении нарушений с указанием срока — как правило, от 10 до 30 дней. Неисполнение предписания влечёт составление протокола об административном правонарушении и передачу материалов в суд. Суд вправе назначить штраф, а при повторных нарушениях — ограничить доступ к сайту.
Какие штрафы грозят компании за нарушения в сфере персональных данных в 2026 году
| Нарушение | Статья КоАП | Штраф для организации в 2026 году |
|---|---|---|
| Обработка данных без согласия субъекта | Ч. 2 ст. 13.11 | от 75 000 до 200 000 руб. |
| Необеспечение доступа к политике конфиденциальности | Ч. 3 ст. 13.11 | от 30 000 до 60 000 руб. |
| Нарушение требований к локализации данных | Ч. 8 ст. 13.11 | от 1 000 000 до 6 000 000 руб. (повторно) |
| Неуведмление или несвоевременное уведомление РКН | Ч. 1 ст. 19.7 | от 3 000 до 5 000 руб. (должностное лицо) |
| Обработка данных сверх заявленных целей | Ч. 1 ст. 13.11 | от 60 000 до 100 000 руб. |
Можно ли оспорить предписание Роскомнадзора если компания не согласна с нарушением
Предписание Роскомнадзора можно обжаловать в вышестоящий орган ведомства или в арбитражный суд в течение 3 месяцев с момента получения по нормам КАС РФ и АПК РФ. Юристы рекомендуют параллельно с обжалованием устранять выявленные нарушения — это снижает риск штрафа даже если жалоба будет отклонена.
Комментарий эксперта: В 2026 году мы наблюдаем существенный рост числа проверок малого бизнеса в регионах — Роскомнадзор активно использует автоматизированный мониторинг сайтов. Типичная ошибка предпринимателей — считать, что достаточно разместить ссылку «Политика конфиденциальности» в подвале. На практике проверяется вся цепочка: есть ли чекбокс в форме, соответствует ли текст согласия реальным целям обработки, обновлено ли уведомление в реестре РКН. Рекомендую проводить самостоятельный аудит сайта не реже одного раза в год и при каждом подключении нового сервиса или добавлении формы — это занимает несколько часов, но позволяет избежать штрафов от 75 000 рублей и выше.
Часто задаваемые вопросы
У меня на сайте только форма «Оставьте номер телефона» — это уже персональные данные и нужно оформлять согласие?Да. Номер телефона в сочетании с именем или иными сведениями, позволяющими идентифицировать человека, является персональными данными по ст. 3 ФЗ-152. Даже одно поле «Имя + телефон» обязывает разместить чекбокс согласия рядом с кнопкой отправки формы.
Мы используем Яндекс Метрику — нужно ли отдельное согласие на cookie или достаточно политики конфиденциальности?Недостаточно. Яндекс Метрика собирает технические данные о посетителях и передаёт их Яндексу как третьему лицу. Это требует отдельного согласия на использование cookie-файлов, оформленного в виде всплывающего баннера с возможностью отказа, и отдельного документа — политики использования cookie.
Мы зарегистрированы в реестре операторов РКН три года назад — нужно ли что-то обновлять если добавили новую форму на сайт?Да, обязательно. При изменении целей обработки, состава данных или появлении новых форм сбора необходимо подать уведомление об изменении сведений через портал pd.rkn.gov.ru. Несоответствие реестровых данных реальной практике — самостоятельное нарушение, которое выявляется при сверке.
Можно ли использовать шаблон политики конфиденциальности из интернета или нужно писать индивидуально?Шаблон допустим как основа, но документ обязательно должен отражать реальные данные конкретной компании: наименование оператора, фактические цели обработки, перечень используемых сервисов, сроки хранения данных. Формальный шаблон без адаптации не защищает от ответственности — Роскомнадзор проверяет соответствие документа реальной практике сайта.
Что будет если проигнорировать предписание Роскомнадзора и не устранять нарушения?Неисполнение предписания в установленный срок влечёт составление протокола об административном правонарушении. Дело передаётся в суд, который вправе назначить штраф. При повторных нарушениях в сфере локализации данных штраф достигает 6 000 000 рублей, а доступ к сайту может быть ограничен.
Нужно ли согласие на cookie если сайт использует только собственные технические cookie без аналитики?Технические cookie, необходимые исключительно для работы сайта (например, сессионные), как правило, не требуют отдельного согласия. Однако аналитические, рекламные и функциональные cookie, передающие данные третьим лицам, требуют явного согласия пользователя. Юристы рекомендуют в любом случае размещать баннер с разграничением типов cookie.
Прошло уже полгода как мы полчили предписание РКН но ничего не сделали — можно ли ещё исправить ситуацию или штраф неизбежен?Устранить нарушения никогда не поздно — это учитывается судом как смягчающее обстоятельство и может снизить размер штрафа. Однако сам факт неисполнения предписания в срок уже является нарушением. Юристы рекомендуют немедленно устранить все нарушения, зафиксировать это документально и направить в РКН отчёт об исполнении предписания.
Мы небольшая компания из региона — Роскомнадзор реально проверяет таких или только крупный бизнес?В 2026 году практика показывает, что региональный малый бизнес проверяется наравне с крупными компаниями — особенно при наличии жалоб от пользователей или при автоматизированном мониторинге сайтов. Размер компании не является основанием для освобождения от ответственности по ФЗ-152.
Комментарии (0)
Пока нет комментариев. Будьте первым, кто оставит комментарий!