Меня зовут Максим, я веб-разработчик. За последний год я провёл аудит более 30 сайтов своих клиентов на соответствие обновлённым требованиям Роскомнадзора — и на 26 из них нашёл нарушения, за которые уже сейчас можно получить штраф. Причём владельцы были уверены, что у них «всё нормально — сайт же работает». Работает — да. Но не соответствует закону. А штрафы с 2024–2025 годов выросли в разы: за утечку персональных данных — до 18 миллионов рублей, за нарушение правил обработки ПДн — до 500 тысяч при повторном нарушении. Расскажу, что именно проверяет Роскомнадзор и что нужно поправить на вашем сайте.

Что изменилось в 2024–2026 годах

Федеральный закон 152-ФЗ «О персональных данных» существует с 2006 года. Но до 2024 года штрафы были символическими (до 75 тысяч рублей), и мало кто воспринимал их всерьёз. Ситуация изменилась.

Новые штрафы за утечки ПДн (закон от ноября 2024). За утечку персональных данных штрафы выросли кратно — до 18 миллионов рублей для юридических лиц в зависимости от объёма утечки. За повторные утечки — оборотные штрафы (процент от годовой выручки).

Штрафы за нарушение правил обработки ПДн. Обработка без согласия, отсутствие политики конфиденциальности, нелокализованное хранение — каждое нарушение теперь стоит значительно дороже. Для юрлиц — от 100 до 500 тысяч рублей.

Активизация проверок. Роскомнадзор увеличил штат и автоматизировал проверки. Теперь они могут массово сканировать сайты на наличие формы сбора данных без политики конфиденциальности.

168-ФЗ о русификации. С 1 марта 2026 года вступают требования по обязательной русификации интерфейсов сайтов, ориентированных на российскую аудиторию.

Что конкретно Роскомнадзор проверяет на сайте

1. Политика конфиденциальности

Каждый сайт, который собирает персональные данные (а это любой сайт с формой обратной связи, регистрацией, онлайн-заказом), обязан иметь документ — Политику в отношении обработки персональных данных.

Что должно быть в документе:

  • Наименование и контактные данные оператора
  • Цели обработки персональных данных
  • Перечень ПДн, которые обрабатываются
  • Правовые основания обработки
  • Категории субъектов данных
  • Порядок и условия обработки
  • Сроки хранения
  • Порядок уничтожения
  • Информация о трансграничной передаче (если есть)

Документ должен быть доступен по постоянной ссылке с каждой страницы сайта (обычно в подвале).

Частая ошибка: политика конфиденциальности скопирована с другого сайта и содержит чужие реквизиты. Или написана настолько абстрактно, что не соответствует реальным процессам на сайте.

2. Согласие на обработку ПДн

Перед сбором любых персональных данных (имя, телефон, email, адрес, IP — да, IP-адрес тоже считается ПДн) — необходимо получить согласие.

На практике это реализуется через чекбокс в формах:

☑ Я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности

Важно:

  • Чекбокс не должен быть отмечен по умолчанию — пользователь должен активно поставить галочку
  • Ссылка на политику — кликабельная, ведёт на полный текст
  • Без согласия — форма не должна отправляться

Частая ошибка: чекбокс отмечен по умолчанию. Или согласие спрятано мелким текстом. Или формы вообще не имеют чекбокса.

3. Cookie-баннер

Файлы cookie, которые позволяют идентифицировать пользователя — это персональные данные. А значит, требуется уведомление и согласие.

Что нужно:

  • Баннер при первом визите: «Мы используем файлы cookie для [перечень целей]. Продолжая использование сайта, вы соглашаетесь с нашей [Политикой использования cookie]»
  • Возможность отказаться
  • Если пользователь отказался — отключаются аналитические и маркетинговые cookie (функциональные — остаются)

Частая ошибка: баннер есть, но нет реальной возможности отказаться. Или cookie ставятся до того, как пользователь дал согласие.

4. Локализация хранения ПДн

С 2015 года (242-ФЗ) базы данных с персональными данными российских граждан должны храниться на серверах, расположенных в России.

Что это значит для сайта:

  • Хостинг — в России (или с ЦОД в России)
  • CRM, в которую попадают заявки — на серверах в РФ
  • Email-маркетинговый сервис — если хранит данные за рубежом, нужно обеспечить первичный сбор и хранение в РФ
  • Аналитика — Google Analytics хранит данные за рубежом (проблема!)

Частая ошибка: сайт на российском хостинге, но заявки уходят в CRM на серверах в Европе или США. Или используется Google Analytics без серверной прокладки.

5. Уведомление Роскомнадзора

Оператор ПДн обязан уведомить Роскомнадзор о начале обработки персональных данных (подать уведомление через портал pd.rkn.gov.ru). Исключения есть (например, обработка данных сотрудников), но если вы собираете данные клиентов через сайт — уведомление, скорее всего, нужно.

Частая ошибка: компания даже не знает, что это требование существует.

6. Запрет зарубежных скриптов (в перспективе)

С 2025 года усиливаются требования к отказу от зарубежных инструментов на сайтах. Google Analytics, Meta Pixel (Facebook), Google reCAPTCHA, виджеты WhatsApp — всё это находится в зоне риска. Пока запрет не абсолютный, но тренд очевиден: Роскомнадзор рекомендует переходить на российские аналоги.

Замены:

  • Google Analytics → Яндекс Метрика
  • Google reCAPTCHA → Яндекс SmartCaptcha
  • Google Fonts → локальные шрифты или российские CDN
  • WhatsApp виджет → Telegram или VK виджет

Как я привожу сайты в соответствие

Аудит

Прохожу по чек-листу из 25+ пунктов:

  1. Есть ли политика конфиденциальности? Актуальна ли?
  2. Все формы имеют чекбокс согласия?
  3. Чекбокс не отмечен по умолчанию?
  4. Есть ли cookie-баннер?
  5. Можно ли реально отказаться от cookie?
  6. Где хранятся данные (сервер, CRM, аналитика)?
  7. Есть ли уведомление в Роскомнадзор?
  8. Используются ли зарубежные скрипты?
  9. Есть ли SSL-сертификат (HTTPS)?
  10. Как долго хранятся данные? Есть ли процедура удаления?
  11. Есть ли функция удаления данных по запросу субъекта?

Исправление

По результатам аудита — план работ с приоритетами:

Критичные (штраф вероятен):

  • Добавить/обновить политику конфиденциальности
  • Добавить чекбоксы в формы
  • Подать уведомление в Роскомнадзор

Важные (штраф возможен):

  • Внедрить cookie-баннер с реальным функционалом
  • Мигрировать аналитику с Google Analytics на Яндекс Метрику
  • Проверить локализацию хранения данных

Рекомендуемые:

  • Заменить зарубежные скрипты
  • Внедрить процедуру удаления ПДн по запросу
  • Настроить автоматическое удаление устаревших данных

Документы

Помимо технической части, нужны юридические документы:

  • Политика конфиденциальности (персональные данные)
  • Политика использования cookie
  • Согласие на обработку ПДн (текст для чекбоксов)
  • Уведомление оператора ПДн (для Роскомнадзора)
  • Приказ о назначении ответственного за обработку ПДн

Я работаю в связке с юристом, который специализируется на ПДн. Документы разрабатываем совместно: юрист готовит содержание, я интегрирую на сайт.

Стоимость приведения сайта в соответствие

Экспресс-аудит (проверка основных пунктов, список нарушений). Срок: 1–2 дня. Бюджет: 15–30 тысяч рублей.

Полный аудит + исправление (техническая часть: cookie-баннер, чекбоксы, замена скриптов, миграция аналитики + юридические документы). Срок: 1–3 недели. Бюджет: 50–150 тысяч рублей.

Комплексная работа для крупного сайта (интернет-магазин, портал с личным кабинетом, сложные интеграции). Срок: 2–6 недель. Бюджет: 150–400 тысяч рублей.

Сравните со штрафами: 100–500 тысяч за нарушение правил обработки, до 18 миллионов за утечку. Инвестиция в compliance окупается при первой же проверке.

Три вещи, которые нужно сделать прямо сейчас

  1. Проверьте формы. Есть ли чекбокс согласия? Не отмечен ли он по умолчанию? Есть ли ссылка на политику?
  1. Проверьте политику конфиденциальности. Она есть? Она ваша (не скопирована с чужого сайта)? Она актуальна?
  1. Проверьте аналитику. Что стоит на сайте: Google Analytics или Яндекс Метрика? Если Google Analytics — планируйте миграцию.

Если нужна помощь с аудитом или приведением сайта в соответствие с требованиями Роскомнадзора — обращайтесь.