Требования Роскомнадзора к сайту: как избежать штрафов и привести ресурс в порядок

Любой сайт, на котором пользователи могут оставить свои данные — будь то форма обратной связи, подписка на рассылку, оформление заказа или регистрация — является объектом внимания Роскомнадзора. Даже если сайт не занимается продажей товаров или услуг, но собирает, хранит или обрабатывает персональные данные, на него распространяются требования Федерального закона № 152-ФЗ «О персональных данных» и других нормативных актов.

Сегодня Роскомнадзор активно проводит плановые и внеплановые проверки сайтов, особенно в сфере электронной торговли, услуг, медицины, образования и B2B. Несоблюдение требований законодательства может повлечь за собой административную ответственность, крупные штрафы, блокировку сайта по жалобе пользователя, а также репутационные риски.

Как показывает практика, большинство нарушений на сайтах — это отсутствие или некорректное оформление политики конфиденциальности, согласий на обработку ПДн, cookie-баннеров, а также технических мер по защите информации.

Важно: отсутствие юридически корректного оформления сайта — не просто недоработка, а правонарушение, за которое несёт ответственность владелец ресурса или юридическое лицо, выступающее оператором персональных данных.

Соответствует ли ваш сайт требованиям Роскомнадзора

Закажите экспресс-аудит сайта по 152-ФЗ

Уже сейчас нужно проверить свой сайт на соответствие 152 ФЗ. Составим чёткий план корректировки нарушений

Оставить заявку

Что проверяет Роскомнадзор на сайте

Роскомнадзор при проверке сайта обращает внимание на соблюдение законодательства в области обработки персональных данных и защиты информации. Основные требования регулируются Федеральным законом № 152-ФЗ «О персональных данных», Постановлениями Правительства РФ, а также статьёй 13.11 КоАП РФ.

Вот ключевые элементы, которые подлежат проверке:

1. Наличие и содержание политики конфиденциальности

Обоснование: ст. 18.1 Федерального закона № 152-ФЗ
Политика конфиденциальности — это публичный документ, в котором описываются:

• какие персональные данные собираются;
• цели и правовые основания их обработки;
• условия передачи данных третьим лицам;
• права пользователя как субъекта ПДн;
• контактная информация оператора (владельца сайта).

Требования:

• Документ должен быть размещён на всех страницах сайта — через постоянную ссылку в подвале сайта.
• Текст должен быть читаемым и оформлен юридически грамотно.
• Указан способ связи для реализации прав субъекта ПДн.

2. Согласие на обработку персональных данных

Обоснование: ст. 9 и 6 ФЗ-152
Перед тем как собирать и обрабатывать персональные данные, необходимо получить явное согласие пользователя.

Как это должно быть реализовано:

• чекбокс или другая активная форма подтверждения (не по умолчанию);
• рядом с формой (заявки, подписки, регистрации) — ссылка на текст согласия или политику;
• согласие должно быть добровольным, информированным, конкретным и осознанным;
• важно обеспечить фиксацию факта получения согласия (например, через лог в CRM, письмо в почту или скриншот при споре).

3. Корректное оформление форм обратной связи, заказов, подписки

Каждая форма, в которой запрашиваются ФИО, email, телефон, адрес или иные персональные данные:

• должна содержать чекбокс с согласием на обработку;
• должна указывать, зачем собираются данные;
• не должна иметь предустановленные галочки в согласии;
• должна быть безопасно реализована (https, защита от утечек, защита доступа к базе данных).

4. Уведомление о сборе файлов cookies и использовании аналитики

Сайт, который использует:

• Google Analytics, Яндекс.Метрику, пиксель Facebook, VK, TikTok и др.;
• сторонние рекламные трекеры;
• любые скрипты, сохраняющие cookies —

обязан уведомлять пользователя о сборе информации с помощью cookie-баннера.

Требования к баннеру:

• должен появляться при первом заходе на сайт;
• содержать краткий текст об использовании cookies;
• иметь кнопку согласия (например, «Принять»);
• включать ссылку на политику cookies.

5. Регистрация оператора персональных данных в Роскомнадзоре

Обоснование: ст. 22 ФЗ-152
Если сайт собирает и обрабатывает персональные данные, владелец (юридическое лицо или ИП) обязан зарегистрироваться как оператор персональных данных в Роскомнадзоре, если не подпадает под исключения.

Нарушение требований по уведомлению грозит штрафами до 300 000 руб.

6. Обеспечение безопасности персональных данных

Обоснование: ст. 19 ФЗ-152
Роскомнадзор оценивает не только юридические, но и технические меры защиты:

• использование HTTPS;
• хранение данных в зашифрованной форме;
• разграничение доступа к базам данных;
• защита от несанкционированного доступа, утечек и потерь.

Нет времени разбираться в нюансах?

Приведем Ваш сайт в порядок под ключ

Проведем детальный аудит сайта на соответствие 152-ФЗ, подготовим необходимые документы и внедрим их на сайт. Гарантия.

Оставить заявку

Частые ошибки в политике конфиденциальности, из-за которых могут быть штрафы

Политика конфиденциальности — это не просто формальность, а обязательный юридический документ, регулируемый ст. 18.1 Федерального закона № 152-ФЗ. Он должен быть доступен на сайте, оформлен правильно и отражать реальные процессы обработки персональных данных.

К сожалению, большинство сайтов публикуют типовой или устаревший текст, не соответствующий ни практике, ни закону. Ниже — самые распространённые ошибки, которые часто приводят к штрафам после проверок Роскомнадзора.

1. Отсутствие политики конфиденциальности на сайте

Что не так:
Если документа нет — это прямое нарушение ст. 18.1 152-ФЗ. Даже если сайт собирает всего один e-mail — политика должна быть.

2. Размещение политики только на одной странице сайта

Что не так:
Политика должна быть доступна на каждой странице сайта, а не спрятана на одном URL без ссылок. На практике — размещается в футере или в меню.

Рекомендация:
Разместите постоянную ссылку в нижнем колонтитуле сайта. Это один из первых признаков формального соблюдения закона, который ищет Роскомнадзор.

3. Нет актуальных данных об операторе

Что не так:
Многие политики не содержат данных о компании или содержат данные других компаний (взятых из шаблона). Это считается фальсификацией.

Правильно:

• Полное наименование юридического лица или ФИО ИП
• ИНН, ОГРН
• Юридический адрес
• Контактный email для обращений субъекта ПДн

4. Не указано, какие персональные данные обрабатываются

Что не так:
Общие фразы типа «мы обрабатываем ваши данные» не соответствуют требованиям. Политика должна чётко указывать: ФИО, email, телефон, адрес, IP-адрес, cookies и т. д.

Рекомендация:
Составьте список видов данных, обрабатываемых на сайте, включая автоматический сбор (cookies, аналитика).

5. Не указаны цели обработки

Что не так:
Часто забывают указать, зачем собираются данные: оформление заказа, отправка уведомлений, улучшение сервиса, маркетинг и т. д.

6. Отсутствие информирования о передаче данных третьим лицам

Что не так:
Если вы используете CRM, платёжные шлюзы, формы на сторонних сервисах, аналитику — это передача данных третьим лицам, и это должно быть отражено в политике.

Рекомендация:
Укажите перечень категорий третьих лиц или конкретных операторов, с которыми вы делитесь ПДн, с основанием такой передачи.

7. Нет указания на срок хранения данных

Что не так:
Нельзя хранить персональные данные бессрочно. Политика должна указывать срок хранения или принцип определения срока (например, «в течение срока действия договора и 3 лет после его окончания»).

8. Отсутствие информации о правах субъекта ПДн

Что не так:
Закон обязывает вас проинформировать пользователя о его правах: запрос на удаление, изменение, отзыв согласия, доступ к данным.

Что должно быть:
Перечень прав субъекта согласно ст. 14 и 21 152-ФЗ и контактный канал для реализации этих прав.

9. Нет описания мер по защите данных

Что не так:
Отсутствие информации о мерах защиты может быть расценено как нарушение ст. 19 ФЗ-152.

Рекомендация:
Кратко опишите, что вы используете организационные и технические меры: шифрование, ограничение доступа, защищённый канал (HTTPS) и пр.

10. Использование шаблона без адаптации

Что не так:
Типовая «политика конфиденциальности», скопированная с другого сайта, скорее всего, не отражает вашу реальность, а значит — юридически ничтожна.

Обнаружили ошибки на сайте

Разработаем документацию по 152-ФЗ

Услуга под ключ: подготовим, проведем аудит сайта, подготовим юридически точные документы и внедрим их на сайт

Подробнее об услуге

Ответственность за несоблюдение требований Роскомнадзора

Игнорирование требований законодательства в сфере обработки персональных данных может привести не только к блокировке сайта или жалобам пользователей, но и к серьёзной административной ответственности. Проверки Роскомнадзора проводятся как планово, так и внепланово — по обращениям граждан, партнёров, конкурентов или в рамках массовых проверок.

Примеры типичных нарушений

• Сайт собирает e-mail и телефон, но нет политики или согласия.
• Форма подписки не содержит чекбокса согласия.
• Cookie-баннер отсутствует, хотя используется аналитика.
• Владелец сайта не уведомил Роскомнадзор, хотя обрабатывает ПДн.
• Используется платёжный агрегатор, но это не отражено в документации.
• Политика размещена, но не содержит реквизитов компании или не соответствует реальной обработке.

Блокировка сайта

Если данные обрабатываются незаконно, Роскомнадзор может передать материалы в Генпрокуратуру и внести сайт в Единый реестр нарушителей. В этом случае:

• сайт блокируется провайдерами связи;
• восстанавливать доступ приходится через суд или исполнение предписаний.

Дополнительные риски:

• Жалобы клиентов или конкурентов — основание для внеплановой проверки.
• Потеря доверия пользователей и партнёров — особенно в B2B и e-commerce.
• Претензии от платежных систем, маркетплейсов и рекламных платформ (они требуют правовое соответствие).

Как избежать ответственности:

• Провести аудит сайта на соответствие требованиям 152-ФЗ.
• Разместить корректные документы.
• Правильно настроить cookie-баннеры и формы.
• Зарегистрироваться в Роскомнадзоре при необходимости.
• Зафиксировать получение согласий и реализовать технические меры защиты.