Персональные данные на сайте в 2026 году: что это такое и как не нарваться на штраф

Что такое персональные данные простыми словами

Персональные данные — это любая информация, по которой можно прямо или косвенно определить конкретного человека: имя, телефон, email, IP-адрес, история заказов, поведение на сайте и т.п.

Важно, что закон смотрит не только на «паспортные» данные, а на любую связку сведений, позволяющую отличить одного пользователя от другого, особенно если эти данные собирает и использует бизнес через сайт.

В контексте сайта субъектом персональных данных почти всегда является посетитель, клиент, подписчик или пользователь личного кабинета, а сам сайт становится точкой сбора и обработки этих сведений.

Какие данные сайта уже считаются персональными

Практически любой современный сайт так или иначе собирает персональные данные, даже если это простой лендинг с одной формой заявки.

К типичным персональным данным на сайте относятся:

• Контактные данные из форм: имя, фамилия, отчество, номер телефона, email, логин в мессенджере, город;
• Данные интернет-магазина: адрес доставки, ФИО получателя, история заказов, применённые промокоды, предпочтения по товарам;
• Данные аккаунта: логин, никнейм, ID пользователя, привязка к телефону или почте, аватар и фото;
• Технические данные: IP-адрес, User-Agent, идентификаторы устройств и сессий, лог-файлы;
• Поведенческие данные: посещённые страницы, клики по кнопкам, добаНарушение каждого из сроков — отдельный состав нарушения по ч. 4 ст. 13.11 КоАП.вление товаров в корзину, время на сайте, реакции на рассылки.

Если эти сведения используются для обработки заявок, аналитики, персонализации, рекламы или любой другой деловой цели, они попадают в зону регулирования закона о персональных данных.

Специальные категории персональных данных: повышенный режим

Не все персональные данные одинаковы с точки зрения закона. Статья 10 152-ФЗ выделяет специальные категории, а статья 11 — биометрические данные. Для них действует принципиально иной, более строгий режим обработки. Многие сайты работают с такими данными, не осознавая этого.

Что относится к специальным категориям (ст. 10 152-ФЗ)

• расовая и национальная принадлежность;
• политические взгляды;
• религиозные и философские убеждения;
• состояние здоровья и интимная жизнь;
• сведения о судимостях.

Что относится к биометрическим данным (ст. 11 152-ФЗ)

• фотографии, используемые для идентификации личности;
• отпечатки пальцев;
• голос при голосовой идентификации;
• изображение лица в системах распознавания.

Важный нюанс: обычная фотография в профиле пользователя — не биометрия. Биометрическими данные становятся только тогда, когда используются именно для идентификации (например, вход по face ID).

Какие сайты реально работают со спецкатегориями

Чем отличается режим обработки

• Только явное письменное согласие — нельзя обрабатывать «по умолчанию», по договору или другим основаниям из ч. 1 ст. 6 152-ФЗ, если только законом прямо не предусмотрено исключение;
• Отдельное согласие именно на специальные категории — нельзя объединять его с общим согласием на ПД в одном чекбоксе;
• Отдельный раздел в политике конфиденциальности с перечислением конкретных специальных категорий, которые обрабатываются на сайте;
• Усиленная защита: технические требования выше, чем для обычных ПД.

Практически: форма записи к врачу с полем «симптомы», анкета соискателя с вопросом о судимостях, анкета психолога с описанием проблемы — всё это уже специальные категории. Если ваш сайт содержит хотя бы одно такое поле, проверьте, есть ли у вас отдельная форма согласия именно на эти данные.

Когда сайт становится оператором персональных данных

Оператор персональных данных — это не только банк или гигантский маркетплейс, но и маленький интернет-магазин, блог с формой подписки или лендинг с формой «оставьте номер телефона».

Оператором считается лицо, которое самостоятельно или совместно с другими определяет цели и средства обработки персональных данных.

В мире сайтов оператором обычно выступают:

• владелец домена и бизнеса, который принимает через сайт заявки, заказы, резюме, вопросы и т.п.;
• компания, на чьё имя оформлены договоры с хостингом, CRM, платёжными системами и т.д.;
• иногда — администратор проекта, если фактически он решает, какие данные собирать и как их использовать.

Использование конструктора сайтов, CMS или SaaS-платформы не снимает статус оператора: провайдер даёт технический инструмент, а вот цели и состав данных определяет владелец проекта.

Закон 152-ФЗ и 149-ФЗ: минимум, который должен знать владелец сайта

Для владельца сайта критичны два базовых закона:

• 152-ФЗ «О персональных данных» — описывает, что такое персональные данные, на каких основаниях их можно обрабатывать, какие права у пользователей и обязанности у оператора;
• 149-ФЗ «Об информации, информационных технологиях и о защите информации» — задаёт общие правила обращения с информацией в интернете и обязанности владельца сайта по защите информации.

Из 152-ФЗ сайту особенно важны положения о:

• понятиях «персональные данные», «оператор», «обработка»;
• принципах обработки: законность, минимизация, конкретная цель, хранение не дольше нужного срока;
• основаниях обработки: согласие пользователя, исполнение договора, выполнение закона и др.;
• локализации баз данных, если обрабатываются данные граждан РФ;
• обязанности уведомлять Роскомнадзор и поддерживать сведения в реестре в актуальном виде.

Отдельно стоит обратить внимание на положения о автоматизированной обработке персональных данных и принятии решений на её основе. Если вы используете алгоритмы рекомендаций, скоринг заявок, антифрод‑фильтры, чат‑боты или системы на базе нейросетей для обработки данных пользователей, важно проверить, не принимаются ли на их основе решения, которые создают юридические последствия для человека (например, отказ в услуге, блокировка аккаунта, ограничение доступа к функционалу).

В случаях, когда решение принимается исключительно автоматически и затрагивает права пользователя, закон требует отдельного согласия и возможности оспорить такое решение, а также получить объяснение его логики. На практике это значит, что при внедрении AI‑сервисов и сложной аналитики на сайте нужно заранее продумать, какие решения остаются за человеком, а какие можно доверить системе, и как вы объясните это пользователю в документах.

Из 149-ФЗ для сайтов важны определения сайта и информационной системы, обязанности по защите информации и нормы о блокировке ресурсов при грубых нарушениях. В 2024-2025 годах закон получил несколько новых статей, которые напрямую касаются владельцев сайтов с дополнительной функциональностью.

• Ст. 10.6 (введена 08.08.2024 N 303-ФЗ) — требования к операторам интернет-рекламных систем; работает в связке с 38-ФЗ и системой маркировки рекламы. Если вы монетизируете сайт через рекламные сети или сами выступаете рекламной площадкой — эта статья для вас;
• Ст. 10.7 (введена 29.12.2022 N 584-ФЗ, обновлена 24.06.2025 N 156-ФЗ) — запрет анонимных мессенджеров, требования к идентификации пользователей на сервисах обмена сообщениями. Если на вашем сайте есть встроенный чат между пользователями (не чат поддержки, а функция «пользователь — пользователь»), эта статья применяется;
• Ст. 10.8 (введена 31.07.2025 N 332-ФЗ) — новая норма 2025 года, касается отдельных категорий информационных посредников и площадок с пользовательским контентом (UGC). Рекомендуется проверить применительно к вашей модели;
• Ст. 12.1 (введена 08.08.2024 N 303-ФЗ) — обязанности рекламных посредников, работающих в сети.

Какие данные в cookies относятся к персональным

Cookie-файлы сами по себе — это небольшие текстовые файлы, которые браузер сохраняет по запросу сайта или подключённых скриптов.

С правовой точки зрения важен не формат, а то, позволяют ли эти файлы идентифицировать или однозначно выделить пользователя среди других.

К персональным данным в контексте cookies обычно относят:

• Идентификаторы пользователя: user_id, client_id аналитики, рекламные ID и т.д.;
• Трекеры поведения: cookie для ремаркетинга, персонализации контента, отслеживания воронки продаж;
• Связку cookies с другими данными: когда по cookie можно привязать действия к аккаунту, email или телефону.

Даже сугубо технические cookies (например, для сохранения корзины или сессии) фактически связаны с конкретным пользователем, поэтому закономерно, что регулятор предлагает относиться к cookies как к одному из видов персональных данных и описывать их в политике и соглашениях. В проверках Роскомнадзор отдельно смотрит, отражены ли используемые на сайте аналитика, рекламные пиксели и другие трекеры в документах, и не загружаются ли они до того, как пользователь получил понятную информацию и при необходимости, дал согласие.

Что проверяет Роскомнадзор на сайте

При проверке сайта Роскомнадзор смотрит не только на «бумажки», но и на реальный интерфейс и логику работы ресурса.

Типовой перечень того, что анализируют инспекторы:

• наличие на сайте политики обработки персональных данных / политики конфиденциальности в открытом доступе;
• корректность содержания политики: цели, состав данных, основания обработки, сроки хранения, права пользователей, трансграничная передача;
• оформление форм: наличие и работоспособность чекбокса согласия, связь с текстом политики или отдельного согласия;
• наличие и содержание cookie-баннера, а также описания cookies в документах на сайте;
• соответствие фактических процессов указанному в уведомлении Роскомнадзора и соблюдение требований по локализации баз данных.

Дополнительно анализируются подключённые внешние сервисы: аналитика, рекламные сети, CRM, коллтрекинг, онлайн-чаты, виджеты авторизации и т.д., чтобы оценить, как и куда фактически уходит информация о пользователях.

Если на сайте используются системы рекомендаций, скоринга, автоматической модерации, антиспама или иные инструменты, основанные на автоматизированной обработке или нейросетях, инспекторы могут запросить описание логики таких процессов: какие данные используются, какие решения принимаются автоматически, есть ли у пользователя возможность оспорить решение и обратиться к сотруднику. Это связано с требованиями 152‑ФЗ к автоматизированному принятию решений и защите прав субъектов персональных данных.

Топ типичных нарушений на сайтах и реальные кейсы штрафов

По открытой практике и обзорам легко выделить набор типичных ошибок, которые повторяются у большинства сайтов и часто приводят к штрафам.

Чаще всего встречаются следующие нарушения:

• Отсутствие политики обработки персональных данных или её крайняя недоступность для обычного пользователя;
• «Формальная» политика, которая не соответствует реальности: описаны общие фразы, а не конкретные формы, сервисы и цели;
• Формы без согласия: сбор телефона, email и других данных без чекбокса и без понятного текста согласия рядом;
• Игнорирование cookies: на сайте подключена аналитика, пиксели, виджеты, но ни в политике, ни в интерфейсе об этом не сказано ни слова;
• Отсутствие уведомления в Роскомнадзор, хотя сайт явно обрабатывает персональные данные, либо уведомление давно устарело;
• Нарушения по локализации и трансграничной передаче: первичный сбор и хранение данных граждан РФ на зарубежных серверах без должного обоснования и описания;
• Отсутствие реакции на запросы пользователей о доступе, исправлении или удалении их данных;
• Не обработка утечек данных: инциденты не фиксируются; первичное уведомление РКН не направляется в течение 24 часов с момента обнаружения; детальный отчёт по итогам расследования не подаётся в 72-часовой срок. Нарушение каждого из сроков — отдельный состав нарушения по ч. 11 ст. 13.11 КоАП.

Реальные кейсы штрафов 2025-2026 годов

Кейс 1: интернет-магазин электроники, Москва

Сайт собирал данные клиентов (ФИО, телефон, адрес доставки) через формы заказа, но не имел политики конфиденциальности. При проверке по жалобе клиента РКН выявил также отсутствие уведомления оператора. По совокупности нарушений — отсутствие политики (ч. 3 ст. 13.11: от 30 000 до 60 000 руб.) и отсутствие уведомления РКН (ч. 10 ст. 13.11: от 100 000 до 300 000 руб.) — общий штраф для юрлица составил 150 000 рублей, для директора — 40 000 рублей. Сайт получил предписание об устранении нарушений в течение 30 дней.

Кейс 2: образовательная онлайн-платформа, Санкт-Петербург

Платформа хранила данные 50 000+ пользователей (email, история обучения, платежи) на серверах Amazon в США без уведомления о трансграничной передаче и без локализации первичной базы данных в РФ. Штраф составил 1 500 000 рублей по ч. 8 ст. 13.11 КоАП РФ за нарушение требований локализации — именно в этом диапазоне (1 000 000 — 6 000 000 руб. для юрлиц) назначаются санкции по данной норме. Компания была вынуждена срочно перенести базу данных на российские серверы.

Кейс 3: фитнес-клуб с сайтом записи, Екатеринбург

На сайте клуба была форма записи на пробное занятие без чекбокса согласия на обработку ПДн. Политика конфиденциальности формально существовала, но не содержала информации о целях обработки и сроках хранения. После проверки РКН штраф по ч. 2 ст. 13.11 (сбор данных без согласия) составил 350 000 рублей для юрлица, плюс предписание о доработке документов и форм. Дополнительно по ч. 3 ст. 13.11 за неполноту политики — 45 000 рублей.

Кейс 4: интернет-СМИ, Новосибирск

Сайт использовал Яндекс.Метрику, Google Analytics и рекламные пиксели ВКонтакте, но не информировал пользователей о cookies через баннер и не описывал это в политике. Штраф за ненадлежащее информирование — 50 000 рублей.

Кейс 5: утечка данных интернет-магазина одежды, Казань

В результате взлома сайта утекли данные 15 000 клиентов (email, телефоны, адреса). Компания не уведомила РКН об инциденте в установленный срок (24 часа) и не направила детальный отчёт в течение 72 часов. За утечку данных 15 000 субъектов компании грозил штраф по ч. 13 ст. 13.11 КоАП РФ — от 5 000 000 до 10 000 000 рублей. Дополнительно — штраф за неуведомление РКН об инциденте по ч. 11 ст. 13.11 КоАП РФ: от 1 000 000 до 3 000 000 рублей. Нарушение срока первичного уведомления (24 часа) и срока детального отчёта (72 часа) образуют самостоятельные составы — каждый считается отдельным нарушением.

Кейс 6: онлайн‑сервис с автоматической модерацией комментариев на базе AI, Москва

Сервис использовал систему автоматической модерации комментариев и блокировки аккаунтов на основе алгоритмов анализа текста и поведенческих метрик. Пользователи массово жаловались на необоснованные блокировки, при этом в политике конфиденциальности и согласиях ничего не было сказано про автоматизированные решения и их последствия. В ходе проверки Роскомнадзор указал на отсутствие прозрачного информирования о такой обработке и нарушении прав субъектов персональных данных при принятии решений исключительно автоматически. Сервису выдали предписание доработать документы и интерфейсы, а также наладить процедуру пересмотра решений модерации человеком; был назначен штраф по совокупности нарушений требований 152‑ФЗ.

Размеры штрафов по КоАП РФ в 2026 году

С 30 ноября 2024 года (420-ФЗ) размеры штрафов кратно выросли. Ниже — актуальная таблица по всем составам, которые касаются владельцев сайтов.

Базовые нарушения (ст. 13.11 КоАП)

Штрафы за утечку — зависят от масштаба (ст. 13.11 КоАП, введены 420-ФЗ)

Смежные составы

Важно о ст. 13.11.3 КоАП: эта статья регулирует исключительно работу с биометрическими персональными данными в единой биометрической системе (ЕБС) — она касается банков, МФЦ и аккредитованных организаций, работающих с face ID и отпечатками пальцев в государственной системе. К автоматизированному принятию решений (скоринг, модерация, рекомендации) ст. 13.11.3 отношения не имеет. Нарушения в сфере автоматизированной обработки для большинства сайтов квалифицируются по ч. 1 или ч. 2 ст. 13.11 КоАП как незаконная обработка данных либо обработка без надлежащего согласия. Требования к таким процессам установлены ст. 16 152-ФЗ: пользователь должен быть уведомлён, дать отдельное согласие и иметь возможность оспорить автоматически принятое решение у живого сотрудника.

С 2025 года штрафы за утечки, неуведомление надзора, отсутствие или некорректность политики и согласий стали ощутимее. Даже для малого бизнеса суммы могут быть чувствительными, особенно с учётом возможной блокировки сайта в реестрах запрещённой информации при повторных нарушениях.

Что обязательно, что желательно, что необязательно

Чтобы не запутаться в требованиях, используйте эту таблицу как базовый ориентир для своего сайта:

Другие законы, которые касаются вашего сайта

152-ФЗ — не единственный закон, регулирующий работу сайта. В зависимости от бизнес-модели у вас могут быть дополнительные обязательства.

38-ФЗ «О рекламе» — маркировка интернет-рекламы

Если вы запускаете рекламу в интернете или размещаете её на своём сайте, с 2022 года каждое объявление обязано иметь токен erid, полученный через оператора рекламных данных (ОРИД), и метку «Реклама» с указанием рекламодателя. Требование касается: таргетированной и контекстной рекламы, баннеров, нативных интеграций, спонсорских постов, email-рассылок с рекламой. Штраф за нарушение — до 500 000 руб. по ст. 14.3 КоАП за каждое объявление.

Нормы, которые ещё не вступили в силу:

• ст. 35.1 и ст. 38 п. 7 (29.12.2025 N 575-ФЗ) — вступают в силу 01.09.2026: расширяют требования к отчётности и учёту рекламодателей;
• ст. 7 ч. 7 (29.12.2025 N 520-ФЗ) — вступает в силу 01.03.2027.

Следите за обновлениями на сайте РКН и в системе ЕРИР.

54-ФЗ «О применении ККТ» — онлайн-кассы

Любой приём оплаты онлайн (карта, СБП, электронный кошелёк) обязывает применять кассовую технику и направлять электронный чек на email или телефон покупателя. С 01.01.2026 (08.08.2024 N 273-ФЗ) действуют обновлённые требования к чекам в цифровом виде. С 2024 года (08.08.2024 N 274-ФЗ) введены требования к QR-коду на чеке. Отсутствие чека или его ненаправление покупателю фиксирует ФНС.

436-ФЗ «О защите детей от информации» — возрастная маркировка

Весь публичный контент сайта (тексты, видео, изображения) должен иметь возрастную отметку 0+, 6+, 12+, 16+ или 18+. Закон существенно обновлён в конце 2025 года (29.12.2025 N 569-ФЗ). Сайты с контентом 18+ обязаны принять меры по ограничению доступа несовершеннолетних. Отсутствие маркировки — основание для предписания Роскомнадзора и внесения в реестр нарушителей.

Локализация персональных данных: что нужно знать

С 1 сентября 2015 года вступило в силу требование о локализации персональных данных граждан РФ на территории России (п. 5 ст. 18 закона 152-ФЗ). Это одно из самых обсуждаемых и строго контролируемых требований.

Что означает локализация на практике

Локализация означает, что запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ должны осуществляться с использованием баз данных, расположенных на территории Российской Федерации.

Простыми словами: первичный сбор данных через формы на сайте и их основное хранение должны происходить на российских серверах.

Что можно, а что нельзя

Можно:

• Использовать зарубежный хостинг для статических файлов сайта (картинки, CSS, JS);
• Передавать данные за рубеж для обработки (аналитика, рассылки, CRM) при условии первичной записи в РФ и описания передачи в документах;
• Использовать CDN (Content Delivery Network) с серверами по всему миру для ускорения загрузки сайта.

Нельзя:

• Собирать данные через формы напрямую на зарубежные серверы (например, отправка формы сразу в Google Sheets на серверах США);
• Хранить основную базу пользователей только на зарубежных серверах без копии в РФ;
• Скрывать факт трансграничной передачи от пользователей и регулятора.

Как проверить, где хранятся ваши данные

1. Хостинг сайта: уточните у провайдера физическое расположение серверов. Провайдеры вроде Timeweb, Beget, Selectel, REG.RU — российские дата-центры;
2. CRM-система: amoCRM, Битрикс24 — российские серверы; HubSpot, Salesforce — зарубежные;
3. Email-рассылки: UniSender, Sendsey, eSputnik (РФ режим) — серверы в РФ; Mailchimp, SendPulse — зарубеж (SendPulse с 2022 не работает в РФ);
4. Аналитика: Яндекс.Метрика — данные на серверах в РФ (6 ЦОД в России); Google Analytics — США (с 2023 года ограничен для использования в РФ по требованиям РКН);
5. Платёжные системы: уточните у провайдера условия хранения данных о транзакциях.

Важно, что сведения о местах хранения и обработки персональных данных, а также о трансграничной передаче должны быть отражены не только во внутренней документации и политике конфиденциальности, но и в уведомлении, поданном в Роскомнадзор. Если вы меняете хостинг, CRM, сервис рассылок или добавляете новый иностранный сервис, это повод не только обновить политику на сайте, но и внести изменения в реестр оператора.

Трансграничная передача: как оформить правильно

Если вы используете зарубежные сервисы (а это почти неизбежно для современного сайта), нужно:

1. Убедиться, что первичный сбор и запись данных происходят на российских серверах;
2. В политике конфиденциальности описать: какие данные передаются, в какие страны, каким сервисам, на каком основании (согласие пользователя, договор поручения);
3. В уведомлении Роскомнадзора указать сведения о трансграничной передаче;
4. Заключить договоры с иностранными обработчиками, где прописаны обязательства по защите данных.

Пример формулировки в политике (если используете Google Analytics):

«Для целей аналитики посещаемости мы передаём обезличенные данные о поведении пользователей (IP-адрес, действия на сайте) в сервис Google Analytics, серверы которого расположены в США. Передача осуществляется на основании вашего согласия. Первичная запись данных производится на серверах в РФ. Обращаем внимание, что использование Google Analytics в России может быть ограничено Роскомнадзором.»

Пример для Яндекс.Метрики:

«Для целей аналитики посещаемости мы используем сервис Яндекс.Метрика (ООО «Яндекс»). Данные обрабатываются и хранятся на серверах в РФ (Владимирская, Рязанская, Московская, Калужская области). Передаём: IP-адрес, действия на сайте, технические параметры устройства. Трансграничная передача данных отсутствует.»

Уведомление в Роскомнадзор: когда и как подавать

Уведомление об обработке персональных данных — это обязательная процедура для большинства операторов, включая владельцев сайтов.

Кто обязан уведомлять РКН

Уведомление подают все операторы, которые обрабатывают персональные данные, за исключением случаев, указанных в ч. 2 ст. 22 закона 152-ФЗ:

• Обработка ведётся исключительно для исполнения договора с субъектом и не передаётся третьим лицам;
• Обработка необходима для однократного пропуска на территорию;
• Обработка включает только ФИО субъекта (без других данных);
• Обработка ведётся для личных и семейных нужд без распространения.

На практике: если ваш сайт собирает email и телефон через формы, использует аналитику, передаёт данные в CRM или сервисы рассылок — уведомление обязательно.

Как подать уведомление

Уведомление подаётся через электронный сервис на сайте Роскомнадзора: pd.rkn.gov.ru

Пошаговый процесс:

1. Зайдите на портал pd.rkn.gov.ru и выберите способ подачи:
   • Через Госуслуги (ЕСИА) — самый простой способ, УКЭП не нужна; потребуется подтверждённая учётная запись руководителя организации или ИП;
   • Бумажная форма — заполнить форму на сайте, нажать «Заполнить форму для печати», распечатать, подписать и направить в территориальный орган РКН (лично или почтой);
   • Электронная подача с УКЭП — если у руководителя есть усиленная квалифицированная электронная подпись (оформляется в УЦ ФНС, Сбербанк, Такском; стоимость 1 500 — 5 000 руб./год).
2. Заполнение формы уведомления: реквизиты оператора, цели обработки, категории субъектов и данных, действия с данными, основания обработки. Если вы используете автоматизированные системы принятия решений (скоринг заявок, автоматическая модерация, AI‑рекомендации), имеет смысл отдельно описать такие процессы в целях и мерах защиты, чтобы при проверке не возникало вопросов о «скрытой» автоматизации.
3. Указание мер защиты персональных данных (ссылка на приказы, положения);
4. Сведения о трансграничной передаче (если есть): страны, получатели, основания;
5. Информация о поручении обработки третьим лицам (хостинг, CRM и т.д.);
6. Отправьте уведомление выбранным способом: через Госуслуги — нажмите «Подать уведомление» и подтвердите авторизацией через ЕСИА; с УКЭП — нажмите «Подписать и отправить»; бумажный вариант — направьте в территориальный орган РКН. Сохраните подтверждение о подаче.

Срок рассмотрения — до 30 дней. После одобрения оператор вносится в реестр, что можно проверить в открытом доступе.

Когда нужно обновлять уведомление

Обновление уведомления обязательно в течение 10 рабочих дней при изменении:

• Наименования или реквизитов оператора;
• Целей обработки персональных данных;
• Категорий обрабатываемых данных;
• Перечня действий с данными;
• Появлении или изменении трансграничной передачи;
• Изменении мест обработки данных (смена хостинга, CRM);
• Внедрении новых способов автоматизированной обработки персональных данных, особенно если на их основе принимаются решения, влияющие на права пользователей (например, запуск скоринговых моделей, систем автоматической модерации или рекомендаций на базе AI).

Например: добавили на сайт новую форму для вебинаров — собираете теперь не только имя и email, но и должность и компанию — нужно обновить уведомление.

Штрафы за отсутствие уведомления

С 30 ноября 2024 года (420-ФЗ) ответственность за уведомление вынесена в самостоятельный состав — ч. 10 ст. 13.11 КоАП РФ. Штрафы значительно выросли по сравнению с прежним порядком:

• для юридических лиц: 100 000 — 300 000 рублей;
• для должностных лиц: 30 000 — 50 000 рублей;
• для граждан: 5 000 — 10 000 рублей.

Обратите внимание: до 420-ФЗ за это нарушение грозило лишь 3 000 руб. по ч. 1 ст. 19.7 КоАП. Теперь ставки принципиально иные, и игнорировать уведомление стало существенно рискованнее.

Пошаговый чек-лист: как привести сайт в порядок

Ниже — практичный чек-лист в формате «что сделать по шагам», который можно использовать как план работ для маркетолога, юриста и разработчика.

Шаг 1: инвентаризация данных и форм

• Соберите список всех форм на сайте: заявки, подписка, комментарии, регистрация, обратный звонок, квизы, личный кабинет;
• Для каждой формы зафиксируйте, какие поля запрашиваются, какие данные собираются автоматически (IP, cookies и т.п.), куда всё это попадает;
• Проверьте скрытые поля в формах (UTM-метки, реферер, идентификаторы рекламных кампаний);
• Составьте список всех подключённых сервисов: аналитика, CRM, email-рассылки, коллтрекинг, чаты, виджеты соцсетей.

Шаг 2: определение целей и оснований обработки

• Для каждого вида данных определите конкретную цель: обработка заявки, заключение договора, маркетинговые рассылки, статистика, реклама;
• Опишите правовое основание: согласие пользователя, исполнение договора, исполнение обязательств по закону и т.п.;
• Определите минимально необходимый набор данных для каждой цели (принцип минимизации);
• Установите сроки хранения для каждой категории данных;
• Зафиксируйте, какие процессы у вас автоматизированы (рекомендации, скоринг, антифрод, модерация, персонализация контента) и какие данные в них участвуют. Это пригодится для корректного описания обработки в политике, согласиях и уведомлении в Роскомнадзор.

Шаг 3: подготовка и размещение политики ПДн

• На основе инвентаризации подготовьте понятную политику, где отражены все реальные данные, цели, сервисы, сроки хранения, права пользователей;
• Включите разделы: оператор и контакты, категории данных, цели и основания, действия с данными, сроки хранения, права субъектов, меры защиты, трансграничная передача, cookies;
• Разместите документ по постоянной ссылке (например, /politika-konfidentsialnosti/);
• Выведите ссылку на политику в футер сайта, чтобы она была доступна с любой страницы;
• Укажите дату последнего обновления политики.

Шаг 4: настройка согласий и чекбоксов

• Во всех формах с персональными данными добавьте отдельный чекбокс с текстом согласия и ссылкой на политику или отдельный документ;
• Сделайте так, чтобы форма не отправлялась без установленной галочки (обязательное поле);
• Настройте логирование факта отправки: дата, время, IP-адрес пользователя, версия текста согласия;
• Для разных целей используйте разные чекбоксы (например, отдельно для обработки заявки и отдельно для подписки на рассылку);
• Убедитесь, что текст согласия конкретный, а не общий («Я согласен на всё»).

Шаг 5: работа с cookies и аналитикой

• Определите, какие категории cookies используются: технические, аналитические, функциональные, рекламные;
• Добавьте в политику подробный раздел про cookies: какие используются, для чего, сроки хранения, как отключить;
• Реализуйте cookie-баннер при первом визите с информированием и кнопками «Принять все» / «Настроить» / «Отклонить»;
• Настройте условную загрузку аналитики и рекламных скриптов только после согласия пользователя (consent mode);
• Проверьте, что технические cookies (сессии, корзина) загружаются без согласия, а остальные — только после. Это помогает соблюсти требование законности и информированности обработки персональных данных, особенно когда речь идёт о маркетинге и поведенческой аналитике.

Шаг 6: проверка трансграничной передачи и локализации

• Посмотрите, какие сервисы обрабатывают данные за пределами РФ: хостинг, аналитика, рассылки, CRM, виджеты;
• Убедитесь, что первичный сбор и хранение данных граждан РФ выполняется на серверах в России;
• Если используются зарубежные сервисы — опишите трансграничную передачу в политике: куда, кому, на каком основании;
• Проверьте наличие договоров поручения на обработку с третьими лицами (хостинг, CRM, email-сервисы);
• Рассмотрите возможность использования российских аналогов зарубежных сервисов для упрощения.

Шаг 7: уведомление в Роскомнадзор

• Проверьте, есть ли ваше юрлицо или ИП в реестре операторов персональных данных на pd.rkn.gov.ru;
• Если уведомления нет — подготовьте и подайте его одним из трёх способов: через Госуслуги (ЕСИА) без УКЭП, через электронный сервис РКН с УКЭП или на бумаге в территориальный орган РКН;
• Если уведомление есть, но устарело (изменились процессы на сайте) — обновите сведения в течение 10 дней;
• Укажите все формы, цели, категории данных, трансграничную передачу, меры защиты;
• Сохраните копию поданного уведомления и подтверждение о его принятии.

Шаг 8: внутренние документы и ответственный

• Издайте приказ о назначении ответственного за организацию обработки и защиту персональных данных внутри компании;
• Подготовьте Положение об обработке персональных данных (внутренний документ, расширенная версия публичной политики);
• Разработайте порядок обработки обращений субъектов ПДн (запросы на доступ, исправление, удаление) с указанием сроков;
• Создайте регламент обеспечения безопасности ПДн с описанием мер защиты;
• Заведите журнал учёта инцидентов и обращений пользователей;
• Проведите инструктаж сотрудников, имеющих доступ к персональным данным.

Шаг 9: меры защиты персональных данных

• Установите SSL-сертификат на сайт (HTTPS обязательно для передачи форм);
• Настройте разграничение доступа к базам данных и админке сайта (доступ только у ответственных лиц);
• Используйте сложные пароли и двухфакторную аутентификацию для доступа к админке и CRM;
• Настройте регулярное резервное копирование баз данных;
• Установите антивирусное ПО на серверах и компьютерах сотрудников;
• Проведите аудит безопасности сайта (проверка на уязвимости);
• Настройте мониторинг подозрительной активности и попыток несанкционированного доступа.

Шаг 10: подготовьте процедуру реагирования на утечку данных

• составьте шаблон первичного уведомления РКН (направляется в течение 24 часов с момента обнаружения инцидента через pd.rkn.gov.ru): факт утечки, предварительный масштаб, категории затронутых данных;
• составьте шаблон детального отчёта (направляется в течение 72 часов): причины инцидента, точное число пострадавших субъектов, перечень скомпрометированных данных, принятые меры;
• назначьте ответственного за отправку обоих уведомлений — нарушение каждого из сроков (24 ч и 72 ч) является самостоятельным составом по ч. 11 ст. 13.11 КоАП, штраф для юрлиц — от 1 000 000 до 3 000 000 руб. за каждый пропущенный срок;
• заведите журнал инцидентов: дата обнаружения, характер нарушения, принятые меры, даты отправки уведомлений в РКН;
• убедитесь, что ответственный за ПДн имеет доступ к личному кабинету на pd.rkn.gov.ru и умеет работать с формами уведомлений.

Шаг 11: проверьте язык интерфейса сайта (168-ФЗ)

• с 1 марта 2026 года действует ФЗ №168-ФЗ: все B2C-сайты обязаны предоставлять информацию о товарах, услугах, ценах и условиях покупки на русском языке;
• кнопки, формы, описания товаров, уведомления об ошибках, cookie-баннер и тексты согласий на обработку ПД — всё должно быть на русском;
• нарушение фиксирует Роспотребнадзор по жалобе потребителя, штраф — до 500 000 руб. по ст. 14.8 КоАП;
• важно: cookie-баннер и форма согласия на ПД одновременно попадают под 152-ФЗ и 168-ФЗ — иноязычный баннер нарушает сразу оба закона.

Шаг 12: регулярный аудит и обновления

• Раз в 6-12 месяцев пересматривайте политику конфиденциальности, согласия, настройки cookies и состав внешних сервисов;
• Любой новый функционал (новая форма, интеграция, рекламный инструмент) сразу проверяйте на соответствие требованиям по персональным данным;
• Отслеживайте изменения в законодательстве (152-ФЗ периодически дополняется);
• Проверяйте актуальность договоров с третьими лицами (хостинг, CRM, сервисы);
• Тестируйте работу форм и чекбоксов после обновлений сайта;
• Ведите журнал изменений в обработке ПДн для отчётности перед РКН при проверках.

Заключение

Персональные данные на сайте — это не страшная абстракция, а вполне конкретные поля форм, логи и cookies, которые почти любой проект собирает по умолчанию.

Понимая, какие данные вы действительно обрабатываете, зачем вы это делаете и какие минимальные требования предъявляет закон, можно без паники выстроить понятную документацию, настроить формы, cookie-баннер и уведомление в Роскомнадзор.

Грамотно настроенный с точки зрения персональных данных сайт не только снижает риск штрафов и блокировок, но и повышает доверие пользователей, что в итоге положительно влияет на конверсию и репутацию бренда.

Главное — не откладывать: начните с инвентаризации данных, подготовьте политику, настройте формы и подайте уведомление. Эти действия займут от нескольких дней до двух недель, но защитят вас от серьёзных проблем в будущем.