Штрафы Роскомнадзора за персональные данные на сайте в 2026 году: как проверить и исправить нарушения

Тёмная, атмосферная фотография серверной комнаты с рядами мигающих серверных стоек, подсвеченных холодным синим и красным светом. На переднем плане — размытый силуэт человека, стоящего перед мониторами. Создаёт ощущение масштаба и цифровой слежки.
Знаете, что объединяет владельца интернет-магазина подушек из Саратова, московскую юридическую фирму на двенадцать человек и стоматологическую клинику из Новосибирска? Ещё полгода назад - ничего. А сейчас - штрафы от Роскомнадзора. Одинаковые. Жёсткие. И абсолютно внезапные.

Тихо, без фанфар и пресс-релизов, РКН запустил автоматического бота. Робот. Скрипт. Называйте как хотите - суть от этого не меняется. Эта штука методично обходит сайты в доменных зонах .RU, .РФ и .SU, анализирует их содержимое и фиксирует нарушения в обработке персональных данных. Не выборочно. Не по жалобам. Массово.

И вот тут начинается самое интересное.

Что вообще произошло

Мы на собственном опыте убедились, что большинство предпринимателей воспринимают тему персональных данных примерно так: «Ну, у нас есть какая-то политика конфиденциальности, юрист когда-то скачал шаблон, вроде всё ок». Честно говоря, ещё год-два назад этого действительно хватало. РКН работал в ручном режиме, реагировал преимущественно на жалобы, и шансы попасть под проверку для обычного коммерческого сайта были - ну, скажем прямо - околонулевые.

Всё изменилось.

СМИ пишут - и наши собственные наблюдения это подтверждают - что Роскомнадзор перешёл от точечных проверок к автоматизированному мониторингу. Бот сканирует буквально всё: формы обратной связи, cookie-баннеры, политики конфиденциальности, разделы «О компании», подвал сайта. И если находит несоответствие - генерирует предписание.

Штрафы? До 15 миллионов рублей. Пятнадцать. Миллионов.

Хотя, постойте. Давайте уточним один момент - это верхняя планка для самых грубых или повторных нарушений. Для первого раза суммы обычно скромнее, но «скромнее» в контексте российского малого бизнеса - понятие крайне растяжимое. Сто тысяч за отсутствие галочки в форме? Для компании на пять сотрудников это весьма ощутимый удар.

Крупный план экрана ноутбука, на котором открыта типичная веб-форма обратной связи (имя, телефон, email, кнопка «Отправить»), но без чекбокса согласия на обработку персональных данных. Рядом с формой — красный предупреждающий значок или иконка штрафа. Фото стилизовано под рабочую обстановку: рядом кружка кофе, клавиатура.

За что именно прилетает

Перечень нарушений, за которые бот РКН выписывает предписания, на первый взгляд кажется очевидным. Но если копнуть глубже - половина из этих пунктов для среднестатистического владельца бизнеса звучит как откровение.

Отсутствие уведомления о сборе персональных данных. У вас на сайте есть форма записи, калькулятор стоимости с полем «введите ваш телефон», даже простецкий чат с менеджером? Поздравляю - вы собираете персональные данные. И обязаны уведомить Роскомнадзор об этом. Не пользователя (хотя его тоже), а именно регулятора. Уведомление подаётся через портал rkn.gov.ru, и подавляющее большинство бизнесов этого просто не сделали, потому что - ну кто об этом знает-то?

Кривая политика конфиденциальности. Скачанный в 2019 году шаблон, где до сих пор написано «ООО "Рога и копыта"» вместо вашего юрлица, - это не политика конфиденциальности. Это повод для штрафа. Документ должен быть адаптирован: конкретные цели сбора, конкретные категории данных, сроки хранения, порядок отзыва согласия. Не абстракция - а привязка к вашей реальной деятельности.

Утечки данных. Тут объяснять долго не нужно - если база клиентов утекла и попала в паблик, вопрос не в «если оштрафуют», а в «на сколько».

Визуализация утечки данных: стилизованное изображение потока цифр и символов (наподобие «Матрицы»), утекающего через трещину в защитном щите. Цветовая гамма — тёмная с акцентами красного и оранжевого.

Отсутствие обязательных чекбоксов-согласий. Каждая - буквально каждая - форма на сайте, куда пользователь вводит хоть какие-то личные данные, обязана содержать чекбокс «Даю согласие на обработку персональных данных» со ссылкой на политику конфиденциальности. Причём чекбокс должен быть непредзаполненным. Тот случай, когда галочка стоит по умолчанию? Не считается. Пользователь должен поставить её сам, осознанно, добровольно. Да, это снижает конверсию. Нет, альтернативы нет.

Google Analytics и трансграничная передача. А вот это - мина замедленного действия, на которой сидят, по нашим прикидкам, процентов девяносто коммерческих сайтов в рунете. Google Analytics отправляет данные на серверы Google, которые расположены за пределами Российской Федерации. По закону, это трансграничная передача персональных данных. И она требует отдельного уведомления. Вы уведомили РКН о том, что передаёте данные пользователей за рубеж? Скорее всего - нет. И бот это видит.

Впрочем, не только Google Analytics. Любой сторонний сервис с серверами за границей - Hotjar, Intercom, Zendesk, Facebook Pixel - создаёт аналогичную проблему. Но Google Analytics - самый массовый случай, и именно по нему летит больше всего предписаний.

Фотографии сотрудников без согласия. Звучит как анекдот. Не анекдот. Раздел «О нас» или «Наша команда» с фотографиями и именами сотрудников - это обработка биометрических персональных данных. Для размещения фото конкретного человека на сайте нужно его письменное согласие. Не устное «ну ладно, фоткай», а оформленный документ. Нет документа - есть штраф.

Мы помним, как три года назад объясняли клиенту, что фотографии его менеджеров на сайте - потенциальный риск. Он посмотрел на нас так, будто мы предлагали ему застраховаться от падения метеорита. Месяц назад он позвонил сам.

Десять дней. И ни днём больше

Допустим, вы получили предписание. Что дальше? РКН даёт вам десять календарных дней на исправление. Десять. Не рабочих - календарных.

За это время нужно:

привести политику конфиденциальности в соответствие с 152-ФЗ (и нет, просто заменить дату в старом шаблоне недостаточно — нужна полная переработка документа под специфику вашего бизнеса),
добавить чекбоксы согласия на каждую форму сбора данных, проверить, что они не предзаполнены,
настроить cookie-баннер с корректной информацией о целях использования и получением активного согласия,
подать уведомление оператора персональных данных в Роскомнадзор, если оно не было подано ранее,
разобраться с трансграничной передачей - либо уведомить, либо перейти на российские аналитические сервисы,
и - вишенка - получить письменные согласия от всех сотрудников, чьи фотографии размещены на сайте. Либо убрать фотографии.

Не уложились? Повторный штраф - до 90 тысяч рублей. И не стоит думать, что это потолок: при систематическом игнорировании суммы растут кратно.

Фотография песочных часов на рабочем столе рядом с открытым ноутбуком. Песок почти весь пересыпался в нижнюю колбу — визуальная метафора сжатых сроков. Освещение тёплое, но тревожное.

Почему это касается вас прямо сейчас

Нам периодически говорят: «Ну, мы же маленькая компания, кому мы нужны?». Раньше - никому. В этом и проблема, и парадоксальная новость одновременно: бот не различает масштабов. Ему безразлично, сайт ли это Сбербанка или лендинг локальной кофейни. Алгоритм работает по формальным критериям: есть форма - есть чекбокс? Есть Google Analytics - есть уведомление о трансграничной передаче? Нет? Предписание.

Это не история про «крупный бизнес vs. государство». Это про каждого, у кого есть сайт с формой обратной связи в российской доменной зоне. Лендинг, корпоративный сайт, интернет-магазин, блог с подпиской - неважно.

И вот что ещё нужно понимать: бот не присылает «дружеское предупреждение». Предписание - это уже юридический документ. Игнорирование предписания - отдельное правонарушение.

«А может, просто подождать?»

Нет. Не может. Мы слышали этот вопрос столько раз, что могли бы написать на него автоответчик. Логика «авось пронесёт» в 2026 году работает примерно так же хорошо, как антивирус 2005 года выпуска. То есть - не работает.

Роскомнадзор последовательно ужесточает контроль. Автоматизация — логичный шаг. За ботом, сканирующим формы, придёт бот, анализирующий серверные заголовки. За ним — бот, проверяющий фактическую локализацию баз данных. Тенденция однозначная, и она не про «если», а про «когда».

Причём дело не ограничивается одним лишь РКН. Суды охотно поддерживают штрафы, прокуратура включает проверки соблюдения 152-ФЗ в планы, а сами пользователи — да, обычные пользователи — всё чаще подают жалобы. Один недовольный клиент, один бывший сотрудник, один конкурент, решивший «нагадить», — и вот вы уже объясняетесь перед надзорным органом.

Современный минималистичный рабочий стол с раскрытым ноутбуком. На экране — стилизованный дашборд с чек-листом, где часть пунктов отмечена зелёными галочками, а часть — красными крестиками. Атмосфера спокойная, деловая, без паники — скорее, призыв к действию.

Что с этим делать (и как мы помогаем)

Ладно, хватит пугать - хотя, если вы дочитали до этого места, значит, тема вас зацепила. И правильно.

Привести сайт в соответствие - задача не космической сложности, но и не тривиальная. Это не «поправить одну строчку в футере». Это системная работа, которая затрагивает и фронтенд, и бэкенд, и юридическую документацию.

Мы - команда разработчиков с опытом в создании и поддержке коммерческих веб-проектов - занимаемся этим регулярно. И честно скажем: после того, как РКН запустил автоматический мониторинг, запросов стало в разы больше. Люди приходят уже с предписаниями на руках и с горящими сроками.

Что мы делаем в рамках приведения сайта в порядок:

Аудит. Полный технический и правовой аудит сайта на соответствие 152-ФЗ. Проверяем каждую форму, каждый скрипт аналитики, каждый сторонний сервис. Фиксируем все точки сбора данных - включая те, о которых владелец сайта может даже не подозревать (автозаполнение форм браузером, скрытые поля, пиксели ретаргетинга).
Доработка сайта. Внедряем корректные чекбоксы согласия, cookie-баннер с гранулярными настройками (не просто «ок», а выбор категорий cookies), механизм отзыва согласия. При необходимости - заменяем Google Analytics на Яндекс Метрику или другие сервисы, не требующие трансграничной передачи.
Документация. Готовим - или полностью переписываем - политику конфиденциальности, пользовательское соглашение, шаблоны согласий для сотрудников. Не шаблон из интернета, а документ, привязанный к конкретному бизнесу, с конкретными категориями данных, конкретными целями и конкретными сроками хранения.
Уведомление РКН. Помогаем корректно заполнить и подать уведомление оператора персональных данных через портал Роскомнадзора.
Мониторинг. После устранения нарушений - контрольная проверка и рекомендации по регулярному самоаудиту, чтобы при следующем обновлении сайта (новая форма, новый раздел, новый сервис аналитики) вы не оказались снова в зоне риска.

Вместо финальной точки

Ситуация с автоматическими проверками РКН - это не паника и не конец света. Это - новая реальность, к которой нужно адаптироваться. Быстро. Грамотно. И желательно - до того, как бот постучится именно в ваш домен.

Если у вас есть сайт в зоне .RU, .РФ или .SU и хоть одна форма сбора данных - проверьте себя. Прямо сейчас. Откройте свой сайт, посмотрите на формы, поищите чекбоксы, откройте политику конфиденциальности и прочитайте её. Если вам стало не по себе - напишите нам.

Мы не юристы (хотя работаем с юристами), мы - разработчики, которые понимают и техническую, и правовую сторону вопроса. И мы точно знаем, как сделать так, чтобы ваш сайт соответствовал закону, не жертвуя при этом удобством для пользователей и конверсией.

Десять дней - срок короткий. Но достаточный, если действовать быстро и с пониманием того, что именно нужно исправить.

Широкоформатная фотография команды разработчиков за работой в современном офисе: несколько человек у мониторов, кто-то обсуждает задачу у доски. Атмосфера сосредоточенная, профессиональная, но не напряжённая. Естественное освещение, живые растения, минималистичный интерьер. Фото должно транслировать надёжность и экспертизу.

Нужна консультация или аудит сайта? Свяжитесь с нами — поможем привести ваш проект в полное соответствие с 152-ФЗ до того, как это сделает бот Роскомнадзора.