Идеи для бизнесаБизнес с нуляМаркетплейсыБухгалтерияНДС 2026СправочникШаблоны документов
Идеи для бизнесаБизнес с нуляМаркетплейсыБухгалтерияНДС 2026СправочникШаблоны документов

Если на сайте есть форма обратной связи, онлайн‑запись, виджет чата или счётчик Яндекс.Метрики — вы оператор персональных данных по смыслу 152‑ФЗ. Разбираем пять нарушений, которые РКН фиксирует чаще всего.

Штрафы 2026: что изменилось и почему это важно сейчас

До 2025 года штрафы за нарушения в сфере персональных данных были невысокими — большинство предпринимателей воспринимали 152‑ФЗ как закон «на бумаге». За два года ситуация изменилась кардинально.

С 30 мая 2025 года вступили в силу поправки, которые кратно увеличили размеры штрафов. С 1 января 2026 года заработал Федеральный закон №508‑ФЗ, введший оборотные штрафы за повторные нарушения — по аналогии с европейским GDPR. Одновременно РКН получил расширенные полномочия: проверки сайтов ведутся автоматически, без предупреждения, круглосуточно.

Актуальные размеры штрафов в 2026 году
НарушениеШтраф для ИПШтраф для юрлица
Нет уведомления в РКНот 100 до 300 тыс. руб.от 100 до 300 тыс. руб.
Нарушение правил обработки ПДн (первичное)от 50 до 100 тыс. руб.от 150 до 300 тыс. руб.
Нарушение правил обработки ПДн (повторное)от 100 до 300 тыс. руб.от 500 тыс. до 1 млн руб.
Утечка ПДнот 1 до 15 млн руб.от 3 до 15 млн руб.
Повторная утечка (оборотный штраф, с 2026)от 1% до 3% годовой выручки, не менее 20 млн руб.от 1% до 3% годовой выручки, не менее 20 млн руб., max 500 млн руб.

Оборотный штраф — принципиально новый инструмент для России. Раньше максимальная сумма была фиксированной, что для крупного бизнеса было несущественно. Теперь штраф привязан к выручке: интернет‑магазин с оборотом 50 млн рублей, допустивший повторную утечку, рискует заплатить от 500 тыс. до 1,5 млн рублей только по этому основанию.

Важно: проверки больше не ждут жалоб. Автоматический бот РКН обходит сайты постоянно — фиксирует иностранные трекеры, анализирует формы, проверяет наличие cookie‑баннера. Предупреждений нет: сразу протокол об административном нарушении.

Т-Бизнес секреты: новости, анонсы событий, советы предпринимателей

Телеграм‑канал: 71 268 читателей

Т‑Бизнес секреты: новости, анонсы событий, советы предпринимателей
Подписаться

Нарушение №1: иностранные трекеры и скрипты

Самое массовое нарушение — и первое, что проверяет автоматический бот РКН. Google Analytics, Meta Pixel*, Google Maps, reCAPTCHA, виджеты иностранных сервисов — все они передают данные посетителей на зарубежные серверы. По 152‑ФЗ это трансграничная передача персональных данных, требующая отдельного оформления.

Трансграничная передача сама по себе не запрещена, но требует уведомления РКН, указания в политике конфиденциальности и отдельного согласия пользователя по ст. 12 152‑ФЗ. Подавляющее большинство сайтов ничего из этого не делает.

Что делать: заменить иностранные инструменты на российские аналоги — Яндекс Метрика вместо Google Analytics, российские сервисы обратной связи вместо иностранных виджетов. Если замена невозможна — оформить трансграничную передачу юридически корректно.

Нарушение №2: форма без правильного согласия

Любая форма на сайте — обратная связь, онлайн‑запись, подписка, регистрация — означает сбор персональных данных. С сентября 2025 года согласие на обработку ПДн должно быть отдельным документом: встроить его в политику конфиденциальности или пользовательское соглашение больше нельзя.

Типичные ошибки, которые фиксирует РКН:

  • галочка согласия предустановлена — пользователь не выражает активного согласия;
  • в тексте согласия не указана цель обработки конкретных данных;
  • нет возможности отозвать согласие;
  • согласие встроено в политику конфиденциальности, а не оформлено отдельно;
  • одна галочка охватывает сразу несколько целей обработки.

РКН признаёт только один сценарий: пользователь сам ставит галочку, текст согласия содержит конкретную цель, есть ссылка на политику и возможность отозвать согласие. Всё остальное — нарушение.

Нарушение №3: политика конфиденциальности формальная или устаревшая

Наличие ссылки «Политика конфиденциальности» в футере — не то же самое, что корректный документ. Автоматический бот РКН читает текст политики и проверяет наличие обязательных элементов:

  • цели обработки персональных данных — конкретные, не «улучшение качества обслуживания»;
  • перечень категорий обрабатываемых данных;
  • сроки хранения данных;
  • права субъекта персональных данных;
  • реквизиты оператора: ИНН, ОГРН, юридический адрес;
  • порядок обращения по вопросам обработки ПДн;
  • сведения о трансграничной передаче — если есть иностранные сервисы.

Политики, скопированные из интернета или написанные до 2023 года, как правило, не соответствуют актуальным требованиям. Законодательство менялось трижды за три года. Наличие красивого документа создаёт иллюзию соответствия — но не защищает при реальной проверке.

Нарушение №4: нет уведомления в РКН о начале обработки ПДн

До начала обработки персональных данных организация обязана уведомить Роскомнадзор и войти в реестр операторов. Большинство владельцев малого бизнеса об этом не знают — уведомление не подаётся вовсе.

Штраф за отсутствие уведомления — от 100 до 300 тыс. рублей для юридических лиц. При этом подать уведомление можно в любой момент — через официальный портал РКН онлайн, занимает около 20 минут. Это один из самых простых пунктов для быстрого устранения до того, как нарушение зафиксировано.

Нарушение №5: cookie‑баннер отсутствует или неправильный

Cookie‑файлы передают данные о поведении пользователя — это персональные данные. Использование cookie без согласия нарушает 152‑ФЗ. Но правильный баннер — это не просто кнопка «Принять всё».

Требования к корректному cookie‑баннеру:

  • раздельное согласие по категориям: технические, аналитические, маркетинговые cookie;
  • кнопка отклонения — не только «принять», но и «отказать»;
  • ссылка на политику использования cookie;
  • запрет на молчаливое согласие — продолжение использования сайта согласием не является.

На практике большинство баннеров — декоративные: есть кнопка «ОК», нет возможности отказаться, нет разбивки по категориям. Такой баннер не защищает от штрафа — РКН фиксирует отсутствие реального согласия.

Как проверить свой сайт

Проверить сайт можно через сервисы автоматического аудита. Большинство из них работают поверхностно: скачивают HTML‑код страницы, ищут ключевые слова и выдают результат. Такой подход пропускает динамический контент, не анализирует текст документов и не видит трекеры, которые подгружаются уже после загрузки страницы — то есть именно то, что проверяет бот РКН.

Один из таких инструментов — ScanBase. Сервис открывает сайт в браузере, анализирует документы на соответствие требованиям 152‑ФЗ, фиксирует трекеры и формы. По результатам проверки формируется отчёт с перечнем нарушений, ссылками на статьи закона и потенциальными суммами штрафов. Дополнительно доступны шаблоны документов: политика конфиденциальности, согласие на обработку ПДн, политика cookie и форма уведомления в РКН.

Что делать после проверки

Технические правки. Замена иностранных трекеров на российские аналоги, настройка cookie‑баннера с кнопкой отклонения, исправление галочки в форме — задачи для разработчика. При наличии ресурса устраняются за один рабочий день.

Юридическая документация. В нашей практике чаще всего приходится переделывать именно политики конфиденциальности — скопированные из интернета несколько лет назад, они создают иллюзию соответствия, но при реальной проверке не защищают. Подготовка корректной документации под конкретный бизнес — отдельная задача, которую стоит передать профильному юристу.

Итог

152‑ФЗ в 2026 году — это уже не закон «на бумаге». Автоматические проверки работают круглосуточно, оборотные штрафы за повторные нарушения могут достигать 500 млн рублей, а предупреждений перед штрафом больше нет. Сайт с формой обратной связи и устаревшей политикой конфиденциальности это реальный финансовый риск.

* Meta Platforms Inc. признана экстремистской организацией и запрещена на территории РФ.

Комментарии проходят модерацию по правилам редакции


Больше по теме
Новости