До 2024 года проверки сайтов на соответствие 152-ФЗ были редкими и ручными: инспектор открывал сайт, смотрел политику и формы, направлял предписание. К 2026 году ситуация изменилась — РКН подключил автоматический сканер, который обходит сайты по 15+ критериям, фиксирует нарушения и формирует протоколы. Это значит: каждый сайт с формой обратной связи, заявкой или подпиской на рассылку теперь по умолчанию находится в зоне внимания регулятора.

Параллельно с автоматизацией выросли штрафы. Поправки в КоАП РФ 13.11, вступившие в силу 30 мая 2025 года, ввели оборотные штрафы за утечку персональных данных — от 0,1% до 3% годовой выручки оператора. Минимальный порог по новой редакции — 3 млн ₽ за первый случай, до 15 млн ₽ для крупных утечек, до 500 млн ₽ за повторное нарушение. Подробно мы разбирали это в статье «Оборотные штрафы за утечку ПД».

В этой статье — полный чек-лист обязательных требований к сайту, который суммирует разрозненные нормы 152-ФЗ, 242-ФЗ, ЗоЗПП и подзаконных актов РКН. Подходит для самопроверки перед запуском сайта или внеплановой проверкой.

Кто такой «оператор персональных данных» и почему это вы

По 152-ФЗ ст. 3 ч. 2 оператор персональных данных — любое юрлицо, ИП или физлицо, которое самостоятельно или совместно с другими организует и/или осуществляет обработку ПД. «Обработка» — это сбор, запись, систематизация, хранение, передача, обезличивание, удаление. Сбор начинается с момента, когда пользователь оставил на сайте имя, телефон, e-mail или даже только cookie-идентификатор.

Если на вашем сайте есть хотя бы одна из этих точек — вы оператор ПД:

  • Форма обратной связи или заявки
  • Подписка на рассылку (даже только e-mail)
  • Личный кабинет, регистрация
  • Оформление заказа в интернет-магазине
  • Запись на услугу / онлайн-консультация
  • Чат-виджет (Jivo, Tilda Chat, Bitrix24)
  • Счётчик аналитики (Я.Метрика, Top.Mail.Ru — собирают ClientID и IP)
  • Конструктор политики и личные кабинеты на CMS (Bitrix, WordPress)

Статус оператора возникает автоматически — независимо от того, подавали вы уведомление в реестр или нет. И именно из этого статуса вытекают все обязательства, перечисленные ниже.

Чек-лист из 10 обязательных требований к сайту

1. Уведомление в реестре операторов ПД

Норма: 152-ФЗ ст. 22 — обязанность уведомить РКН до начала обработки.

Каждый оператор должен быть в реестре по адресу pd.rkn.gov.ru/operators-registry. Уведомление подаётся бесплатно онлайн (нужна квалифицированная электронная подпись) или почтой. Срок рассмотрения — 30 дней, после регистрации присваивается реестровый номер, который указывается в политике конфиденциальности.

Как проверить: зайдите на pd.rkn.gov.ru, найдите свою организацию по ИНН/наименованию. Если записи нет — за неподачу штраф по КоАП ст. 19.7 (до 100 тыс ₽ для ЮЛ). Подробнее: «Реестровый номер оператора ПД — что это и зачем».

2. Политика конфиденциальности в публичном доступе

Норма: 152-ФЗ ст. 18.1 ч. 2 — оператор обязан опубликовать документ, определяющий его политику в отношении обработки ПД, в свободном доступе.

Политика должна быть открыта с любой страницы сайта — обычно через ссылку в футере. Доступ — без регистрации, без cookie-согласия, без выбора региона. РКН проверяет автоматически: бот-сканер ищет на главной странице ссылку с текстом «политика», «privacy», «персональные данные».

Минимальный состав политики (152-ФЗ ст. 18.1 ч. 2): цели обработки, категории ПД, способы и сроки обработки, перечень получателей, сведения о трансграничной передаче, права субъекта, контакты оператора, реестровый номер.

Что часто нарушают: политика — шаблон из интернета, без ИНН оператора, без реальных целей, без перечня сервисов которым передаются данные (Я.Метрика, ЮKassa, CRM, рассылка). Если вы используете готовые конструкторы — проверьте, что туда подставлены ваши реальные данные. Иначе политика юридически считается недействительной.

3. Активное согласие у форм сбора ПД

Норма: 152-ФЗ ст. 9 ч. 1 — согласие должно быть конкретным, информированным, сознательным и однозначным.

Под каждой формой, через которую собираются ПД, должен быть чекбокс со ссылкой на политику и текстом согласия. Не «галка проставлена по умолчанию», а активное действие пользователя.

Формулировка типа «оставаясь на сайте, вы соглашаетесь с обработкой ПД» — это passive consent, и в разъяснениях РКН 2024–2025 такой механизм признан недостаточным для форм с ПД. Он допустим только для cookie общего назначения, и то — c оговорками.

Что часто нарушают: на Tilda и WordPress в стандартных шаблонах форм нет чекбокса согласия; разработчики добавляют его «потом», но забывают. Бот РКН детектит наличие input type=checkbox рядом с кнопкой submit — если его нет, фиксируется нарушение.

4. Локализация хранения ПД в России

Норма: 242-ФЗ; 152-ФЗ ст. 18 ч. 5 — при сборе ПД граждан РФ оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории РФ.

Это значит: сервер сайта, CRM, сервис рассылки, облачное хранилище с заявками — всё должно физически находиться в РФ. Использование зарубежных хостеров (AWS, Hetzner, DigitalOcean), CRM (HubSpot, Pipedrive), рассылок (Mailchimp, Sendgrid) — нарушение.

Допустимо: трансграничная передача после обработки в РФ — например, копия рассылочного списка передаётся в зарубежный сервис для отправки писем, но первичная база ведётся в России. Но это требует отдельного согласия и уведомления в реестре.

Как проверить: узнайте страну хостинга своего сайта (через whois или внутренний скан). Если IP в Европе/США — это критичное нарушение. CDN (Cloudflare, ServicePipe) маскирует реальный сервер, но не освобождает: РКН вправе запросить подтверждение у хостера.

5. Реквизиты оператора в публичной части сайта

Норма: ЗоЗПП ст. 9, 10; ГК РФ ст. 437.

На сайте, через который продаются товары или услуги, должны быть: полное наименование ЮЛ или ФИО ИП, ИНН, ОГРН/ОГРНИП, юридический адрес, режим работы, контактный телефон. Эти данные обычно размещают в футере и на странице «Контакты».

Что часто нарушают: только ИНН без ОГРН; нет юр.адреса; в качестве адреса указан «Россия, Москва» без улицы и дома. Для интернет-магазинов отсутствие реквизитов исполнителя — отдельный состав по КоАП 14.5.

6. Перечень получателей ПД в политике

Норма: 152-ФЗ ст. 18.1 ч. 2 — политика должна содержать сведения о лицах, которым могут быть переданы ПД, и об основаниях передачи.

Если вы используете внешние сервисы — они получатели ПД: ЮKassa и Тинькофф Эквайринг (платежи), СДЭК и Boxberry (доставка), UniSender и Mailchimp (рассылки), Jivo и Carrot Quest (чат), AmoCRM и Bitrix24 (CRM), Я.Метрика и Top.Mail.Ru (аналитика). Каждый должен быть перечислен в политике с указанием цели и категории передаваемых данных.

Что часто нарушают: в политике указано «возможна передача третьим лицам» без конкретики. По ст. 18.1 этого недостаточно — нужны конкретные сервисы. Наш конструктор политики автоматически подставляет все интеграции, найденные на сайте.

7. Срок хранения ПД

Норма: 152-ФЗ ст. 5 ч. 7 — хранение ПД должно осуществляться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки.

В политике должны быть указаны конкретные сроки по категориям данных: заявки лидов — 6–12 месяцев, договоры — 5 лет (НК и бухучёт), кадровые данные — 50/75 лет, медицинские карты — 25 лет. Формулировка «срок не ограничен» или «бессрочно» — прямое нарушение.

Подробнее по срокам и логике хранения — в статье «Срок хранения персональных данных».

8. Цели обработки ПД

Норма: 152-ФЗ ст. 5 ч. 2 — обработка должна ограничиваться достижением конкретных, заранее определённых и законных целей.

В политике для каждой формы и сервиса должна быть указана цель: «обработка заявки на услугу», «отправка маркетинговой рассылки», «таргетинг рекламы», «обеспечение работы личного кабинета». Один общий пункт «улучшение работы сайта» — не цель, а маркетинговая формулировка.

Что часто нарушают: в политике перечислены цели, не соответствующие реальной обработке. Например, заявлен «таргетинг рекламы», а ремаркетингового пикселя на сайте нет — или наоборот, пиксель есть, но в политике он не упомянут. Бот РКН сверяет содержимое политики со списком счётчиков, найденных на сайте.

9. Согласие на трансграничную передачу

Норма: 152-ФЗ ст. 12 — трансграничная передача требует уведомления РКН и в большинстве случаев — отдельного письменного согласия субъекта.

«Трансграничная передача» в техническом смысле — это любое отправление данных на зарубежный сервер. Включая загрузку JavaScript-счётчика (Google Analytics, Hotjar, Meta Pixel), отправку e-mail через зарубежный SMTP (Mailchimp, SendGrid), хранение файлов в иностранном облаке.

С 2023 года список «безопасных» стран ведёт РКН; для всех остальных страны требуется отдельное согласие и уведомление с указанием перечня. Meta Pixel запрещён отдельно — Meta признана экстремистской.

10. Cookie-согласие

Норма: разъяснения РКН 2024–2025; 152-ФЗ ст. 9 в части cookie как идентификатора субъекта.

Прямого требования cookie-баннера в РФ нет (в отличие от GDPR), но РКН в последних разъяснениях указал: cookie-идентификаторы при возможности идентификации субъекта приравниваются к ПД. Это значит — сбор cookie без согласия пользователя в перспективе будет признаваться нарушением.

Минимум: cookie-баннер с активным выбором «Принять / Отказать», возможностью посмотреть категории и отозвать согласие. Passive-баннер «оставаясь на сайте» — допустим только как переходный вариант. Подробно — «Cookie-баннер и 152-ФЗ».

Новые требования 2025–2026

За последние два года в 152-ФЗ и КоАП были внесены поправки, о которых владельцы сайтов часто не знают:

Уведомление об утечке за 24 часа

С 1 сентября 2022 — обязанность оператора в течение 24 часов уведомить РКН об инциденте с ПД (152-ФЗ ст. 18.2). В течение 72 часов — направить уведомление субъектам, чьи данные пострадали. Невыполнение — отдельный состав по КоАП 13.11 ч. 3 (до 100 тыс ₽).

Оборотные штрафы за утечку

С 30 мая 2025 — новая редакция КоАП 13.11 (введена ФЗ № 420-ФЗ от 30.11.2024). Размер штрафа за утечку ПД зависит от объёма утечки и факта повторности: 3–15 млн ₽ за первое нарушение в зависимости от количества затронутых субъектов, 0,1–3% годовой выручки за повторное (но не менее 25 млн ₽, не более 500 млн ₽).

Подробно: «Оборотные штрафы за утечку ПД».

Запрет «согласия в составе» иных документов

С 1 марта 2023 — согласие на обработку ПД должно быть оформлено отдельно от иных согласий и договоров (152-ФЗ ст. 9 ч. 4 в новой редакции). Раньше многие компании включали согласие на ПД в текст пользовательского соглашения или оферты — теперь это нельзя. Нужен отдельный чекбокс под формой со ссылкой именно на политику ПД.

Согласие законных представителей до 18 лет

152-ФЗ ст. 9 ч. 6 — обработка ПД несовершеннолетних возможна только с согласия законного представителя (родителя/опекуна). Для онлайн-школ, детских кружков, медицинских клиник, любого бизнеса с детской аудиторией — это отдельный пункт в политике плюс отдельный чекбокс в форме «я являюсь законным представителем ребёнка».

Как РКН проверяет сайты в 2026 году

У регулятора два режима проверки. Автоматический — бот-сканер обходит сайты по чек-листу около 15 пунктов: ищет политику, согласие у форм, ИНН в футере, зарубежные счётчики, реестровую запись. Скорость — сотни сайтов в час. Этот режим работает фоном для всей выборки.

Ручной — инспектор смотрит сайт глазами после жалобы пользователя, претензии конкурента, поручения прокуратуры или сигнала из автомата. Если сайт защищён от ботов (Cloudflare, ServicePipe), РКН не уходит — он переходит к ручной проверке и адресным запросам владельцу. Подробно: «Закрыли сайт от ботов — РКН всё равно проверит».

Что делать прямо сейчас — пошаговый план

  1. Проверьте регистрацию в реестре на pd.rkn.gov.ru по своему ИНН. Если нет — подайте уведомление, это бесплатно, занимает 30 дней.
  2. Обновите политику конфиденциальности. Не шаблон из интернета, а с вашим ИНН, реальным перечнем сервисов, конкретными сроками хранения. Сэкономить время — наш конструктор политики заполнит автоматически по результатам скана.
  3. Добавьте чекбоксы под формы. Везде, где собираются ПД — отдельный чекбокс «Я согласен с обработкой ПД и принимаю Политику» со ссылкой именно на политику.
  4. Проверьте локализацию. Хостинг, CRM, рассылка, чат-виджеты — всё должно быть в РФ или должно быть оформлено как трансграничная передача с согласием.
  5. Уберите или замените зарубежные счётчики. Google Analytics, Hotjar, Meta Pixel — заменить на Я.Метрику и Top.Mail.Ru. Если оставляете — отдельное согласие и уведомление в реестре.
  6. Заведите процедуру реагирования на утечку. Кто и в какие сроки направляет уведомление в РКН (24 ч) и субъектам (72 ч). Шаблоны — в нашем сопровождении «Помощь по РКН».

Не тратить время — проверить сайт за 60 секунд

Все 10 пунктов чек-листа автоматически проверяются нашим сервисом. Введите URL — за минуту получите отчёт: какие требования соблюдены, где нарушения, какой потенциальный штраф, как исправить. Бесплатно — превью с количеством нарушений и категориями. По тарифу — подробный отчёт с цитатами с сайта, ссылками на нормы и готовыми текстами исправлений.

Если предпочитаете решить проблему «под ключ» — конструктор политики (DOCX за 5 минут) + сопровождение подачи уведомления в РКН входят в наш тариф «Полный», либо доступны как отдельные услуги.