Как подготовиться к проверке Роскомнадзора: сайт по чек-листу из 12 пунктов
Письмо из Роскомнадзора чаще приходит не курьером с проверкой, а уведомлением: на сайте нашли нарушение, и видно его любому посетителю. Большая часть контроля идёт дистанционно. Инспектор открывает сайт в браузере и смотрит на то же, что видите вы каждый день: форму без чекбокса, подвал без ссылки на политику, баннер cookies, который ничего не спрашивает. А раз так, то и подготовиться можно заранее, теми же глазами. Ниже чек-лист из 12 пунктов: как подготовиться к проверке Роскомнадзора по сайту, что именно смотрят и как поправить каждый пункт самому.
Как Роскомнадзор проверяет сайт и почему готовиться можно заранее
Привычная картина проверки, когда инспектор приезжает в офис и запрашивает документы, к большинству небольших сайтов отношения не имеет. Сайт открыт круглосуточно, и нарушения на нём фиксируют по открытым страницам, без выезда и без предупреждения. Повод найдётся: жалоба посетителя, плановый мониторинг группы похожих сайтов, проверка после утечки у соседа по нише.
Вывод из этого простой. Всё, что инспектор увидит на сайте, вы можете увидеть первым, и ждать запроса не нужно. Достаточно пройти по сайту глазами проверяющего и сверить каждый пункт. Большинство нарушений по персональным данным на сайтах малого бизнеса это не запутанные юридические коллизии, а пропавшая ссылка, забытый чекбокс или счётчик, который грузится раньше согласия. Видно сразу, чинится за вечер.
Чек-лист ниже разбит на четыре блока: документы, формы и согласия, аналитика и внешние сервисы, организационные обязанности. Под каждым пунктом написано, что проверить и как исправить. Суммы штрафов вынесены в отдельный раздел, чтобы не пугать ими через строку.
Чек-лист по документам на сайте (пункты 1-3)
Пункт 1. Политика обработки персональных данных опубликована
Закон требует от оператора, который собирает данные через интернет, опубликовать документ о политике обработки персональных данных прямо на страницах сбора и обеспечить к нему доступ. На практике это та самая ссылка в подвале сайта, видная с любой страницы. Документ часто называют политикой конфиденциальности, но по сути это и есть политика обработки персональных данных.
Как проверить: откройте любую страницу сайта, загляните в подвал, найдите ссылку «Политика конфиденциальности» или «Политика обработки персональных данных». Кликните по ней. Документ должен открыться без регистрации и пароля. Если ссылки нет или она ведёт на пустую страницу, это нарушение, и видно его за десять секунд.
Как исправить: разместите документ как отдельную страницу, поставьте ссылку в подвал и рядом с каждой формой. Что именно должно быть внутри документа, разобрано в материале о содержании политики конфиденциальности.
Пункт 2. Политика действительно соответствует тому, что собирает сайт
Скачанный шаблон часто описывает обработку, которой на сайте нет, и молчит о той, что есть. Скажем, в политике перечислены только имя и телефон, а форма заказа собирает ещё и адрес доставки. Документ разошёлся с реальностью. Инспектор как раз и сверяет текст политики с тем, что собирают формы на самом деле.
Как проверить: пройдите по своим формам и выпишите, какие поля они запрашивают. Сравните этот список с разделом политики про категории данных и цели обработки. Где не сходится, там и слабое место.
Как исправить: приведите перечень данных и целей в политике к фактическому. Это не косметика. Цели и основания обработки в документе должны отражать то, что реально происходит на сайте.
Пункт 3. В политике указаны актуальные контакты оператора
Документ должен называть оператора и давать способ связаться с ним по вопросам обработки данных. Если в скачанном шаблоне осталось чужое название или несуществующий адрес, дефект формальный, но заметный.
Как проверить: найдите в политике, кто указан оператором и как с ним связаться. Сверьте с вашими настоящими реквизитами. Самозанятый указывает себя как физическое лицо с актуальным контактом, не выдумывая статус ИП или компании, которых у него нет.
Чек-лист по формам и согласиям (пункты 4-6)
Пункт 4. У форм есть ссылка на политику
Любая форма, которая просит имя, телефон или email, это уже сбор персональных данных. Рядом с ней посетитель должен видеть ссылку на политику обработки, чтобы понимать, кто и зачем собирает его данные.
Как проверить: откройте каждую форму на сайте: заявку, обратную связь, подписку, заказ, регистрацию. Под кнопкой отправки или рядом с полями должна быть ссылка на политику. Убедитесь, что она кликается и ведёт на актуальный документ.
Как исправить: добавьте под каждой формой строку со ссылкой на политику. Подробный разбор того, как закон смотрит на формы, есть в статье о сборе персональных данных через формы на сайте.
Пункт 5. Согласие оформлено правильно там, где оно нужно
С редакции закона от 24 июня 2025 года согласие на обработку персональных данных должно быть оформлено отдельно от иных документов и быть конкретным, информированным, сознательным и однозначным. Это означает, что нельзя «зашить» согласие на данные общей галочкой «принимаю пользовательское соглашение». Где обработка идёт на основании согласия, например подписка на рассылку или маркетинговые сообщения, нужно отдельное волеизъявление.
Важная оговорка: согласие требуется не везде. Если данные нужны для исполнения договора с человеком, например для оформления и доставки заказа, основанием служит сам договор, а не согласие, и отдельный чекбокс «согласие» там не обязателен. Но политика и информирование нужны при любом основании.
Как проверить: для каждой формы определите основание. Если это договор (заказ, регистрация для услуги), хватит ссылки на политику. Если рассылка или маркетинг, нужен отдельный, не предзаполненный заранее чекбокс согласия, и отдельный от согласия с офертой.
Как исправить: разведите два разных согласия. Согласие с условиями использования и согласие на обработку данных для маркетинга это разные галочки. Снимите предустановленные галочки. Сформулируйте согласие конкретно: на что именно и зачем человек соглашается.
Пункт 6. Чекбоксы не предзаполнены и не объединены
Предзаполненная галочка согласием не считается: человек должен поставить её сам, осознанным действием. Одна галочка сразу «на всё» тоже не годится, если целей несколько.
Как проверить: откройте форму и посмотрите, не отмечены ли галочки уже при загрузке страницы. Заодно проверьте, не слиты ли согласие на обработку и согласие на оферту в один чекбокс там, где основания разные.
Как исправить: снимите предустановку, разделите согласия по целям, дайте человеку самому выбрать.
Чек-лист по аналитике и внешним сервисам (пункты 7-9)
Пункт 7. Баннер cookies спрашивает, а не уведомляет
По позиции Роскомнадзора и сложившейся практике файлы cookies и идентификаторы посетителя трактуются как персональные данные, а аналитические скрипты не должны загружаться до получения согласия. Баннер, который просто сообщает «мы используем cookies» и не даёт выбора, этой логике не отвечает. Согласие должно быть активным действием, а не фактом захода на сайт.
Как проверить: откройте сайт в режиме инкогнито. Баннер cookies появляется сразу и заметно? Есть в нём кнопка «отклонить» или «настроить», а не только «принять»? Это позиция надзорного органа и практики, а не дословная статья закона с номером, но именно по ней сейчас и оценивают сайты.
Как исправить: настройте баннер так, чтобы аналитические счётчики подключались после согласия, а у посетителя оставался реальный выбор. Это техническая задача для того, кто ведёт сайт.
Пункт 8. Счётчики и пиксели подключены законно
Аналитические и рекламные счётчики собирают данные о посетителях. Узких мест тут два: на каком основании идёт сбор и куда эти данные уходят. Российские счётчики проще встроить в правильную логику согласия, чем зарубежные.
Как проверить: составьте список всех внешних скриптов на сайте: аналитика, пиксели рекламных систем, чаты, виджеты. По каждому ответьте на два вопроса: на каком основании он собирает данные и куда их отправляет.
Как исправить: перенесите сбор за момент согласия, уберите неиспользуемые счётчики. По спорным сервисам решите сами, оставлять или заменять.
Пункт 9. Данные не уходят в зарубежные базы при первичном сборе
Закон требует, чтобы запись, систематизация и хранение персональных данных граждан РФ при сборе велись с использованием баз данных на территории РФ. Норма локализации действует давно, последняя редакция этой части закона датирована 28 февраля 2025 года. Отдельно стоит вопрос трансграничной передачи: если данные посетителей уходят на серверы за пределами РФ, это требует уведомления Роскомнадзора и соблюдения условий передачи.
Здесь же лежит частый вопрос про Google Analytics. Прямого запрета на него нет, но риск двойной: первичный сбор может писаться в зарубежные базы, а сама передача данных за рубеж попадает под отдельный режим. Как закон смотрит на иностранные сервисы аналитики, разобрано подробнее в материале про Google Analytics и закон о персональных данных.
Как проверить: уточните, где физически хранятся данные ваших форм и куда их передают подключённые сервисы. Первые кандидаты на проверку это зарубежная аналитика и облачные формы.
Как исправить: для первичного сбора используйте хранение на территории РФ. По трансграничной передаче либо откажитесь от неё, либо оформите уведомление и условия передачи.
Что проверить перед проверкой Роскомнадзора: организационные обязанности (пункты 10-12)
Пункт 10. Уведомление в Роскомнадзор подано
Оператор обязан до начала обработки уведомить Роскомнадзор о намерении обрабатывать персональные данные. Прежние широкие основания для освобождения от уведомления утратили силу, и остались только узкие исключения. Любой сайт с формой это автоматизированная обработка, поэтому освобождения «потому что я маленький» или «потому что самозанятый» здесь нет. Уведомить обязан и индивидуальный предприниматель, и самозанятый, и компания.
Как проверить: загляните в реестр операторов на сайте Роскомнадзора (pd.rkn.gov.ru) и поищите там себя. Если уведомление не подавалось, это самостоятельное нарушение, отдельное от всего, что на сайте.
Как исправить: подайте уведомление об обработке персональных данных через сайт Роскомнадзора до того, как начнёте собирать данные. Если сбор уже идёт, подайте без промедления.
Пункт 11. Есть план на случай утечки данных
Закон обязывает оператора при утечке персональных данных уведомить Роскомнадзор в сжатые сроки: о самом факте инцидента в течение суток, о результатах внутреннего расследования в течение трёх суток. Это не про сайт напрямую, но это обязанность, к которой нельзя подготовиться задним числом, когда утечка уже случилась.
Как проверить: ответьте себе честно, знаете ли вы, куда и в какие сроки сообщать, если данные клиентов утекут. Нет ответа, нет и плана.
Как исправить: зафиксируйте порядок действий заранее: кто отвечает, в какой срок и куда уведомляет. Как минимум держите под рукой сроки и контакт надзорного органа.
Пункт 12. Биометрию не собираете случайно
Биометрические данные обрабатываются только при письменном согласии и по особым правилам. Но пугаться раньше времени не стоит: данные становятся биометрией в смысле закона, только когда их используют для установления личности. Фото в профиле, портфолио или обычное видеонаблюдение «для охраны» сами по себе биометрией не являются, пока их не применяют для распознавания конкретного человека.
Как проверить: спросите себя, есть ли у вас распознавание лиц, вход по селфи, идентификация по голосу. Если да, это биометрия с отдельными требованиями. Если на сайте просто загружаются фотографии без распознавания, режим биометрии не возникает.
Как исправить: если есть идентификация по биометрии, обеспечьте письменное согласие и соблюдение особых правил. Если её нет, делать ничего не нужно, пункт сразу закрыт.
Сколько стоит каждое нарушение
Суммы ниже это вилки по КоАП, не юридическое заключение. Конкретный размер определяет орган с учётом обстоятельств, а суммы по разным составам не складываются механически: за один и тот же недостаток наказывают один раз. Тип лица влияет на размер.
| Нарушение | Норма КоАП | Диапазон по типам лиц |
|---|---|---|
| Нет политики или она недоступна | часть 3 статьи 13.11 | граждане от 1,5 до 3 тыс ₽, должностные лица от 6 до 12 тыс ₽, ИП от 10 до 20 тыс ₽, юрлица от 30 до 60 тыс ₽ |
| Обработка без согласия, где оно нужно | часть 2 статьи 13.11 | граждане от 10 до 15 тыс ₽, должностные лица от 100 до 300 тыс ₽, ИП от 300 до 700 тыс ₽, юрлица от 300 до 700 тыс ₽ |
| Не уведомили Роскомнадзор об обработке | часть 10 статьи 13.11 | граждане от 5 до 10 тыс ₽, должностные лица от 30 до 50 тыс ₽, юрлица от 100 до 300 тыс ₽ |
| Не обеспечена локализация данных в РФ | часть 8 статьи 13.11 | граждане от 30 до 50 тыс ₽, должностные лица от 100 до 200 тыс ₽, юрлица от 1 до 6 млн ₽ |
Состав по неуведомлению об обработке появился отдельной денежной санкцией недавно, он вступил в силу 30 мая 2025 года. Раньше за это чаще ограничивались предупреждением, теперь это самостоятельный штраф. Для самозанятого квалификация субъекта по конкретной части это юридическая тонкость, поэтому суммы выше стоит читать как ориентир по типам лиц, а не как готовый расчёт под ваш статус.
Смысл таблицы не в том, чтобы напугать. Большинство строк закрывается бесплатно за один вечер: текст в подвал, галочка у формы, заявка в реестр операторов. Сделать это самому заранее всегда дешевле, чем потом по предписанию.
Как пройти все 12 пунктов за один проход
Ручная сверка по списку работает, но слабое место у неё есть: на сайте из десятков страниц легко пропустить форму без ссылки на политику или счётчик, который грузится до согласия. Глаз привыкает к собственному сайту и перестаёт замечать пустые места.
Те же 12 пунктов можно проверить автоматически и сразу по всем страницам. На странице проверки сайта по 152-ФЗ сканер обходит сайт, находит формы и внешние сервисы и показывает, где рядом с формой нет согласия или ссылки на политику, где счётчик подключён до согласия, доступна ли вообще политика. Тот же чек-лист, только пройденный машиной за минуту, со списком конкретных страниц под правку. Индивидуальные юридические случаи это не заменит, но покажет, с чего начинать и где именно дыра.
Как исправлять найденное по приоритету
Когда список расхождений собран, чините по силе нарушения, а не по порядку в чек-листе.
Сначала закройте то, что видно за секунды и тянет на самостоятельный состав: выложите политику в доступ со ссылкой в подвале и подайте уведомление в Роскомнадзор. Это снимает самые частые претензии.
Дальше приведите в порядок формы: ссылка на политику у каждой, разделённые и не предзаполненные чекбоксы согласия там, где основанием служит согласие. Потом возьмитесь за аналитику: согласие до загрузки счётчиков и ясное понимание, куда уходят данные.
Организационные пункты, план на утечку и проверку статуса с биометрией, оставьте напоследок. Но помните: к утечке нельзя подготовиться, когда она уже случилась.
Частые вопросы
Обязательно ли уведомлять Роскомнадзор, если я самозанятый
Да. Закон определяет оператора по факту обработки данных, без привязки к организационно-правовой форме. Самозанятый, который собирает через сайт имя, телефон или email клиентов, является оператором и обязан уведомить Роскомнадзор до начала обработки. Освобождения «потому что самозанятый» в законе нет.
Нужен ли чекбокс согласия под каждой формой
Нет, не под каждой. Если данные нужны для исполнения договора, например для оформления заказа, основанием служит договор, и отдельный чекбокс «согласие» не обязателен. Чекбокс согласия нужен там, где обработка идёт именно на основании согласия, например для рассылки и маркетинга. Ссылка на политику нужна при любом основании.
Можно ли использовать Google Analytics на сайте в России
Прямого запрета нет, но риск двойной: первичный сбор данных может писаться в зарубежные базы вопреки требованию о локализации, а передача данных за рубеж попадает под отдельный режим с уведомлением Роскомнадзора. Поэтому зарубежную аналитику обычно относят к зоне повышенного риска при подготовке к проверке.
Что Роскомнадзор проверяет на сайте
То, что видно глазами: есть ли в доступе политика обработки данных, стоит ли у форм ссылка на неё, как оформлено согласие, даёт ли баннер cookies реальный выбор, подано ли уведомление об обработке в реестр операторов. Всё это посетитель и инспектор видят прямо в браузере, без запроса документов.
За сколько времени можно подготовить сайт
Большинство из 12 пунктов закрывается за один вечер: опубликовать политику и расставить ссылки на неё, привести в порядок согласия у форм, отправить уведомление в реестр операторов. Дольше всего тянутся технические правки аналитики, чтобы счётчики подключались после согласия, и наведение порядка с хранением данных.
Коротко
Контроль за сайтами по персональным данным в основном дистанционный, поэтому и подготовиться можно теми же глазами, что и у инспектора. Чек-лист из 12 пунктов закрывает четыре блока: документы (политика опубликована, соответствует сайту, с актуальными контактами), формы и согласия (ссылка на политику, правильно оформленное и не предзаполненное согласие), аналитика (баннер cookies даёт выбор, счётчики законны, данные не уходят в зарубежные базы при сборе) и организационные обязанности (уведомление подано, есть план на утечку, биометрия под контролем). Чаще всего нарушение это пустое место там, где должна быть ссылка или галочка, и закрывается оно бесплатно за вечер. Пройти все пункты можно вручную по списку выше.
Нормативная база
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 2 статьи 18.1, оператор, собирающий данные через интернет, обязан опубликовать на страницах сбора документ о политике обработки персональных данных и обеспечить к нему доступ.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 1 статьи 9 (в редакции от 24.06.2025), согласие должно быть оформлено отдельно от иных документов и быть конкретным, предметным, информированным, сознательным и однозначным.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 1 статьи 22, оператор до начала обработки обязан уведомить Роскомнадзор о намерении осуществлять обработку, кроме узких исключений части 2.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 5 статьи 18 (в редакции от 28.02.2025), запись и хранение персональных данных граждан РФ с использованием баз данных за пределами территории РФ не допускаются, кроме исключений.
- Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 11 часть 1, биометрические персональные данные обрабатываются при наличии согласия в письменной форме, кроме узких исключений.
- КоАП РФ, часть 3 статьи 13.11, невыполнение оператором обязанности опубликовать или обеспечить доступ к политике обработки персональных данных, влечёт предупреждение или административный штраф.
- КоАП РФ, часть 2 статьи 13.11, обработка персональных данных без согласия в случаях, когда согласие обязательно, либо с нарушением требований к его составу.
- КоАП РФ, часть 10 статьи 13.11 (введена Федеральным законом от 30.11.2024 № 420-ФЗ, вступила в силу 30.05.2025), неуведомление или несвоевременное уведомление Роскомнадзора о намерении обрабатывать персональные данные.
- КоАП РФ, часть 8 статьи 13.11, необеспечение записи и хранения персональных данных граждан РФ в базах данных на территории РФ.