Почему это важно именно сейчас — 2026 год
В 2025 году в России произошла тихая революция в сфере персональных данных. С 30 мая 2025 года вступил в силу Федеральный закон № 420-ФЗ от 30.11.2024, который кратно увеличил штрафы за нарушения. С 1 сентября 2025 года изменились правила получения согласий. С 28 декабря 2025 года дела по статье 13.11 КоАП вернули мировым судьям — это значит рассматривать их стали быстрее.
2026 год — это период активных проверок. Роскомнадзор начал использовать ИИ-инструменты для мониторинга сайтов. Проверку может инициировать жалоба любого пользователя или конкурента. Незнание закона не освобождает от ответственности.
Мы в Инде.рф при разработке каждого сайта проверяем соответствие всем требованиям. Это не опция — это стандарт нашей работы.
Закон № 1. Персональные данные — 152-ФЗ
Закон: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (последняя редакция — 2025 год).
Если на вашем сайте есть хотя бы одна форма — контактная, заявка, подписка, регистрация — вы уже являетесь оператором персональных данных и обязаны соблюдать 152-ФЗ. Без исключений.
Что считается персональными данными: имя, телефон, email, адрес, IP-адрес в связке с другими данными, cookie-идентификаторы для аналитики.
Что обязательно должно быть на сайте по 152-ФЗ:
- Политика конфиденциальности (Политика обработки персональных данных) — отдельная страница, доступная со всех страниц сайта (обычно ссылка в подвале). Документ должен описывать: какие данные собираете, зачем, как храните, кому передаёте, как защищаете, как пользователь может потребовать удаления. Штраф за отсутствие: от 30 000 до 60 000 рублей по ч.3 ст.13.11 КоАП РФ.
- Согласие на обработку персональных данных под каждой формой — чек-бокс с текстом «Я даю согласие на обработку персональных данных» и ссылкой на Политику. Чек-бокс должен быть пустым по умолчанию — пользователь ставит галочку сам. С 1 сентября 2025 года согласие должно быть отдельным документом, а не частью общего пользовательского соглашения (ст. 9 ФЗ-152). Штраф за обработку без согласия: от 300 000 до 700 000 рублей для юрлиц, от 100 000 до 300 000 рублей для должностных лиц (ч.2 ст.13.11 КоАП РФ). За повторное нарушение — от 1 000 000 до 1 500 000 рублей.
- Уведомление о cookies — баннер при первом посещении сайта с возможностью принять или отклонить аналитические cookies. Если на сайте стоит Яндекс.Метрика или Google Analytics — это уже сбор данных через cookies и требует согласия пользователя.
Уведомление в Роскомнадзор — обязательно для всех
Закон: ст. 22 Федерального закона № 152-ФЗ, ч.1.1 ст.13.11 КоАП РФ в ред. ФЗ от 30.11.2024 № 420-ФЗ.
До начала сбора персональных данных — то есть до запуска сайта с любой формой — вы обязаны подать уведомление в Роскомнадзор и попасть в реестр операторов персональных данных.
Как подать: на портале pd.rkn.gov.ru в разделе «Операторам» → «Реестр операторов» → «Подать уведомление». Подача бесплатна. РКН вносит запись в реестр в течение 30 дней, но начинать работу можно с даты подачи.
Как проверить себя: зайдите на pd.rkn.gov.ru/operators-registry/operators-list/ и введите ИНН. Если вы там есть — всё в порядке.
Штрафы за неподачу уведомления (с 30 мая 2025 года):
- Для должностных лиц и ИП — до 50 000 рублей
- Для юридических лиц — от 100 000 до 300 000 рублей
- С 30 мая 2026 года штраф вырастет до 3 000 000 рублей
Важно: уведомление подаётся один раз, но при изменении процессов (новые формы, новые сервисы) нужно подавать уведомление об изменении сведений.
Яндекс.Метрика и другие счётчики — это тоже персональные данные
Многие владельцы сайтов не понимают что Яндекс.Метрика, Google Analytics, пиксели социальных сетей — это инструменты сбора персональных данных через cookies. При их использовании вы обязаны:
- Упомянуть передачу данных Яндексу в Политике конфиденциальности
- Показать баннер с запросом согласия на аналитические cookies при первом визите
- Включить Метрику в список получателей данных в уведомлении РКН
- Хранить данные российских граждан только на серверах в РФ (требование локализации по ч.5 ст.18 152-ФЗ — с 1 июля 2025 года ужесточено)
Хорошая новость: у Яндекс.Метрики серверы в России — это соответствует требованию локализации. Google Analytics — спорный момент, данные уходят на серверы в США.
Как проверяет Роскомнадзор и как приходят штрафы
Многие думают что РКН придёт только к крупным компаниям. Это опасное заблуждение. Вот как на самом деле работают проверки в 2026 году:
- Плановые проверки — РКН проводит их по реестру операторов. Если вы не подали уведомление — вас нет в реестре, но это не защищает от проверки, а наоборот является самостоятельным нарушением.
- Внеплановые проверки по жалобам — любой пользователь вашего сайта может пожаловаться в РКН на то что его данные обрабатываются без согласия. Проверка начинается в течение нескольких дней.
- Автоматический мониторинг — с 2024-2025 года РКН использует ИИ-инструменты для сканирования сайтов. Отсутствие Политики конфиденциальности или согласия под формой выявляется автоматически.
- Жалобы конкурентов — легальный инструмент давления. Конкурент видит что у вас нет нужных документов — пишет жалобу в РКН.
После проверки РКН выносит предписание об устранении нарушений. Если не устранили в срок — штраф. Оспорить штраф можно в суде, но практика показывает: если нарушение реально существует, суды встают на сторону регулятора. Оспаривание имеет смысл только при процессуальных ошибках со стороны РКН.
Таблица штрафов 2026 — коротко и ясно
- Нет Политики конфиденциальности на сайте — от 30 000 до 60 000 руб. (ч.3 ст.13.11 КоАП)
- Обработка данных без согласия пользователя — от 300 000 до 700 000 руб. для юрлиц (ч.2 ст.13.11 КоАП), повторно — до 1 500 000 руб.
- Нет уведомления в РКН — до 300 000 руб. для юрлиц (с 30 мая 2026 — до 3 000 000 руб.)
- Утечка данных (до 10 000 человек) — от 3 000 000 до 5 000 000 руб.
- Утечка данных (более 100 000 человек) — от 10 000 000 до 15 000 000 руб.
- Повторная утечка — оборотный штраф 1–3% годовой выручки, но не менее 20 000 000 и не более 500 000 000 руб.
- Обработка биометрии без согласия — от 500 000 до 1 000 000 руб. (ст.13.11.3 КоАП)
Важно: в 2026 году один оператор может получить штраф сразу по нескольким частям ст.13.11 КоАП если нарушений несколько — суммы складываются.
Что ещё обязано быть на сайте по закону
По закону об информации (149-ФЗ, ст.10 п.2): на сайте должны быть размещены контакты владельца — название организации или ФИО ИП, адрес, email. Текстом, не картинкой. Штраф за отсутствие: от 30 000 до 50 000 рублей для юрлиц.
По закону о защите прав потребителей (2300-1) для интернет-магазинов и продажи услуг:
- Полное наименование ИП или ООО
- ОГРН/ОГРНИП и ИНН
- Юридический адрес
- Телефон и email службы поддержки
- Лицензии если деятельность лицензируемая
- Условия возврата и обмена
Штраф за отсутствие обязательной информации: от 10 000 до 30 000 рублей для ИП, от 20 000 до 50 000 рублей для юрлиц (ст.14.8 КоАП РФ). Проверяет Роспотребнадзор.
Полный чек-лист: что проверяем мы при запуске каждого сайта
- ☑ Политика конфиденциальности опубликована и доступна со всех страниц
- ☑ Под каждой формой — чек-бокс согласия с пустым состоянием по умолчанию
- ☑ Баннер согласия на cookies при первом визите
- ☑ Уведомление в Роскомнадзор подано, ИНН есть в реестре pd.rkn.gov.ru
- ☑ В Политике указан Яндекс как получатель данных (если стоит Метрика)
- ☑ Контакты владельца размещены текстом (не картинкой)
- ☑ Для интернет-магазина — реквизиты, условия возврата, лицензии
- ☑ Данные хранятся на серверах в РФ (требование локализации)
- ☑ Предусмотрена процедура удаления данных по запросу пользователя
Как это делаем мы в Инде.рф
При разработке каждого сайта мы проходим этот чек-лист вместе с клиентом. Готовим шаблон Политики конфиденциальности под конкретный бизнес, настраиваем баннер cookies, помогаем подать уведомление в РКН. Это не доплата и не отдельная услуга — это часть стандартной работы.
Потому что сайт который нарушает закон — это не актив, это источник риска. А мы делаем активы.
Хотите проверить свой сайт на соответствие требованиям 2026 года? Оставьте заявку — сделаем бесплатный аудит и скажем что нужно исправить.