Персональные данные на сайте: штрафы и риски 2026 | Red Orange

Право и данные

Вы стали оператором персональных данных в тот день, когда поставили форму на сайт

Q: Что такое лог согласий и как его технически вести?

Лог согласий это запись о каждом факте получения согласия на обработку данных. Минимальный состав записи: дата и время, IP-адрес пользователя, версия документа, с которой он согласился, и идентификатор формы. Технически это реализуется через серверную запись в базу данных в момент отправки формы. Хранить лог нужно не менее трёх лет по сроку исковой давности.

Q: Мой домен зарегистрирован на подрядчика. Что делать до 1 сентября?

Связаться с подрядчиком и уточнить, на какое физическое или юридическое лицо записан домен у регистратора. Если на подрядчика, инициировать переоформление на вас. После переоформления владелец домена проходит идентификацию через Госуслуги, нужна подтверждённая учётная запись. Если домен истекает в сентябре-декабре 2026 года, это зона повышенного риска: продление без идентификации будет заблокировано.

Форма обратной связи, счётчик аналитики, корзина. Каждый из этих элементов делает владельца сайта оператором персональных данных по 152-ФЗ. С мая 2025 года правила существенно изменились, штрафы выросли кратно. К осени добавится новый риск на уровне инфраструктуры.

Red Orange · 3 июня 2026 · 9 мин

Новые штрафы: цифры из актуальной редакции КоАП

С 30 мая 2025 года вступил в силу Федеральный закон № 420-ФЗ. Статья 13.11 КоАП теперь содержит самостоятельные составы, каждый со своей санкцией. Одна проверка может принести несколько постановлений одновременно по разным частям одной статьи.

Критично

до 18 000 000 ₽

Нарушение локализации, передача данных за рубеж, иностранные счётчики

ст. 13.11 ч. 8

Критично

до 500 000 ₽

Обработка без законного основания или вне целей сбора

ст. 13.11 ч. 1 · повтор до 15 млн ₽

Высокий риск

до 1 500 000 ₽

Отсутствие согласия, предустановленная галочка, нет согласия на cookie

ст. 13.11 ч. 2

Высокий риск

до 300 000 ₽

Нет политики конфиденциальности или ссылки под формой

ст. 13.11 ч. 3

Важный процессуальный момент: с декабря 2025 года дела по ст. 13.11 вернулись к мировым судьям. Возможность апеллировать к Судебной коллегии по экономическим спорам Верховного суда для бизнеса закрыта. Это сужает коридор обжалования и делает превентивный аудит единственной надёжной стратегией.

Три точки отказа на большинстве сайтов

Нарушения концентрируются в одном месте: форма захвата данных. Форма, согласие, лог это не три разных требования, это одна цепочка. Слабое звено в любом месте обнуляет всё остальное.

Предустановленная галочка. Чекбокс обязан быть пустым. Пользователь кликает сам. Если галочка стоит по умолчанию, это самостоятельный состав нарушения вне зависимости от наличия всех документов.
Нет лога согласий. CRM должна хранить точное время, дату и IP-адрес нажатия. Без этой записи позиция на проверке или в суде беззащитна, факт согласия невозможно доказать.
Счётчик аналитики без согласия. Счётчики собирают данные с первого касания. Отсутствие плашки и запуск счётчика до согласия это нарушение, даже если все остальные документы в порядке.

Типичная ситуация на аудите: политика конфиденциальности есть, ссылка под кнопкой есть, но чекбокс предустановлен и лог согласий не ведётся. Документы не спасают, если механика сбора нарушена. Оператором вы стали в момент, когда поставили форму на сайт. Проверка только устанавливает, знали ли вы об этом.

Аналитика: счётчик, который считает раньше согласия

Самая дорогая ошибка прячется в одной строке кода. Счётчик аналитики обязан запускаться только после того, как посетитель нажал «Принять» в cookie-баннере. Если код Метрики срабатывает сразу при заходе на страницу, данные собираются без согласия, и это самостоятельное нарушение, даже когда все документы на сайте в порядке.

Отдельная категория риска это иностранные системы аналитики. Google Analytics и подобные сервисы передают данные посетителей на серверы за пределами России. Это нарушение требования о локализации: первичный сбор данных граждан РФ должен идти на российские серверы. Санкция по этому составу несопоставима с остальными.

Критическое нарушение

до 18 000 000 ₽

Иностранные счётчики, передача данных за рубеж без локализации

ст. 13.11 ч. 8

Высокий риск

до 1 500 000 ₽

Счётчик загружается до получения согласия пользователя

ст. 13.11 ч. 2

Решение закрывает оба риска сразу: убрать зарубежные счётчики, оставить российскую Яндекс.Метрику и подключить её через cookie-баннер так, чтобы код не исполнялся до согласия. Технически это проверяется одной строкой в консоли браузера: до нажатия «Принять» счётчик не должен существовать на странице.

Почему политику нельзя написать «вперёд» уведомления

Типичный путь: скачать шаблон политики конфиденциальности, поменять название компании и выложить на сайт. На проверке такой документ рассыпается, и вот почему.

Политика конфиденциальности не самостоятельный текст. Цели обработки, категории данных, правовые основания и сроки хранения в ней должны дословно совпадать с уведомлением, которое оператор подаёт в Роскомнадзор. Пока уведомление не подано, неизвестно, какие именно цели и категории зафиксированы у регулятора, а значит политика пишется наугад и почти гарантированно разойдётся с реестром.

При проверке Роскомнадзор сопоставляет политику на сайте с данными уведомления в реестре операторов. Любое расхождение в целях или составе данных это отдельный повод для претензии, даже если сама политика выглядит грамотно.

Правильный порядок обратный привычному. Сначала подаётся уведомление в РКН и фиксируется состав обработки. Только потом под него выстраиваются политика, согласие и чекбокс. Документы вторичны от уведомления, а не наоборот. Политика, написанная до уведомления, это красивый текст без юридической опоры.

Как выглядит проверка: 8 точек и цена каждой

Аудит сайта на соответствие 152-ФЗ идёт по фиксированному списку. Ниже восемь точек, которые проверяются в первую очередь, и санкция по каждой. Зелёным отмечен базовый уровень, оранжевым высокий риск, красным критический.

1. Хранение и обработка данных на территории РФ

ст. 13.11 ч. 8 · локализация

до 18 млн ₽

2. Шифрование соединения (HTTPS)

базовое техническое требование

базовое

3. Cookie-баннер с кнопкой согласия

ст. 13.11 ч. 2 · согласие на cookie

до 1,5 млн ₽

4. Ссылка на политику обработки cookie-файлов

ст. 13.11 ч. 2 · информирование

до 1,5 млн ₽

5. Иностранные системы аналитики на сайте

ст. 13.11 ч. 8 · трансграничная передача

до 18 млн ₽

6. Чекбокс согласия не предустановлен галочкой

ст. 13.11 ч. 2 · форма согласия

до 1,5 млн ₽

7. Ссылка на текст согласия в формах

ст. 13.11 ч. 3 · доступность документа

до 300 тыс ₽

8. Опубликованная политика конфиденциальности

ст. 13.11 ч. 3 · наличие документа

до 300 тыс ₽

Каждая строка это самостоятельный состав. Одна проверка может закрыть несколько пунктов сразу, и санкции складываются. Два красных пункта из этого списка уже выводят совокупный риск за 30 миллионов рублей. Поэтому дешевле пройти аудит превентивно, чем объяснять размер штрафа постфактум.

Чужой код на вашем сайте: та же ответственность

Отдельная точка риска, которую часто не замечают: сторонние скрипты. Виджеты чатов, пиксели аналитики, информеры, любой внешний код, собирающий данные посетителей без их согласия, формирует нарушение именно для вас как владельца сайта. Роскомнадзор не разбирается, чей именно скрипт установил галочку без согласия. Сайт ваш, ответственность ваша.

Это та же логика, что лежит в основе перехвата звонков через скрытые пиксели: инструмент чужой, а штраф получает владелец ресурса, на котором он установлен. Чистка кода от мусорных скриптов закрывает сразу два риска, юридический и конкурентный.

Домен: инфраструктурный риск с конкретной датой

Закон 569-ФЗ, принятый в декабре 2025 года, вводит обязательную привязку доменов .ru, .рф и .su к подтверждённому аккаунту на Госуслугах. Это не связано с персональными данными напрямую, но итог тот же: потеря сайта.

Без идентификации домен не продлевается, переходит в статус ожидания, затем освобождается и становится доступен любому. Весь SEO-трафик, история домена и рекламные бюджеты уходят вместе с ним. Особая группа риска: домены с истекающей регистрацией в сентябре-декабре 2026 года.

Один нюанс, который регулярно упускают: если домен зарегистрирован на подрядчика или агентство, именно они должны пройти идентификацию. Стоит заранее проверить, на кого записан домен, и убедиться, что ответственное лицо знает о требовании и выполнит его в срок.

Что проверить прямо сейчас

Чекбокс согласия на всех формах сайта пуст по умолчанию
Под каждой кнопкой отправки есть ссылки на политику конфиденциальности и согласие
CRM ведёт лог согласий с временной меткой и IP-адресом
Уведомление в Роскомнадзор подано до начала сбора данных, политика написана под него
Счётчик аналитики запускается только после согласия, иностранных счётчиков на сайте нет
Исходный код сайта не содержит сторонних скриптов с неизвестным происхождением
Домен записан на актуальное лицо с подтверждённым аккаунтом Госуслуг
Первичный сбор данных идёт на серверы в РФ

Часто задаваемые вопросы

Я собираю только имя и телефон. Нужно ли уведомлять Роскомнадзор?

Да. Имя и телефон это персональные данные по 152-ФЗ. Уведомление подаётся до начала обработки вне зависимости от объёма и состава данных. Исключения узкие: данные собственных сотрудников для кадрового учёта, данные для судебных разбирательств и ряд других. Форма на сайте под эти исключения не попадает.

Можно ли просто скачать шаблон политики конфиденциальности?

Нет. Политика не самостоятельный документ. Цели обработки, категории данных, основания и сроки в ней должны дословно совпадать с уведомлением, поданным в Роскомнадзор. Пока уведомление не подано, неизвестно, какие цели и категории зафиксированы у регулятора, поэтому шаблон почти гарантированно разойдётся с реестром. При проверке РКН сопоставляет политику на сайте с данными уведомления, и расхождение становится отдельным поводом для претензии.

Яндекс.Метрика уже стоит на сайте. Что именно нужно добавить?

Счётчик должен запускаться только после согласия. Нужен cookie-баннер, фиксирующий согласие до начала работы счётчика. Информацию о Яндекс.Метрике включают в политику с указанием, какие данные собирает сервис. Отдельно: иностранные счётчики вроде Google Analytics передают данные за рубеж и нарушают локализацию, штраф по этому составу доходит до 18 миллионов рублей.

Что такое лог согласий и как его технически вести?

Лог согласий это запись о каждом факте получения согласия. Минимальный состав: дата и время, IP-адрес, версия документа и идентификатор формы. Реализуется через серверную запись в базу данных в момент отправки формы. Срок хранения не менее трёх лет по сроку исковой давности.

Мой домен зарегистрирован на подрядчика. Что делать до 1 сентября?

Уточнить у регистратора, на кого записан домен. Если на подрядчика, инициировать переоформление на себя. После переоформления владелец проходит идентификацию через Госуслуги, нужна подтверждённая учётная запись. Домены с истечением в сентябре-декабре 2026 это группа повышенного риска: не успеть с идентификацией означает потерю домена.

Если нарушений несколько, штрафы суммируются?

Да. Статья 13.11 КоАП содержит самостоятельные составы. Одна проверка может привести к нескольким постановлениям по разным частям статьи одновременно. Нет уведомления в РКН, нет корректного согласия, иностранный счётчик аналитики, каждый состав отдельный штраф. Совокупная сумма по одной проверке для юридического лица может превысить 30 миллионов рублей.

Специалисты агентства Red Orange

Статья подготовлена командой Red Orange на основе актуальной редакции КоАП РФ и закона 569-ФЗ. Адаптация и техническая верификация, июнь 2026.

проверим?

сайт не должен быть уязвимостью..

есть задача. давайте закроем