Персональные данные на сайте: штрафы и риски 2026 | Red Orange

Право и данные

Вы стали оператором персональных данных в тот день, когда поставили форму на сайт

Q: Я собираю только имя и телефон. Нужно ли уведомлять Роскомнадзор?

Да. Имя и телефон — это персональные данные по 152-ФЗ. Уведомление в Роскомнадзор подаётся до начала обработки вне зависимости от объёма и состава данных. Исключения узкие: данные собственных сотрудников для кадрового учёта, данные для судебных разбирательств и ряд других. Форма на сайте под эти исключения не попадает.

Q: Чем отличается политика конфиденциальности от согласия на обработку данных?

Это два разных документа с разными функциями. Политика конфиденциальности объясняет, какие данные собираются, зачем, как хранятся и как удаляются. Согласие — это отдельный документ или чекбокс, которым пользователь явно подтверждает, что ознакомился с политикой и разрешает обработку. Ссылки на оба документа должны быть размещены непосредственно под кнопкой отправки формы.

Q: Яндекс.Метрика уже стоит на сайте. Что именно нужно добавить?

Два действия. Первое: добавить cookie-баннер, который появляется при первом визите и фиксирует согласие пользователя до начала работы счётчика. Второе: включить информацию о Яндекс.Метрике в политику конфиденциальности с указанием, какие данные собирает сервис и ссылкой на политику Яндекса. Без этого наличие счётчика само по себе является нарушением.

Q: Что такое лог согласий и как его технически вести?

Лог согласий — это запись о каждом факте получения согласия на обработку данных. Минимальный состав записи: дата и время, IP-адрес пользователя, версия документа, с которой он согласился, и идентификатор формы. Технически это реализуется через серверную запись в базу данных в момент отправки формы. Хранить лог нужно не менее трёх лет — по сроку исковой давности.

Q: Мой домен зарегистрирован на подрядчика. Что делать до 1 сентября?

Связаться с подрядчиком и уточнить, на какое физическое или юридическое лицо записан домен у регистратора. Если на подрядчика — инициировать переоформление на вас. После переоформления владелец домена проходит идентификацию через Госуслуги (нужна подтверждённая, не упрощённая учётная запись). Если домен истекает в сентябре-декабре 2026 года — это зона повышенного риска: продление без идентификации будет заблокировано.

Форма обратной связи, счётчик аналитики, корзина. Каждый из этих элементов делает владельца сайта оператором персональных данных по 152-ФЗ. С мая 2025 года правила существенно изменились, штрафы выросли кратно. К осени добавится новый риск на уровне инфраструктуры.

Red Orange · 3 июня 2026 · 8 мин

Новые штрафы: цифры из актуальной редакции КоАП

С 30 мая 2025 года вступил в силу Федеральный закон № 420-ФЗ. Статья 13.11 КоАП теперь содержит самостоятельные составы, каждый со своей санкцией. Одна проверка может принести несколько постановлений одновременно — по разным частям одной статьи.

Критично

до 500 000 ₽

Обработка без законного основания или вне целей сбора

ст. 13.11 ч. 1 · повтор до 15 млн ₽

Критично

до 500 000 ₽

Отсутствие согласия или предустановленная галочка

ст. 13.11 ч. 2 · повтор до 15 млн ₽

Высокий риск

до 300 000 ₽

Нет политики конфиденциальности или ссылки под формой

ст. 13.11 ч. 3

Высокий риск

до 300 000 ₽

Не подано уведомление в Роскомнадзор

ст. 13.11 ч. 1

Важный процессуальный момент: с декабря 2025 года дела по ст. 13.11 вернулись к мировым судьям. Возможность апеллировать к Судебной коллегии по экономическим спорам Верховного суда для бизнеса закрыта. Это сужает коридор обжалования и делает превентивный аудит единственной надёжной стратегией.

Три точки отказа на большинстве сайтов

Нарушения концентрируются в одном месте: форма захвата данных. Форма, согласие, лог — это не три разных требования, это одна цепочка. Слабое звено в любом месте обнуляет всё остальное.

Предустановленная галочка. Чекбокс обязан быть пустым. Пользователь кликает сам. Если галочка стоит по умолчанию — это самостоятельный состав нарушения вне зависимости от наличия всех документов.
Нет лога согласий. CRM должна хранить точное время, дату и IP-адрес нажатия. Без этой записи позиция на проверке или в суде беззащитна — факт согласия невозможно доказать.
Яндекс.Метрика без cookie-уведомления. Счётчики аналитики собирают данные. Отсутствие плашки и уведомления в РКН — нарушение, даже если все остальные документы в порядке.

Типичная ситуация на аудите: политика конфиденциальности есть, ссылка под кнопкой есть, но чекбокс предустановлен и лог согласий не ведётся. Документы не спасают, если механика сбора нарушена. Оператором вы стали в момент, когда поставили форму на сайт. Проверка только устанавливает, знали ли вы об этом.

Чужой код на вашем сайте: та же ответственность

Отдельная точка риска, которую часто не замечают: сторонние скрипты. Виджеты чатов, пиксели аналитики, информеры — любой внешний код, собирающий данные посетителей без их согласия, формирует нарушение именно для вас как владельца сайта. Роскомнадзор не разбирается, чей именно скрипт установил галочку без согласия. Сайт ваш — ответственность ваша.

Это та же логика, что лежит в основе перехвата звонков через скрытые пиксели: инструмент чужой, а штраф получает владелец ресурса, на котором он установлен. Чистка кода от мусорных скриптов закрывает сразу два риска — юридический и конкурентный.

Домен: инфраструктурный риск с конкретной датой

Закон 569-ФЗ, принятый в декабре 2025 года, вводит обязательную привязку доменов .ru, .рф и .su к подтверждённому аккаунту на Госуслугах. Это не связано с персональными данными напрямую, но итог тот же: потеря сайта.

Без идентификации домен не продлевается — переходит в статус ожидания, затем освобождается и становится доступен любому. Весь SEO-трафик, история домена и рекламные бюджеты уходят вместе с ним. Особая группа риска: домены с истекающей регистрацией в сентябре-декабре 2026 года.

Один нюанс, который регулярно упускают: если домен зарегистрирован на подрядчика или агентство — именно они должны пройти идентификацию. Стоит заранее проверить, на кого записан домен, и убедиться, что ответственное лицо знает о требовании и выполнит его в срок.

Что проверить прямо сейчас

Чекбокс согласия на всех формах сайта пуст по умолчанию
Под каждой кнопкой отправки есть ссылки на политику конфиденциальности и согласие
CRM ведёт лог согласий с временной меткой и IP-адресом
Уведомление в Роскомнадзор подано до начала сбора данных
На сайте стоит cookie-плашка, если используется Метрика или аналогичные счётчики
Исходный код сайта не содержит сторонних скриптов с неизвестным происхождением
Домен записан на актуальное лицо с подтверждённым аккаунтом Госуслуг
Первичный сбор данных идёт на серверы в РФ

Часто задаваемые вопросы

Я собираю только имя и телефон. Нужно ли уведомлять Роскомнадзор?

Да. Имя и телефон — персональные данные по 152-ФЗ. Уведомление подаётся до начала обработки вне зависимости от объёма и состава данных. Исключения узкие: данные собственных сотрудников для кадрового учёта, данные для судебных разбирательств и ряд других. Форма на сайте под эти исключения не попадает.

Чем отличается политика конфиденциальности от согласия на обработку данных?

Это два разных документа. Политика конфиденциальности объясняет, какие данные собираются, зачем, как хранятся и удаляются. Согласие — это документ или чекбокс, которым пользователь явно подтверждает, что ознакомился с политикой и разрешает обработку. Ссылки на оба документа должны быть непосредственно под кнопкой отправки формы.

Яндекс.Метрика уже стоит на сайте. Что именно нужно добавить?

Два действия. Первое: добавить cookie-баннер, фиксирующий согласие до начала работы счётчика. Второе: включить информацию о Яндекс.Метрике в политику конфиденциальности — что именно собирает сервис и ссылку на политику Яндекса. Без этого наличие счётчика само по себе является нарушением.

Что такое лог согласий и как его технически вести?

Лог согласий — запись о каждом факте получения согласия. Минимальный состав: дата и время, IP-адрес, версия документа и идентификатор формы. Реализуется через серверную запись в базу данных в момент отправки формы. Срок хранения — не менее трёх лет по сроку исковой давности.

Мой домен зарегистрирован на подрядчика. Что делать до 1 сентября?

Уточнить у регистратора, на кого записан домен. Если на подрядчика — инициировать переоформление на себя. После переоформления владелец проходит идентификацию через Госуслуги (нужна подтверждённая учётная запись, не упрощённая). Домены с истечением в сентябре-декабре 2026 — группа повышенного риска: не успеть с идентификацией означает потерю домена.

Если нарушений несколько — штрафы суммируются?

Да. Статья 13.11 КоАП содержит самостоятельные составы. Одна проверка может привести к нескольким постановлениям по разным частям статьи одновременно. Нет уведомления в РКН (ч.1), нет корректного согласия (ч.2), нет политики под формой (ч.3) — каждый состав отдельный штраф. Совокупная сумма по одной проверке для юридического лица может превысить 1 000 000 рублей.

Специалисты агентства Red Orange

Статья подготовлена командой Red Orange на основе актуальной редакции КоАП РФ и закона 569-ФЗ. Адаптация и техническая верификация — июнь 2026.