Обработка персональных данных на сайте — зона повышенного внимания Роскомнадзора. Последние годы регулятор активно применяет автоматизированный мониторинг, который без уведомления проверяет сайты на наличие политики обработки персональных данных (ПДн), корректность согласий на обработку ПДн, работу cookie-баннеров, передачу данных в сторонние сервисы и соответствие технических мер требованиям закона.

Проверки усилились прежде всего из-за роста утечек персональных данных — по данным РКН, в 2024—2025 гг. их количество увеличилось более чем на 30%. Жалобы пользователей и несоответствие документов реальным процессам при сложных интеграциях (аналитика, CRM, чаты) дополняют картину.

Чтобы избежать требований и штрафов, компаниям важно проводить аудит сайта и приводить его в соответствие требованиям 152-ФЗ, КоАП РФ и ПП РФ № 1119.

Размер санкций зависит от состава нарушения и вида субъекта (юрлицо, ИП, физлицо).

Для юридических лиц действуют следующие пределы:
1) Политика недоступна или отсутствует
ч. 3 ст. 13.11 КоАП РФ
30 000 – 60 000 руб.

2) Несоответствие целей обработки
ч. 1 ст. 13.11 КоАП РФ
60 000 – 100 000 руб.

3) Обработка данных без согласия субъекта
например, отправка формы без галочки, предустановленный чекбокс, скрытое согласие
ч. 2 ст. 13.11 КоАП РФ
300 000 – 700 000 руб.

4) Нарушение требований локализации хранения ПДн
ч. 8–9 ст. 13.11 КоАП РФ, Закон 242-ФЗ
6 млн – 18 млн руб. при повторном нарушении

Важные нюансы санкций:

• Первое нарушение возможно предупреждение вместо штрафа, но Роскомнадзор даёт 10 дней на устранение выявленных нарушений до вынесения постановления, что снижает риск санкций при оперативном исправлении (ч. 1 ст. 4.1.1 КоАП РФ).

• Штрафы суммируются по составу нарушений (например, отсутствие политики + обработка без согласия + нарушение локализации), но не по количеству форм или страниц с аналогичным дефектом.

Роскомнадзор использует автоматический мониторинг сайтов, который охватывает набор технически проверяемых параметров. Ниже — перечень того, что действительно фиксируется и что выходит за рамки автоматической проверки.

1. Наличие политики обработки персональных данных
Политика должна быть размещена в свободном доступе и доступна на каждой странице, где есть форма сбора персональных данных — в виде прямой ссылки рядом с формой или в тексте согласия.
Требования к содержанию политики прямо в законе не установлены. При подготовке документа следует ориентироваться на
«Рекомендации по составлению политики оператора…» от 27.07.2017.

2. Формы сбора персональных данных
Робот Роскомнадзора может проверить технические элементы, такие как:

• наличие ссылки на политику рядом с формой или в подвале сайта
• наличие чекбокса согласия на обработку ПДн, который пользователь отмечает самостоятельно (чекбокс обязателен и по умолчанию должен быть пустым)
• доступность политики по указанной ссылке
• факт передачи данных по защищенному протоколу (https)

Содержательную часть (корректность текста согласия, соответствие целей, перечни данных) автоматическая проверка не оценивает.

3. Cookie
Автоматическая проверка фиксирует лишь один аспект:

• наличие cookie-баннера при первом посещении сайта.

Работа баннера, корректность выбора пользователя, передача cookie до согласия, категории файлов и взаимодействие со сторонними сервисами не анализируются.
Технические cookie (session, csrf-token, auth-cookie) не являются персональными данными, однако другие параметры могут стать ПДн в совокупности, если позволяют идентифицировать пользователя.

4. Трансграничная передача через сторонние сервисы
Мониторинг фиксирует наличие сторонних скриптов, таких как:

• счетчики аналитики
• виджеты
• CAPTCHA
• пиксели

Это означает только факт подключения стороннего сервиса.
Оценка корректности правового основания, факта передачи данных или соблюдения требований законодательства проводится только в рамках полноценной проверки.

5. Уведомление об обработке ПДн
При подаче уведомления Роскомнадзор не сверяет фактические процессы с указанными сведениями.
Проверяется только корректность и полнота заполнения уведомления.
Фактическая деятельность анализируется только в рамках проверки после жалоб, инцидентов или по плану.

6. Требования безопасности ПДн (ПП РФ № 1119)
Постановление № 1119 устанавливает требования к защите персональных данных, но в рамках автоматических проверок эти параметры не оцениваются.
Их проверяют лишь при проведении полноценной проверки:
по жалобе, утечке, инциденту или в рамках планового надзора.

Автоматический мониторинг Роскомнадзора охватывает технически проверяемые элементы: наличие политики, доступность ссылки, видимость cookie-баннера и факт подключения сторонних сервисов.

Все содержательные и организационные аспекты обработки персональных данных — цели, перечни данных, правовые основания, безопасность обработки, соответствие фактическим процессам — оцениваются только в рамках полноценной проверки.

Однако это не означает, что на внутренние процессы можно не обращать внимания.
Даже если автоматическая проверка не выявляет нарушений, ошибки в документации, несоответствие фактической обработки заявленным целям, отсутствие мер безопасности или недочеты в локальных актах могут стать причиной штрафов в случае жалобы или инцидента.

Поэтому важно не ограничиваться формальным соответствием техническим требованиям, а регулярно проводить комплексный аудит обработки ПДн — чтобы привести сайт, процессы и документы в соответствие законодательству и снизить риски для компании.

Аудит помогает:

• выявить нарушения до начала проверки;
• сопоставить реальные процессы сайта с документами;
• привести cookie-баннер и формы к требованиям закона;
• корректно оформить внутренние документы;
• снизить риск штрафов и предписаний;
• обеспечить соответствие технических мер законодательным актам.

Аудит охватывает технические и юридические аспекты обработки персональных данных на сайте и включает:

• Технический анализ и правовую оценку форм сбора и обработки персональных данных на сайте
• Аудит и правовую оценку документов, регулирующих обработку персональных данных

Результат
Вы получаете:

• Подробный отчет с выявленными нарушениями
• Список рекомендаций по устранению нарушений и приведению сайта в соответствие требованиям ФЗ-152

Проверки Роскомнадзора становятся системными, а требования — все более детальными. Чтобы сайт соответствовал 152-ФЗ, недостаточно иметь формальную политику — важно обеспечить корректную техническую и юридическую обработку персональных данных.

Аудит сайта помогает выявить слабые места, устранить нарушения и защитить бизнес от штрафов и репутационных потерь. Это один из наиболее эффективных инструментов подготовки к проверке РКН.