Проверка сайта на соответствие 152-ФЗ: что смотрит Роскомнадзор и как проверить за 2 минуты

Как только на сайте появляется форма, где человек оставляет имя, телефон или почту, сайт начинает обрабатывать персональные данные. А значит, попадает под 152-ФЗ (Федеральный закон «О персональных данных») и под надзор Роскомнадзора (РКН - ведомство, которое следит за связью и обработкой персональных данных). И тут выясняется неприятное: большинство сайтов малого и среднего бизнеса нарушают закон, сами того не зная.

В 2026 году это перестало быть мелочью: штрафы резко выросли, появились оборотные санкции в миллионы рублей. Разберём, что именно смотрит Роскомнадзор, и как за пару минут проверить свой сайт.

Это обзорная статья, а не юридическая консультация. Нормы и суммы меняются, а конкретный случай лучше сверять с актуальной редакцией закона или с юристом.

Что такое 152-ФЗ и кого он касается

Персональные данные - это любая информация, по которой можно определить человека: имя, телефон, электронная почта, адрес. 152-ФЗ регулирует, как бизнес собирает и хранит эти данные.

Касается это почти всех. Если на сайте есть форма заявки, обратный звонок, запись, подписка или даже просто счётчик аналитики, ты собираешь персональные данные. «У меня маленький сайт-визитка» не освобождает: закон смотрит не на размер, а на сам факт сбора.

Что смотрит Роскомнадзор: чек-лист

Вот то, что проверяют в первую очередь:

1. Политика конфиденциальности. Отдельный документ на сайте, где описано, какие данные ты собираешь, зачем и как хранишь. Ссылка на него должна быть доступна, обычно в подвале и рядом с формами.
2. Согласие у каждой формы. Рядом с формой нужна галочка согласия на обработку персональных данных со ссылкой на политику. Галочка не должна быть проставлена заранее: человек ставит её сам. Предзаполненная галка - нарушение.
3. Уведомление в Роскомнадзор. Перед началом обработки данных бизнес обязан подать уведомление оператора персональных данных в РКН. Многие про это даже не слышали.
4. Уведомление про cookie. Если сайт использует файлы cookie и аналитику (а её использует почти каждый), нужно сообщить об этом посетителю.
5. Хранение данных в России. Персональные данные россиян должны храниться на серверах в России. Это касается и того, где стоит твой сайт и куда уходят заявки.
6. Маркировка рекламы. Если на сайте есть реклама, к ней отдельные требования по маркировке. Это смежная история, но проверяют и её.

Если хотя бы первых двух пунктов нет, сайт уже формально нарушает закон.

Сколько стоят нарушения сейчас

Раньше на это смотрели сквозь пальцы, и штрафы были символическими. Теперь нет. По правовым разборам на середину 2026 года, штрафы за нарушения в области персональных данных заметно ужесточены: за отдельные нарушения вроде отсутствия нужных документов санкции идут от десятков до сотен тысяч рублей, а за утечку персональных данных введены оборотные штрафы (штраф как процент от выручки компании), которые могут достигать миллионов. Суммарно по всем видам нарушений ответственность доходит до порядка 18 миллионов рублей, и с 2026 года Роскомнадзор перешёл к их полномасштабному применению.

Смысл простой: то, что год назад стоило формального предупреждения, сегодня бьёт по карману всерьёз. И первыми под удар попадают именно сайты без политики и согласий, потому что это видно снаружи без всякой проверки.

Как проверить за 2 минуты

Чтобы не гадать, мы сделали бесплатный инструмент. Он смотрит на сайт глазами проверяющего и показывает светофором, где явные дыры.

Проверить сайт на соответствие закону - бесплатно и за пару минут. Инструмент проверяет видимые признаки: есть ли политика конфиденциальности, согласие у форм, уведомление про cookie и так далее, и подсвечивает проблемные места.

Важная оговорка: инструмент проверяет видимые признаки соответствия, а не заменяет полный юридический аудит. Он быстро показывает очевидные нарушения, которые стоит закрыть в первую очередь.

Чек-лист за 2 минуты руками

Хочешь прикинуть сам, прямо сейчас, открой свой сайт и проверь:

• В подвале есть ссылка «Политика конфиденциальности», и она открывается? Если нет - это первое, что нужно сделать.
• Под каждой формой есть галочка согласия со ссылкой на политику? И она не стоит галочкой по умолчанию?
• При первом заходе сайт сообщает про cookie?
• Знаешь ли ты, подавал ли бизнес уведомление оператора в Роскомнадзор?
• Понимаешь, где физически хранятся заявки с форм и стоит ли сайт на сервере в России?

Если хоть на один пункт ответ «нет» или «не знаю», есть что закрывать.

Частые вопросы

У меня простой сайт-визитка, это тоже касается? Да. Закон смотрит на факт сбора данных, а не на размер сайта. Одна форма обратной связи - и ты уже оператор персональных данных.

Хватит ли просто добавить политику конфиденциальности? Это необходимый минимум, но не всё. Нужны ещё корректные согласия у форм, уведомление в РКН и порядок хранения. Политика без согласий проблему не закрывает.

Инструмент даёт юридическую гарантию? Нет. Он показывает видимые признаки и очевидные нарушения. Полную юридическую чистоту подтверждает специалист, а не онлайн-проверка.

Кто отвечает за нарушения? Владелец сайта как оператор персональных данных. Подрядчик, который делал сайт, помогает всё настроить правильно, но ответственность несёт бизнес.

Если нашлись проблемы

Сначала прогони сайт через бесплатную проверку на соответствие закону - увидишь явные дыры. Дальше мы поможем их закрыть: настроить политику, согласия у форм и уведомление про cookie в рамках аудита и доработки сайта, а если сайт делается с нуля, соберём его сразу по закону - с рабочими формами, согласиями и аналитикой по правилам. Напиши нам, разберём твой случай и подскажем, что критично закрыть в первую очередь.

Ещё разборы про сайты, закон и заявки - в канале @digitalimpulschannel.