Проверка сайта на соответствие требованиям РФ в 2026 году: как избежать штрафов

Этот чек‑лист поможет владельцу сайта быстро проверить, есть ли на сайте базовые юридические элементы, чтобы снизить риск штрафов.

Важно: материал носит рекомендательный характер и не заменяет юридическую консультацию. Для корректных формулировок документов, оценки вашей ситуации и подготовки доказательной базы лучше привлекать компетентных юристов.Что нужно: у каждой формы должны быть флажки (чекбоксы) для отдельного и информированного согласия пользователя на обработку его данных и ссылка на сам документы, описывающие правила обработки персональных данных, для чего данные собираются, в каких целях.

1) Согласие на обработку персональных данных (риск штрафов до 700 000 руб.)

Проверьте все места, где вы собираете данные: формы заявки, обратный звонок, онлайн‑чат, заказ, подписка, регистрация, квиз, загрузка файла и т. п.

Согласие оформлено понятно и отдельно. Рядом с кнопкой отправки есть чекбокс «Согласен(а) на обработку персональных данных», который не отмечен заранее. Пользователь должен однозначно понимать, что подтверждает.
Рядом с формой есть ссылка на документ(ы) о персональных данных. Закон требует, чтобы у оператора была общедоступная “Политика в отношении обработки персональных данных” (публикация на сайте/странице, где собираете данные). На практике это можно оформить:

одним документом: «Политика обработки ПДн», внутри которого отдельным разделом описаны конфиденциальность, cookie и т. п.;
или двумя документами: отдельная «Политика обработки ПДн» + отдельная «Политика конфиденциальности». Главное — чтобы политика обработки ПДн была опубликована и легко доступна.

В тексте согласия есть минимум необходимого: кто оператор (реквизиты/наименование), цели обработки (например, обработка заявки, связь), состав собираемых данных, порядок отзыва согласия и контакт для обращений.
Вы умеете доказать, что согласие было получено. Желательно фиксировать дату/время, источник (страница/форма), а также версию текста согласия/политики на момент отправки.
Если вы работаете со специальными категориями или биометрическими данными, отдельно убедитесь, что соблюдена требуемая законом форма согласия и дополнительные условия обработки.

Почему это важно: при отсутствии требуемого согласия или при некорректном оформлении повышается риск привлечения к ответственности.

Нормативные основания и официальные тексты:

152‑ФЗ от 27.07.2006 «О персональных данных» (в т. ч. согласие и обязанности оператора: ст. 9, ст. 18.1). Официальный текст: https://pravo.gov.ru/proxy/ips/?docbody=&nd=102108261
КоАП РФ (ответственность: ст. 13.11). Официальный текст: https://pravo.gov.ru/proxy/ips/?docbody=&nd=102074277

2) Политика(и) на сайте: минимум обязателен, формат на выбор (риск штрафов до 60 000 руб.)

На сайте должна быть опубликована и легко доступна Политика в отношении обработки персональных данных (её публикация — ключевое требование). Дополнительно вы можете вынести пользовательские аспекты («конфиденциальность», cookie, аналитика) в отдельный документ — это удобно для читателя, но не всегда обязательно как отдельная страница.

2.1. Политика конфиденциальности

Это понятный для пользователя документ «простыми словами» о том, какие сведения сайт может собирать и как они используются. Обычно сюда включают:

какие данные вы получаете от пользователя (например, имя, телефон, e‑mail) и какие данные собираются автоматически (например, cookie, технические данные браузера);
для чего эти данные нужны (обработка запросов, улучшение сервиса, аналитика);
кому данные могут передаваться (например, сервисам аналитики/CRM/коллтрекинга) и на каких основаниях;
как пользователь может задать вопрос, отозвать согласие или попросить удалить данные.

2.2. Политика обработки персональных данных

Это более «операторский» документ, где описана система обработки ПДн: кто оператор, цели и правовые основания обработки, категории субъектов и данных, сроки хранения и порядок уничтожения, возможная передача третьим лицам/поручение обработки, порядок реализации прав субъекта, контакты ответственного.

Где должны быть ссылки:

в подвале сайта (футере) — постоянно;
возле каждой формы/кнопки отправки данных — как минимум рядом с чекбоксом согласия.

Почему это важно: закон требует, чтобы политика была общедоступна, а пользователь мог быстро найти информацию о том, как и зачем обрабатываются его данные.

Нормативные основания и официальные тексты:

152‑ФЗ (обязанность утвердить документы и сделать политику общедоступной: ст. 18.1). Официальный текст: https://pravo.gov.ru/proxy/ips/?docbody=&nd=102108261
КоАП РФ ст. 13.11 (штрафы за нарушения в области ПДн; на практике риск по непубликации политики обычно связывают с ч. 3 ст. 13.11). Официальный текст: https://pravo.gov.ru/proxy/ips/?docbody=&nd=102074277

3) Уведомление Роскомнадзора об обработке ПДн (риск штрафов до 300 000 руб.)

Проверьте, что уведомление подано до начала обработки, а у вас сохранены подтверждения подачи. Полезно также убедиться, что сведения об операторе корректно отображаются в реестре (если применимо) и что внутренние процессы соответствуют заявленным целям обработки.

Нормативные основания и официальные тексты/сервисы:

152‑ФЗ (уведомление уполномоченного органа до начала обработки: ст. 22). Официальный текст: https://pravo.gov.ru/proxy/ips/?docbody=&nd=102108261
Роскомнадзор — подача уведомления онлайн (официальный сервис): https://pd.rkn.gov.ru/operators-registry/notification/Форма уведомления: https://pd.rkn.gov.ru/operators-registry/notification/form/
Приказ Роскомнадзора от 28.10.2022 № 180 (формы уведомлений) — на практике удобнее всего ориентироваться на официальные формы/подсказки РКН по ссылкам выше.

4) Рекламные рассылки и звонки (риск штрафов до 1 000 000 руб.)

Если вы отправляете рекламные сообщения (SMS, мессенджеры, e‑mail, автодозвон), проверьте три вещи:

Согласие на рекламу получено отдельно. Его нельзя «прятать» внутри согласия на обработку ПДн одним общим чекбоксом. Лучше использовать отдельную формулировку и отдельный чекбокс.
Отписка и отказ работают реально. В каждом канале должна быть понятная возможность отказаться, а после отказа рассылка фактически прекращается.
Доказательства согласия хранятся. По запросу контролирующих органов вы должны подтвердить, что согласие было получено корректно.

Нормативные основания и официальные тексты:

38‑ФЗ от 13.03.2006 «О рекламе» (реклама по сетям электросвязи и требование предварительного согласия: ст. 18). Официальный текст: https://pravo.gov.ru/proxy/ips/?docbody=&nd=102105292
КоАП РФ ст. 14.3 (ответственность за нарушения закона о рекламе; для электросвязи часто применяют ч. 4.1 ст. 14.3). Официальный текст: https://pravo.gov.ru/proxy/ips/?docbody=&nd=102074277
ФЗ № 41‑ФЗ от 01.04.2025 (изменения по массовым вызовам/рассылкам и связанным обязанностям). Официальная публикация: https://publication.pravo.gov.ru/document/0001202504010010
ФАС России (официальные разъяснения/подходы по рекламе через связь): https://fas.gov.ru/documents/686262

5) Информация на сайте не вводит потребителя в заблуждение (риск штрафов до 50 000 руб. за нарушение)

Проверьте, что ключевые сведения на сайте совпадают между собой и не создают ложных ожиданий:

цены, скидки, сроки, комплектация, условия доставки/возврата, наличие и ограничения — актуальны и одинаково отражены в карточках, баннерах, квизах и финальных шагах оформления;
нет «скрытых условий», которые пользователь узнаёт только после заявки;
если есть акция, прописаны понятные правила: период, условия участия, ограничения.

Почему это важно: жалобы потребителей и проверки часто начинаются именно с несостыковок на сайте.

Нормативные основания и официальные тексты:

КоАП РФ ст. 14.7 «Обман потребителей». Официальный текст КоАП РФ: https://pravo.gov.ru/proxy/ips/?docbody=&nd=102074277
Закон РФ от 07.02.1992 № 2300‑1 «О защите прав потребителей» (требования к информации для потребителя, права и механизмы защиты). Официальный текст: https://pravo.gov.ru/proxy/ips/?docbody=&nd=102014512
Роспотребнадзор — государственный портал по защите прав потребителей (справочные материалы): https://zpp.rospotrebnadzor.ru/

Минимум дополнительно (технически‑организационный уровень)

Даже при наличии документов стоит проверить базовые меры безопасности и организации обработки:

персональные данные граждан РФ обрабатываются с учётом требований по локализации;
сайт работает по HTTPS, доступы к админке защищены, пароли и роли доступа настроены;
есть понятный внутренний порядок: кто отвечает за ПДн, как обрабатываются запросы пользователей и как действовать при инцидентах.

Ниже — основные законы и акты, которые напрямую связаны с пунктами этого чек‑листа. Для чтения первоисточников удобнее всего использовать Официальный интернет‑портал правовой информации.