киод.

Как владельцу сайта не получить штраф: документы и обязанности в 2026 году

Если на сайте есть хотя бы одна форма с именем и телефоном, вы — оператор персональных данных со всеми обязанностями по 152-ФЗ. С 30 мая 2025 года штрафы за формальные нарушения выросли в десятки раз, а проверки всё чаще начинаются не с визита, а с автоматического сканирования сайтов. Хорошая новость: почти все претензии закрываются одним днём подготовки. Разберём, что должно быть на сайте и вокруг него.

Три документа, которые должны быть на сайте

  • Политика конфиденциальности — какие данные собираете, зачем, где храните и когда удаляете
  • Согласие на обработку персональных данных — отдельный текст, на который ссылается чекбокс у каждой формы
  • Политика cookie — что за файлы, какие счётчики стоят и как от них отказаться

Ссылки на документы принято держать в подвале сайта, а из форм ссылаться прямо на политику и согласие. Важная деталь: чекбокс согласия не может быть проставлен заранее — посетитель должен кликнуть сам. Это первое, на что смотрят при проверке, и одновременно самая дешёвая правка из всех возможных.

Cookie и счётчики — тоже персональные данные

Яндекс.Метрика, пиксели рекламных систем и виджеты собирают идентификаторы посетителей, а регулятор относит их к персональным данным. Поэтому на первом визите сайт должен показать плашку: какие cookie используются и где почитать подробности. Молчаливое «оставаясь на сайте, вы соглашаетесь» без ссылки на политику уже считается слабой позицией.

Уведомление в Роскомнадзор

Почти каждый бизнес обязан один раз уведомить Роскомнадзор о том, что обрабатывает персональные данные, — это касается и сайтов с формами, и просто компаний с сотрудниками. С 30 мая 2025 года за неподанное уведомление юрлицо или ИП штрафуют на 100–300 тысяч рублей, раньше отделывались тремя–пятью тысячами. Подача бесплатна и занимает вечер.

Как подать уведомление в РКН: пошаговая инструкция

Домен: с 1 сентября 2026 года — только с идентификацией

По закону № 569-ФЗ регистрация и продление доменов в зонах .ru, .рф и .su с 1 сентября 2026 года возможны только после идентификации администратора через Госуслуги. Если домен исторически оформлен на подрядчика, бывшего сотрудника или «просто на кого-то», продлить его не выйдет — а вместе с доменом встанут сайт и корпоративная почта.

Идентификация доменов с 1 сентября 2026: что сделать заранее

Сколько стоят нарушения

  • Обработка данных без согласия — для юрлиц до 700 тысяч рублей
  • Нет уведомления в РКН — 100–300 тысяч рублей
  • Утечка персональных данных — от 3 миллионов, при повторе — оборотные штрафы
  • Домен без идентификации после 1 сентября 2026 — сайт и почта перестают работать

Чек-лист на один вечер

  • Политика конфиденциальности, согласие и политика cookie опубликованы и доступны из подвала
  • У каждой формы — непроставленный чекбокс со ссылками на документы
  • Cookie-плашка показывается при первом визите
  • Уведомление в РКН подано, данные в нём актуальны
  • Домен оформлен на компанию, идентификация через Госуслуги пройдена
Штрафуют не за отсутствие юриста в штате, а за пустяки, которые правятся за день: предзаполненный чекбокс, забытое уведомление, домен на бывшем сотруднике.

Ещё из блога

К блогу

Регистрация доменов с 1 сентября 2026 года: без Госуслуг не продлить

Как подать уведомление в Роскомнадзор об обработке персональных данных

Расскажите о задаче — предложим решение и смету в течение 1 рабочего дня

Без «менеджер перезвонит уточнить, что вы имели в виду»: читаем описание, задаём точечные вопросы и сразу считаем.

  • Работаем по договору, оплата по этапам
  • Смета из часов и ставок — видно, за что платите
  • Поддержка после запуска от 6 месяцев