Как владельцу сайта не получить штраф: документы и обязанности в 2026 году
Если на сайте есть хотя бы одна форма с именем и телефоном, вы — оператор персональных данных со всеми обязанностями по 152-ФЗ. С 30 мая 2025 года штрафы за формальные нарушения выросли в десятки раз, а проверки всё чаще начинаются не с визита, а с автоматического сканирования сайтов. Хорошая новость: почти все претензии закрываются одним днём подготовки. Разберём, что должно быть на сайте и вокруг него.
Три документа, которые должны быть на сайте
- Политика конфиденциальности — какие данные собираете, зачем, где храните и когда удаляете
- Согласие на обработку персональных данных — отдельный текст, на который ссылается чекбокс у каждой формы
- Политика cookie — что за файлы, какие счётчики стоят и как от них отказаться
Ссылки на документы принято держать в подвале сайта, а из форм ссылаться прямо на политику и согласие. Важная деталь: чекбокс согласия не может быть проставлен заранее — посетитель должен кликнуть сам. Это первое, на что смотрят при проверке, и одновременно самая дешёвая правка из всех возможных.
Cookie и счётчики — тоже персональные данные
Яндекс.Метрика, пиксели рекламных систем и виджеты собирают идентификаторы посетителей, а регулятор относит их к персональным данным. Поэтому на первом визите сайт должен показать плашку: какие cookie используются и где почитать подробности. Молчаливое «оставаясь на сайте, вы соглашаетесь» без ссылки на политику уже считается слабой позицией.
Уведомление в Роскомнадзор
Почти каждый бизнес обязан один раз уведомить Роскомнадзор о том, что обрабатывает персональные данные, — это касается и сайтов с формами, и просто компаний с сотрудниками. С 30 мая 2025 года за неподанное уведомление юрлицо или ИП штрафуют на 100–300 тысяч рублей, раньше отделывались тремя–пятью тысячами. Подача бесплатна и занимает вечер.
Как подать уведомление в РКН: пошаговая инструкция
Домен: с 1 сентября 2026 года — только с идентификацией
По закону № 569-ФЗ регистрация и продление доменов в зонах .ru, .рф и .su с 1 сентября 2026 года возможны только после идентификации администратора через Госуслуги. Если домен исторически оформлен на подрядчика, бывшего сотрудника или «просто на кого-то», продлить его не выйдет — а вместе с доменом встанут сайт и корпоративная почта.
Идентификация доменов с 1 сентября 2026: что сделать заранее
Сколько стоят нарушения
- Обработка данных без согласия — для юрлиц до 700 тысяч рублей
- Нет уведомления в РКН — 100–300 тысяч рублей
- Утечка персональных данных — от 3 миллионов, при повторе — оборотные штрафы
- Домен без идентификации после 1 сентября 2026 — сайт и почта перестают работать
Чек-лист на один вечер
- Политика конфиденциальности, согласие и политика cookie опубликованы и доступны из подвала
- У каждой формы — непроставленный чекбокс со ссылками на документы
- Cookie-плашка показывается при первом визите
- Уведомление в РКН подано, данные в нём актуальны
- Домен оформлен на компанию, идентификация через Госуслуги пройдена
Штрафуют не за отсутствие юриста в штате, а за пустяки, которые правятся за день: предзаполненный чекбокс, забытое уведомление, домен на бывшем сотруднике.
Расскажите о задаче — предложим решение и смету в течение 1 рабочего дня
Без «менеджер перезвонит уточнить, что вы имели в виду»: читаем описание, задаём точечные вопросы и сразу считаем.
- Работаем по договору, оплата по этапам
- Смета из часов и ставок — видно, за что платите
- Поддержка после запуска от 6 месяцев
Дателика