Если вы думаете, что проверки Роскомнадзора — это что-то из жизни крупных корпораций и телекомов, а не вашего небольшого сайта с формой обратной связи — у нас для вас новости. Не самые приятные.
За последние несколько лет надзорная активность РКН резко выросла. Проверяют всех: интернет-магазины, медицинские клиники, образовательные платформы, кадровые агентства, застройщики. Критерий простой: есть форма, куда люди вводят имя и телефон — значит, вы оператор персональных данных. А значит, ФЗ-152 касается вас напрямую.
Что такое ФЗ-152 и при чём тут ваш сайт
Федеральный закон «О персональных данных» существует с 2006 года, но долгое время воспринимался как что-то далекое и абстрактное. Мол, это для банков и госструктур. Времена изменились.
Сегодня любой сайт с формой обратного звонка, регистрации, заявки или подписки автоматически становится оператором персональных данных. И это означает вполне конкретные обязательства:
Уведомить Роскомнадзор о том, что вы обрабатываете персональные данные. Многие владельцы сайтов об этом даже не подозревают.
Опубликовать политику конфиденциальности — причём не скопированную из интернета «рыбу», а документ, который реально отражает, что именно вы делаете с данными пользователей.
Получать явное согласие на обработку персональных данных — с указанием целей, способов и сроков. Одна галочка «Я согласен» — это не всегда достаточно.
Хранить данные граждан РФ на серверах в России. Это требование действует с 2015 года, но по-прежнему регулярно нарушается.
Обеспечить защиту данных от утечек, несанкционированного доступа и уничтожения.
Звучит объёмно? Потому что так и есть. Но именно за невыполнение этих требований сейчас и штрафуют.
Как проходят проверки РКН — и чем они заканчиваются
Роскомнадзор проверяет бизнес двумя способами:
Первый — плановые проверки, о которых вас уведомят заранее.
Второй — внеплановые, которые могут прийти по жалобе пользователя, конкурента или после инцидента с утечкой данных. И вот тут начинается самое интересное.
Инспектор заходит на сайт. Буквально. Проверяет наличие и содержание политики конфиденциальности, корректность форм сбора данных, наличие согласий. Если что-то не так — составляется протокол.
С весны 2025 года штрафы по ФЗ-152 существенно выросли. За отдельные нарушения — например, за повторную утечку данных или передачу данных за рубеж без оснований — штраф может достигать 6 миллионов рублей. И это не теоретическая цифра: прецеденты уже есть.
Но штраф — это еще не самое страшное. Роскомнадзор может потребовать заблокировать сайт до устранения нарушений. Для бизнеса, который получает заявки через интернет, это катастрофа.
Типичные нарушения, за которые штрафуют чаще всего
Вот что инспекторы находят почти на каждом втором сайте:
- Политика конфиденциальности есть, но написана три года назад и не обновлялась. За это время закон менялся несколько раз.
- Форма обратной связи есть, а согласия на обработку данных — нет. Или оно есть, но не информативное и не читаемое.
- Компания не подавала уведомление в РКН о том, что является оператором персональных данных.
- Данные пользователей хранятся на зарубежных серверах — американских хостингах, иностранных облаках и т.д.
- Нет внутренних документов: приказов, регламентов, назначенного ответственного за обработку данных.
Каждый из этих пунктов — потенциальный штраф, а в совокупности — серьезные проблемы.
«Но мы маленький бизнес, это не про нас»
Это, пожалуй, самое распространённое заблуждение. РКН не делит бизнес на «крупный» и «малый». Важен сам факт обработки персональных данных. А с учётом того, что проверки становятся всё более автоматизированными, размер компании вас не спасёт.
Кроме того, жалоба от одного недовольного клиента — достаточный повод для внеплановой проверки. Один человек, один клик — и к вам уже едут.
Что делать прямо сейчас
Хорошая новость: большинство нарушений можно устранить. Плохая: для этого нужно сначала их найти. Минимальный чек-лист выглядит так:
- Проверьте, подано ли уведомление в РКН о том, что вы оператор персональных данных.
- Посмотрите на свою политику конфиденциальности — когда обновлялась последний раз?
- Проверьте все формы на сайте — есть ли корректные согласия на обработку?
- Уточните у хостинг-провайдера, где физически хранятся данные пользователей.
- Убедитесь, что есть внутренние документы по работе с персональными данными.
Если хотя бы по двум пунктам ответ «не знаю» — это уже повод для беспокойства.
Небольшой итог
Роскомнадзор давно перестал быть бумажным тигром. Штрафы реальные, проверки участились, а незнание закона, как известно, от ответственности не освобождает.
Большинство нарушений устраняется без героических усилий — если точно знать, что именно исправлять. А это как раз вопрос правильного аудита.
Мы в ГК ИНФАРС сейчас проводим бесплатный аудит сайтов на соответствие ФЗ-152.
За 4–5 рабочих дней эксперты проверят ваш сайт и подготовят понятный отчёт: что нарушено, какие риски, что исправить в первую очередь. Никаких страшных протоколов — просто конкретный разбор с реальными шагами.
Оставить заявку можно здесь.