Последний год тема персональных данных у нас стала едва ли не главной на первых встречах с клиентами. Раньше её обсуждали в самом конце, по остаточному принципу. Сейчас она стоит в числе первых вопросов, вместе со сроками и бюджетом. И не зря.
Короткий факт для старта: если на вашем сайте есть форма обратной связи с полями «имя» и «телефон», вы оператор персональных данных. Это не «если вдруг», это по определению закона. И с этого момента к вам применяется весь 152-ФЗ со всеми его требованиями и штрафами.
Расскажем, почему в 2026 году эта тема перешла в фазу, когда игнорировать её уже не получится.
Что изменилось за последний год
Если коротко: требования к работе с персональными данными ужесточили, а штрафы подняли в разы. Ниже главные точки отсчёта, которые стоит знать владельцу бизнеса.
30 мая 2025 года вступил в силу закон 420-ФЗ, который фактически переписал систему штрафов. Максимальная санкция для организации при массовой утечке данных теперь 500 млн рублей. Для самозанятого или ИП, который забыл подать уведомление в Роскомнадзор, до 300 тысяч.
1 сентября 2025 года заработало правило: согласие на обработку персональных данных должно быть отдельным документом, а не строкой внутри пользовательского соглашения. Одно из самых частых нарушений, которое мы сейчас видим у клиентов, старая форма с единственным чек-боксом «согласен с условиями», куда свалены и оферта, и политика, и согласие на рассылку. По новым правилам это нарушение.
С 1 июля 2025 года стало однозначно: персональные данные хранятся на серверах в России. Сайт на зарубежном хостинге или заявки, которые падают на Gmail, это трансграничная передача со всеми вытекающими.
С 2026 года Роскомнадзор начал применять автоматизированные проверки. Это не ручной аудит, когда инспектор зашёл, посмотрел, составил акт. Это автоматический скан сайтов по заданным критериям. Нет политики, нет правильного cookie-баннера, нет записи в реестре операторов, попадаете в список для дальнейшей работы регулятора.
Как понять, что вы оператор персональных данных
Сделайте короткий тест. Если на вашем сайте есть хотя бы одно из следующего, вы оператор:
- форма обратной связи;
- подписка на рассылку;
- корзина интернет-магазина;
- счётчик Яндекс.Метрики (да, его тоже засчитывают, потому что он передаёт IP и идентификаторы);
- личный кабинет;
- форма записи на услугу.
Юридический статус значения не имеет. Самозанятый дизайнер с простым лендингом и формой «оставьте заявку», оператор. ООО с интернет-магазином, тоже оператор. Разницы в обязанностях почти нет, только в размере штрафов и некоторых процедурных моментах.
Удивляет это клиентов почти всегда. В ответ мы обычно слышим одно и то же: «У меня же маленький бизнес, кому я нужен?». На это есть простой ответ. Автоматическим проверкам всё равно, какой у вас масштаб. Им интересно, есть вы в реестре или нет.
Что должно быть на сайте в 2026 году
Минимальный набор, за отсутствие которого проверка с высокой вероятностью приводит к штрафу.
Политика обработки персональных данных. Не просто ссылка в подвале, а документ, составленный по новым требованиям: с перечислением целей обработки, категорий данных, способов и сроков хранения. Причём размещать её нужно не в недрах сайта, а на каждой странице, где собираются персональные данные. Это новая формулировка, про которую многие ещё не знают.
Отдельное согласие на обработку персональных данных. С чек-боксом перед отправкой каждой формы. Согласие должно быть предметным и однозначным. Пользователь нажимает именно на «согласен на обработку данных», а не на абстрактное «принимаю условия».
Согласие на получение рассылок. Тоже отдельно. Если планируете присылать что-то, кроме ответа на конкретную заявку, нужно явное согласие.
Уведомление Роскомнадзора. То самое, после которого вас вносят в реестр операторов на портале pd.rkn.gov.ru. Подача через электронную подпись, срок рассмотрения 30 календарных дней. Но начинать работу с данными можно с момента подачи, ждать внесения в реестр не обязательно.
Российский хостинг. Сайт физически должен быть на серверах в РФ. Tilda, например, это требование выполняет. Сайты на европейских хостингах, нет.
Cookie-баннер. У пользователя должна быть возможность согласиться или отказаться от нефункциональных cookie при первом визите.
Это минимум. Для интернет-магазинов, сервисов с личным кабинетом и компаний, которые работают с биометрией или специальными категориями данных, требований существенно больше.
Что мы видим у клиентов чаще всего
В каждом дизайн-аудите мы обязательно проверяем соответствие 152-ФЗ. Вот топ типичных нарушений, который повторяется почти всегда.
- Политика конфиденциальности скачана с первого попавшегося онлайн-генератора несколько лет назад. Не учитывает новые правила 2025-2026 годов, не отражает реальные процессы компании, ссылается на несуществующие отделы.
- Нет отдельного согласия на обработку персональных данных. Есть только галочка «принимаю условия сайта», и этого по новым правилам недостаточно.
- Яндекс.Метрика или подобные счётчики стоят, но в политике не упомянуты. Это отдельное нарушение, передача данных третьим лицам без уведомления пользователя.
- Сайт стоит на зарубежном хостинге, или заявки с формы приходят на Gmail. Трансграничная передача, которая требует отдельных процедур и в большинстве случаев недопустима.
- Самое главное, не подано уведомление в Роскомнадзор. Это одна из немногих вещей, которые регулятор проверяет автоматически по всей стране. Нет вас в реестре, значит, автоматическое предписание, потом штраф.
Сколько это стоит на самом деле
Покажем простую арифметику, которая обычно снимает вопрос «а надо ли мне вообще этим заниматься».
Самозанятый с формой заявки на сайте и без нужных документов рискует штрафом до 300 тысяч рублей за одно только неуведомление Роскомнадзора. Плюс предписания по остальным пунктам, которые могут привести к отдельным санкциям.
Небольшая компания в сегменте среднего бизнеса при утечке базы из 10-100 тысяч клиентов платит от 5 до 10 миллионов рублей. При повторном нарушении начинают считать оборотный штраф, от 1 до 3% годовой выручки. Для компании с оборотом 300 млн в год это 3-9 млн за один случай.
Теперь другая сторона. Привести сайт в соответствие стоит значительно меньше. Базовый комплект документов, регистрация в Роскомнадзоре, настройка форм и cookie-баннера у специалистов в среднем обходится в 20-60 тысяч рублей. В пять-десять раз дешевле минимального штрафа.
Что сделать прямо сейчас
Три шага, которые можно сделать уже на этой неделе, не привлекая никого со стороны.
Первый: откройте сайт Роскомнадзора и проверьте, есть ли вы в реестре операторов. Сделать это можно за две минуты на pd.rkn.gov.ru. Если вас там нет, это самый важный пункт для работы.
Второй: откройте свой сайт глазами пользователя. Есть ли политика конфиденциальности и датирована ли она 2025 или 2026 годом. Есть ли в каждой форме отдельный чек-бокс согласия на обработку персональных данных. Есть ли cookie-баннер.
Третий: узнайте, где физически размещён ваш сайт и куда приходят заявки. Если хостинг за рубежом или почта на Gmail, это нужно менять.
Если по любому из пунктов ответ «не знаю» или «не уверен», пора делать полноценный аудит. Тянуть с этим уже не стоит. Автоматизированные проверки Роскомнадзора работают прямо сейчас, и это вопрос времени, когда очередь дойдёт до вашего сайта.
В нашей студии дизайн-аудит всегда включает проверку на соответствие 152-ФЗ. Мы смотрим документы, формы, хостинг, подключенные сервисы и даём отчёт с конкретными пунктами, которые нужно исправить. Если хотите разобраться с темой один раз и не возвращаться к ней, оставьте заявку на нашем сайте.