Екатерина Ласка, юрист с 1998 года
Большинство владельцев сайтов уже нарушают закон о персональных данных и даже не понимают этого.
Потому что:
— если стоит форма заявки,
— если подключена CRM,
— если работает Telegram-бот,
— если собираются телефоны / email клиентов,
— если подключена Яндекс.Метрика.
С этого момента вы уже можете считаться оператором персональных данных по Федеральному закону №152-ФЗ «О персональных данных».
А дальше обычно начинается паника:
— «нужно ли подавать уведомление в Роскомнадзор»
— «как подать уведомление о персональных данных»
— «какой штраф за отсутствие уведомления Роскомнадзора»
Причём многие до сих пор уверены: «Мы маленький бизнес, нас никто не проверяет».
Проверяют.
И сейчас Роскомнадзор очень активно смотрит:
— формы на сайтах,
— cookies,
— политики конфиденциальности,
— сервисы аналитики,
— иностранные CRM.
Кому нужно подавать уведомление в Роскомнадзор об обработке персональных данных в 2026 году
По статье 3 Федерального закона №152-ФЗ оператор персональных данных — это практически любой бизнес, который получает, хранит или использует данные клиентов.
Не только банки и крупные компании.
Это может быть:
— юрист,
— психолог,
— онлайн-школа,
— интернет-магазин,
— эксперт с Telegram-ботом,
— мастер услуг.
Даже обычная форма “оставьте телефон” на сайте уже считается обработкой персональных данных.
Какие сайты обязаны подавать уведомление в Роскомнадзор о персональных данных
Если у вас есть:
— интернет-магазин,
— сайт услуг,
— форма обратной связи,
— запись на консультацию,
— CRM,
— email-рассылка,
— Telegram-бот,
вы почти наверняка обязаны подать уведомление в Роскомнадзор об обработке персональных данных.
Особенно если:
— сохраняете заявки,
— ведёте клиентскую базу,
— используете аналитику,
— делаете повторные продажи.
Внимание! Если данные клиентов хранятся:
— в CRM,
— на почте,
— в таблицах,
— в Telegram,
— в облаке,
это уже обработка персональных данных, а значит вам нужно подавать уведомление в Роскомнадзор.
Что будет если не подать уведомление в Роскомнадзор о персональных данных
Сценарий обычно одинаковый.
ШАГ 1 Приходит запрос или письмо от Роскомнадзора.
ШАГ 2 Начинаются вопросы:
— где уведомление,
— где политика конфиденциальности,
— где согласие на обработку персональных данных.
ШАГ 3 Протокол и штраф.
И здесь многие совершают ошибку: пытаются срочно “доделать документы”.
Но документы должны существовать ДО начала обработки данных и ДО момента, когда вы решили быстренько заполнить форму или УЖЕ подали уведомление.
ШАГ 1. Как проверить сайт перед подачей уведомления в Роскомнадзор о персональных данных
Главная ошибка бизнеса: сначала подать уведомление, а потом разбираться с сайтом.
И внезапно выясняется:
— политика конфиденциальности не соответствует реальной работе сайта (это ужасно, но иногда даже название компании не меняют, когда копируют у кого-то готовый документ),
— согласия оформлены неправильно,
— данные уходят в иностранные сервисы,
— CRM вообще не указана в документах.
После подачи уведомления сайт вполне могут проверить подробнее.
Как проверить политику конфиденциальности на сайте перед подачей уведомления в Роскомнадзор
Политика конфиденциальности должна:
— соответствовать именно вашему сайту,
— содержать реальные сервисы,
— описывать реальные процессы обработки данных.
Не шаблон “из интернета”.
Если на сайте есть:
— аналитика,
— Telegram-бот,
— CRM,
— cookies,
это должно быть отражено в политике.
По статье 18.1 закона №152-ФЗ оператор обязан опубликовать политику обработки персональных данных в открытом доступе.
Как проверить согласие на обработку персональных данных на сайте
Вот здесь огромное количество сайтов “сыпется”.
Например:
☑ «Нажимая кнопку, вы соглашаетесь со всем подряд»
Это плохой вариант.
Согласие по закону должно быть:
— конкретным,
— информированным,
— осознанным, т.е. поле для галочки должно быть пустым.
Это прямо следует из статьи 9 Федерального закона №152-ФЗ.
Как правильно оформить согласие на обработку персональных данных на сайте
Нормальный вариант выглядит так:
☑ «Я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности»
Важно:
— ссылка на политику должна быть активной,
— пользователь сам ставит галочку,
— галочка не должна стоять автоматически.
И ещё важный момент: согласие должно быть привязано к конкретной цели.
Например:
— оформление заявки,
— обратная связь,
— рекламная рассылка.
Почему автоматическая галочка согласия на обработку персональных данных — нарушение
☑ галочка уже стоит заранее
— это нарушение.
Потому что согласие должно подтверждаться действием пользователя. Предустановленная галочка не считается добровольным согласием.
ШАГ 2. Как подготовить данные для подачи уведомления в Роскомнадзор о персональных данных
Перед подачей уведомления нужно понять какие именно персональные данные собирает сайт.
И многие неожиданно узнают, что персональными данными могут считаться:
— IP-адрес,
— cookies,
— данные аналитики.
Какие персональные данные собирает интернет-магазин или сайт услуг
Чаще всего:
— ФИО,
— телефон,
— email,
— адрес доставки,
— IP-адрес,
— cookies.
Если подключены:
— CRM,
— Яндекс.Метрика,
— коллтрекинг,
— email-платформы,
а также сторонние службы доставки и оплаты - данные могут автоматически передаваться третьим лицам.
Как правильно указать цели обработки персональных данных в уведомлении Роскомнадзора
Пишите конкретно:
— оформление заказа,
— обработка заявки,
— связь с клиентом,
— доставка,
— информирование.
Потому что закон требует заранее определённых целей обработки персональных данных.
Как понять куда уходят персональные данные клиентов сайта
Современный сайт — это не “просто сайт”.
Данные клиента могут одновременно уходить:
— в CRM,
— в почту,
— в Telegram,
— в систему аналитики,
— в рекламные сервисы.
И многие владельцы бизнеса даже не знают, где физически находятся серверы этих сервисов. А это уже юридический риск. Поэтому я призываю всех переходить на РФ сервисы (даже если они отстают в “развитии”). Такова реальность, ваше дело сейчас - не спорить с этим, а обезопасить себя.
Почему передача персональных данных за границу — отдельный риск в 2026 году
Если используются:
— иностранные CRM,
— зарубежные сервисы,
— иностранный хостинг,
это может считаться трансграничной передачей персональных данных. А к ней сейчас повышенное внимание. В ряде случаев требуется отдельное уведомление Роскомнадзора.
На мой взгляд малому бизнесу сейчас безопаснее использовать российские сервисы.
ШАГ 3. Куда заходить чтобы подать уведомление в Роскомнадзор о персональных данных
Подавать уведомление нужно через официальный реестр операторов персональных данных Роскомнадзора.
Официальный сайт: https://pd.rkn.gov.ru/operators-registry/notification/
Нужно выбрать раздел: “Подать уведомление”.
ШАГ 4. Как подать уведомление в Роскомнадзор о персональных данных через Госуслуги
Для подачи потребуется:
— подтверждённая учётная запись,
— данные ИП или ООО,
— иногда электронная подпись.
Самозанятые тоже могут быть операторами персональных данных.
ШАГ 5. Как правильно заполнить уведомление об обработке персональных данных в Роскомнадзор
Самое важное — правильно указать цели обработки персональных данных.
— обработка заявок,
— оформление заказов,
— связь с клиентами,
— доставка.
Потому что потом именно с этим будут сравнивать ваш сайт и ваши документы.
Как правильно указать ДЕЙСТВИЯ с персональными данными в уведомлении Роскомнадзора
Обычно указывают:
— сбор,
— хранение,
— систематизацию,
— передачу,
— удаление.
Если данные передаются подрядчикам (например, службе доставки) — это тоже нужно отражать.
Как правильно указать ПЕРЕДАЧУ персональных данных третьим лицам
Если используются:
— сторонняя CRM,
— сервис доставки,
— платформа рассылок,
это уже передача данных третьим лицам.
И она должна быть отражена:
— в политике,
— в уведомлении,
— в согласии пользователя.
ШАГ 6. Как подписать уведомление о персональных данных для Роскомнадзора
Если вы собираете клиентскую базу, значит вы самозанятый, ИП, либо ООО, вы уже оператор персональных данных, и у вас есть один из вариантов:
- подписать уведомление о персональных данных через Госуслуги
Обычно используется:
— подтверждённая учётная запись,
— иногда усиленная электронная подпись.
- электронная подпись для подачи уведомления о персональных данных
Для ИП и ООО — в ряде случаев понадобится электронная подпись. Особенно если подача идёт не через упрощённую форму.
ШАГ 7. Как проверить что уведомление о персональных данных зарегистрировано Роскомнадзором
После подачи:
— данные появляются в реестре операторов,
— Роскомнадзор может запросить уточнения, поэтому указывайте почту и телефон, которые реально доступны, иначе будете потом суде доказывать, что никаких уведомлений не получали. О том, как я судилась с Роскомнадзором по этому поводу написала здесь
Многие думают: «Подали уведомление о персональных данных — проблема решена».
Нет. Вы только привлекли внимание сотрудника Роскомнадзора к вам. С одной стороны вы - молодец, и сделали все по закону. С другой - вы добровольно сказали: “Проверьте меня”.
Дальше сотрудник может проверить:
— сайт,
— формы,
— cookies,
— CRM,
— согласия,
— политику конфиденциальности.
Прям руками пройдет по пути клиента и посмотрит ваши документы и галочки на каждом шаге.
Почему большинство сайтов получает проблемы с персональными данными после подачи уведомления
Потому что:
— уведомление подали “для галочки”,
— сайт никто не проверял,
— документы из интернета не совпадают с реальной обработкой данных.
Как избежать штрафа Роскомнадзора за персональные данные в 2026 году
Штраф за нарушение обязанности уведомить о намерении обрабатывать персональные данные — 100 000 – 300 000 руб. Думаю, вам пригодится этот минимальный чек-лист.
✅ Проверить формы на сайте
✅ Проверить согласия
✅ Проверить политику конфиденциальности
✅ Проверить CRM и сторонние сервисы
✅ Проверить передачу данных за границу
✅ Подать уведомление до проверки
Самая большая ошибка бизнеса при подаче уведомления о персональных данных
- это думать, что вас это не коснется, особенно если:
— сайт работает,
— заявки собираются,
— документы сделаны “на коленке”.
Штраф по ч. 1 ст. 13.11 КоАП РФ накладывается за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо за обработку, несовместимую с целями сбора.
Использование персональных данных, когда это незаконно или противоречит заявленным целям (например, передача третьим лицам без согласия, сбор избыточных данных).
Т.е. если вы просто наугад решили отметить все подряд, а ваши документы скопированы из интернета, штрафы будут примерно такие:
- до 10 000 – 15 000 руб. для физлиц;
- до 50 000 – 100 000 руб. для должностных лиц и ИП;
- до 150 000 – 300 000 руб. для организаций.
Если ваш сайт реально работает, на него запущена реклама, вы пользуетесь им для продаж - обратитесь к юристу, чтобы правильно его упаковать и оформить все документы ПЕРЕД тем, как подавать уведомление о персональных данных.
Вы можете обратиться к юристам по месту проживания или онлайн.
Наши контакты в описании профиля.
Екатерина Ласка
юрист с 1998 года, блог о защите прав граждан
