6 нарушений на сайте, которые могут привести к штрафам в 2026 году

Привет, герой бизнеса!

Пока вы развиваете компанию, законодательство подбрасывает всё новые требования к сайтам.

Персональные данные, cookie-файлы, уведомление Роскомнадзора, сторонние сервисы — разобраться во всём этом становится непросто.

Мы собрали 6 распространённых нарушений на сайтах, которые могут привести к штрафам или претензиям регуляторов. Проверьте, нет ли их в вашем проекте.

1. Не уведомили Роскомнадзор об обработке персональных данных

Оператором персональных данных является организация или ИП, владеющие сайтом и определяющие цели обработки персональных данных пользователей.

Согласно ст. 22 Федерального закона № 152-ФЗ оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных до начала такой обработки.

Если на вашем сайте есть:

• форма обратной связи;
• заявка на услугу;
• заказ звонка;
• форма отправки резюме;
• подписка на рассылку;

стоит убедиться, что компания выполнила обязанность по уведомлению Роскомнадзора.

2. Форма на сайте собирает данные без отдельного согласия

Типовые нарушения:

• нет чекбокса согласия;
• чекбокс отмечен заранее;
• нет ссылки на политику обработки персональных данных;
• согласие невозможно подтвердить.

Согласно ст. 9 Федерального закона № 152-ФЗ согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

Ссылка на аудит тут.

3. Политика обработки персональных данных не соответствует тому, как работает сайт

Если сайт собирает персональные данные пользователей, оператор обязан опубликовать документ, определяющий политику в отношении обработки персональных данных (ст. 18.1 Федерального закона № 152-ФЗ).

Многие компании уже разместили политику обработки персональных данных на своих сайтах, однако проблема чаще связана не с её отсутствием, а с тем, что документ не обновляется и перестаёт соответствовать фактическим процессам обработки данных.

Типовые нарушения:

• политика была скачана из интернета и не адаптирована под компанию;
• на сайте используются CRM, аналитика, онлайн-чаты или сервисы рассылок, которые не отражены в политике;
• указанные в документе цели обработки данных не соответствуют фактическим процессам;
• отсутствие фиксации версий документа и даты его обновления.

4. Персональные данные передаются за границу без соблюдения требований закона

Многие компании уверены, что соблюдают требования о локализации персональных данных, потому что сайт размещён на российском хостинге. Однако этого недостаточно.

После отправки формы данные пользователя могут передаваться в CRM, сервис рассылок, систему аналитики, онлайн-чат или другие сторонние сервисы, часть из которых может находиться за пределами РФ.

Согласно Федеральному закону № 152-ФЗ оператор обязан соблюдать требования к локализации и трансграничной передаче персональных данных.

Нарушения в этой сфере относятся к числу наиболее чувствительных для бизнеса и требуют отдельной проверки.

5. Используются cookie без уведомления пользователя

Cookie используются практически на любом современном сайте. Они помогают сохранять настройки пользователей, обеспечивают работу систем аналитики, онлайн-чатов, коллтрекинга и других сервисов.

В российском законодательстве отсутствует отдельное требование о формате cookie-баннера, однако необходимо обеспечивать информирование пользователя и возможность управления согласием.

В разъяснениях Роскомнадзора отмечается, что файлы cookie могут рассматриваться как персональные данные, если позволяют прямо или косвенно идентифицировать пользователя или используются для формирования поведенческого профиля.

6. Используются иностранные сервисы авторизации пользователей

Один из наиболее обсуждаемых рисков для владельцев сайтов связан со способами входа и регистрации пользователей.

Использование зарубежных сервисов авторизации (Google, Apple ID, Microsoft и др.) попадает под требования законодательства, регулирующего порядок идентификации и аутентификации пользователей на информационных ресурсах. Риски зависят от архитектуры реализации и используемых сценариев входа.

Размер возможных штрафов:

• до 700 000 рублей для юридических лиц;
• до 1,4 млн рублей при повторном нарушении.

Вместо заключения

Если вы не уверены, соответствует ли ваш сайт требованиям законодательства, напишите нам через форму обратной связи.

🎯 Отправим на почту бесплатный чек-лист для самостоятельной проверки (включает основные требования по 152-ФЗ, cookie, работе с формами и пр.)

Его можно сохранить на рабочем компьютере, использовать при внутреннем аудите или передать коллегам для проверки сайта.

Если нужен комплексный аудит или другая помощь с проектом, будем рады пообщаться на Стратегическом интервью.

Успехов в делах!

Роман Федосов, основатель и генеральный директор веб-интегратора «Компот»