Сайт и закон — 2026: что обязан владелец сайта в России

TURBION · июнь 2026 · ~8 минут чтения

Если на вашем сайте есть форма заявки, обратная связь, корзина, онлайн-чат или просто счётчик аналитики — по закону вы оператор персональных данных. Размер бизнеса значения не имеет. Разбираем, что государство требует от владельцев сайтов прямо сейчас, что изменится до конца 2026 года и во сколько обходится бездействие.

Почему это перестало быть теорией. С 2025 года Роскомнадзор сканирует сайты автоматически — претензия приходит без жалоб пользователей. Скидку 50% за быструю оплату штрафов по «персональным» статьям отменили. 2026-й эксперты называют годом массовых проверок.

Кто такой оператор персональных данных

Персональные данные — любая информация, по которой можно идентифицировать человека: имя, телефон, e-mail, адрес, IP-адрес, cookie-идентификатор, фотография. Одного e-mail, оставленного клиентом в форме, достаточно, чтобы 152-ФЗ «О персональных данных» распространялся на вас в полном объёме — будь вы ООО, ИП, самозанятый или физлицо с сайтом-визиткой. Требования одинаковы для всех, различаются только размеры штрафов.

Пять обязательных элементов любого сайта

Политика обработки персональных данных — отдельная страница (не PDF на скачивание), ссылка в подвале каждой страницы. Внутри: реквизиты оператора, цели и состав данных, сроки хранения, права пользователя, сведения о cookies и третьих лицах — CRM, рассылках, хостинге.
Согласие на обработку данных — с 1 сентября 2025 года только отдельным документом. Его нельзя «вшивать» в оферту или политику. Под каждой формой — чекбокс, не отмеченный по умолчанию.
Cookie-баннер — появляется до запуска счётчиков и пикселей, с равноправными кнопками «Принять» и «Отклонить». При отказе необязательные cookies не ставятся.
Реквизиты владельца — наименование или ФИО, ИНН, ОГРН/ОГРНИП, адрес, контакт для запросов по персональным данным.
Уведомление Роскомнадзора — подаётся до начала обработки данных через pd.rkn.gov.ru (бесплатно). Штраф за неподачу — до 300 тыс. ₽.

⚡

Не хотите разбираться во всём этом самостоятельно? Просканируем ваш сайт в автоматическом режиме по всем пунктам и пришлём отчёт: что в порядке, а что срочно надо исправить, чтобы не попасть на штрафы.

Заказать сканирование →

Иностранные сервисы — это трансграничная передача

Google Analytics, reCAPTCHA, Google Fonts с серверов Google, Mailchimp, иностранные виджеты — всё это передача данных за границу. До установки нужно подать в РКН отдельное уведомление о трансграничной передаче, выждать 10 рабочих дней, прописать сервис в политике и добавить отдельный чекбокс согласия.

Параллельно действует требование локализации: сбор и хранение данных россиян — только в РФ. Нарушение — 1–6 млн ₽, повторное — 6–18 млн ₽.

Практичное решение: Google Analytics → Яндекс Метрика, Mailchimp → Unisender или SendPulse, шрифты — локально на своём хостинге. Для большинства сайтов этого достаточно, чтобы снять вопрос трансграничной передачи целиком.

Утечки данных: правило 24 часов

О любой утечке нужно уведомить РКН в течение 24 часов, а в течение 72 часов — направить результаты расследования. За сокрытие — до 3 млн ₽, за саму утечку — 3–15 млн ₽, при повторной — 1–3% годовой выручки (до 500 млн ₽).

Реклама: маркировка и запретные площадки

Любая интернет-реклама на российскую аудиторию до публикации регистрируется у оператора рекламных данных (ОРД), получает токен erid и пометку «Реклама». Пока креатив в сети — ежемесячная отчётность в ЕРИР. Штрафы за отсутствие маркировки: ИП — 100–200 тыс. ₽, юрлица — 200–500 тыс. ₽ за каждый креатив.

С 1 сентября 2025 года запрещена реклама на ресурсах запрещённых организаций — прежде всего Instagram* и Facebook*. Под запретом таргет, интеграции и бартер.

Технические требования к ресурсу

Авторизация пользователей

Авторизация россиян — только через российский номер телефона, Госуслуги, биометрию или российский сервис (VK ID, Яндекс). Вход «через Google» как единственный способ — нарушение. Штраф — до 700 тыс. ₽.

Хостинг

Провайдер должен состоять в реестре РКН. С 1 марта 2026 года использование иностранных хостингов вне реестра официально отнесено к угрозам устойчивости Рунета.

Что вступит в силу до конца 2026 года

01.09.2026	Идентификация владельцев доменов через Госуслуги (закон 569-ФЗ). Продлить домен .ru, .рф, .su можно будет только с подтверждённой учётной записью ЕСИА. Непродлённый домен освобождается и может быть перехвачен.
2-я пол. 2026	Вступают в силу штрафы за нарушения с рекомендательными технологиями и зарубежной авторизацией.
Весь 2026	Массовые проверки операторов ПДн: РКН перешёл на риск-ориентированный автоматический мониторинг, первые штрафы по новым составам уже выписаны.

Действие на опережение: проверьте, на кого зарегистрированы ваши домены и есть ли у этих людей подтверждённые аккаунты на Госуслугах. Домены, оформленные на подрядчиков и бывших сотрудников, — главная зона риска к 1 сентября.

Сводная таблица штрафов

Нарушение	Физлицо	Должн. лицо	Юрлицо / ИП
Нет политики обработки ПДн	1,5–3 тыс.	6–12 тыс.	30–60 тыс.
Неподача уведомления в РКН	5–10 тыс.	30–50 тыс.	100–300 тыс.
Обработка без надлежащего согласия	10–15 тыс.	100–300 тыс.	300–700 тыс.
Хранение данных россиян за рубежом	30–50 тыс.	100–200 тыс.	1–6 млн
Несообщение об утечке	50–100 тыс.	400–800 тыс.	1–3 млн
Утечка данных (по масштабу)	100–400 тыс.	200–600 тыс.	3–15 млн
Повторная утечка	400–600 тыс.	0,8–1,2 млн	1–3% выручки
Реклама без маркировки erid	30–100 тыс.	100–200 тыс.	200–500 тыс.
Реклама на запрещённых площадках	2–2,5 тыс.	4–20 тыс.	100–500 тыс.
Рекомендат. технологии / зарубежная авторизация	10–20 тыс.	30–50 тыс.	500–700 тыс.

Ст. 13.11 и 14.3 КоАП РФ в редакции с 30.05.2025 и закон от 09.06.2026. Суммы в рублях.

Чек-лист для самопроверки

Пункты упорядочены по размеру штрафа и вероятности обнаружения. Красные — автоматически фиксируются РКН при сканировании.

1

Форма обратной связи: чекбокс согласия без предотметки, ссылка на отдельный документ согласия С 01.09.2025 согласие нельзя включать в оферту или политику. Отдельный документ — обязателен. Чекбокс пустым по умолчанию. Штраф — 300–700 тыс. ₽
2

Уведомление подано в Роскомнадзор, запись в реестре проверена и актуальна Подаётся до начала обработки данных на pd.rkn.gov.ru. Проверьте, что запись активна и цели обработки соответствуют тому, что реально происходит на сайте. Штраф — до 300 тыс. ₽
3

Cookie-баннер с равноправными «Принять» и «Отклонить» — счётчики не запускаются до согласия Кнопки одного размера, одного веса. При нажатии «Отклонить» — необязательные cookies не ставятся. Это проверяется автоматически.
4

Политика обработки ПДн — отдельная страница сайта, ссылка в подвале каждой страницы Не PDF на скачивание, не раздел внутри другой страницы. Ссылка должна быть кликабельной и видимой. Штраф — 30–60 тыс. ₽
5

Иностранные счётчики и шрифты заменены или оформлена трансграничная передача данных Google Analytics, Google Fonts с CDN, Mailchimp, иностранные чаты — передают данные за рубеж. Замена: Яндекс Метрика, локальные шрифты, российские рассылки. Штраф — 1–6 млн ₽
6

Данные хранятся в РФ, хостинг-провайдер есть в реестре РКН Проверить реестр: rkn.gov.ru. Если хостинг иностранный — либо перенос данных, либо оформление трансграничной передачи.
7

Реквизиты владельца и контакт для запросов по ПДн опубликованы на сайте ФИО или наименование, ИНН, ОГРН, адрес, e-mail для запросов об удалении данных. Для ООО и ИП — обязательно.
8

Домены оформлены на фактического владельца, аккаунт на Госуслугах подтверждён К 01.09.2026 продлить домен .ru/.рф/.su можно только с подтверждённой учётной записью ЕСИА. Домены на подрядчиках — зона риска.
9

Интернет-реклама маркируется (erid), ежемесячная отчётность в ЕРИР сдаётся Каждый рекламный креатив — регистрация у ОРД, токен erid, пометка «Реклама». Штраф — 200–500 тыс. ₽ за каждый немаркированный материал.
10

Платное промо в Instagram* и Facebook* — остановлено С 01.09.2025 реклама на ресурсах запрещённых организаций запрещена. Информационный аккаунт — можно, таргет и интеграции — нельзя.

🔒

Пункт 11 — Скрытые исходящие запросы к зарубежным серверам Проверяется только техническим анализом трафика. Визуально не видно.

Большинство сайтов в фоновом режиме передают данные посетителей на сторонние зарубежные серверы — через плагины, виджеты, встроенные скрипты, — и владелец об этом не знает. Именно здесь РКН фиксирует нарушения чаще всего: это не очевидно, но легко обнаруживается автоматическим сканированием.

Раскрыть в рамках техподдержки →

🔒

Пункт 12 — Соответствие текста политики и форм согласия реальной конфигурации сайта Типовые шаблоны не учитывают конкретные сервисы вашего сайта.

Политика конфиденциальности должна перечислять каждый сервис, которому вы передаёте данные: CRM, платёжную систему, виджет чата, форму рассылки. Если хотя бы один не упомянут — нарушение уже есть, даже если политика формально «есть». Проверить это можно только зная, что реально подключено к вашему сайту.

Раскрыть в рамках техподдержки →

Техническая поддержка сайта

Не хотите разбираться во всём этом самостоятельно?

В рамках технической поддержки мы проверяем сайт по полному закрытому чек-листу и вносим все необходимые исправления. Вы не занимаетесь этим вручную — мы берём на себя.

Аудит по 40+ параметрам, включая скрытые запросы и соответствие политики
Исправления в рамках тарифа — без отдельных счётов
Мониторинг изменений законодательства
Персональный менеджер и поддержка по e-mail

Подключить техподдержку →

Разовая услуга

Нужен только анализ — без обязательств?

Проведём AI-аудит вашего сайта по полному закрытому чек-листу и пришлём подробный отчёт. Что нарушено, что под угрозой и что исправить в первую очередь. Исправления можете вносить сами или поручить нам в рамках поддержки.

Аудит носит рекомендательный характер и не является юридическим заключением.

Заказать анализ →

Материал носит информационный характер и не является юридической консультацией. Актуально на июнь 2026 года; нормы и суммы штрафов могут изменяться. Источники: 152-ФЗ «О персональных данных», КоАП РФ (ст. 13.11, 14.3), 38-ФЗ «О рекламе», 149-ФЗ «Об информации», 569-ФЗ от 29.12.2025.

* Instagram и Facebook принадлежат Meta — организации, признанной экстремистской и запрещённой в РФ.