РКН проверяет сайты автоматически: что бизнесу нужно сделать на сайте, чтобы не получить штраф до 15 млн

В 2025 Роскомнадзор перешёл от выборочных ручных проверок к автоматическому сканированию сайтов. Бот ходит по всему рунету, проверяет десяток типовых нарушений и помечает кандидатов для ручной проверки инспектором. Параллельно — новый закон о персональных данных с штрафами от 100 тыс до 15 млн рублей. Через год после запуска модели — массовые предписания малому и среднему бизнесу. Ниже — что меняется на стороне сайта, чтобы не попасть под раздачу.

Кто реально в зоне риска

Простой тест — если хоть на один вопрос «да», вы оператор персональных данных:

• На сайте есть форма обратной связи, заявки, обратного звонка
• Лиды приходят из соцсетей или мессенджеров и фиксируются в любой системе
• У компании есть CRM с клиентской базой
• B2B-договоры содержат имена контактных лиц и хранятся в системе
• Установлены Яндекс.Метрика или Google Analytics (вне зависимости от целей сбора)
• На сайте есть страница «Команда», «О нас» или «Сотрудники» с именами и фото
• Заявки хранятся в почте или в Excel-файлах на компьютере

То есть — практически любой коммерческий сайт с минимальной воронкой. Раньше «оператор ПД» воспринимался как банки и крупные сервисы, теперь под действие закона попадает почти каждый сайт-визитка.

Как работает новая модель проверки

Раньше проверки были плановыми и предупредительными. Сейчас — пятиэтапный пайплайн:

1. Шаг 1. Автобот РКН обходит сайты массово, проверяет десять формальных признаков нарушений. Это формы без чекбокса, отсутствие политики, упоминание GA без оговорки, типовая безымянная политика и пр.
2. Шаг 2. Сайты-кандидаты передаются инспектору. Тот ручно сравнивает реальную работу сайта с записью в реестре РКН
3. Шаг 3. Проверяется соответствие текста политики реальным процессам — что собираете, как храните, кому передаёте, сколько храните
4. Шаг 4. Изучаются страницы форм — наличие правильно сконфигурированных чекбоксов, разделение согласий, обязательность галки для отправки
5. Шаг 5. Фиксируется нарушение, выписывается предписание. По закону у предпринимателя ~10 дней, чтобы исправить

На исправление прилетает пакет: переписать политику, добавить чекбоксы на формы, обновить запись в реестре, отправить ответ инспектору. Развёрнуто за полторы недели — нелегко, если у вас нет под рукой разработчика и юриста.

Чем оборачивается несоблюдение — конкретные суммы

• 100–300 тыс руб — не подали уведомление в реестр РКН о начале обработки ПД
• 100–300 тыс руб — собираете без согласия или собираете больше, чем нужно для заявленной цели
• 1–15 млн руб — утечка персональных данных, штраф вверх по серьёзности и количеству пострадавших
• 90 тыс руб — не выполнили предписание в срок (плюс к основному штрафу)

Ключевое: предписание выполнено — это не амнистия. Штраф могут выписать всё равно, особенно если нарушение носило систематический характер.

Что бот ловит чаще всего

Формы без правильного чекбокса согласия

Самое массовое нарушение. Кейсы из практики:

• Под формой просто текст со ссылкой «Нажимая отправить, вы принимаете политику» — это не согласие, а уведомление. Нужен явный чекбокс
• Чекбокс установлен по умолчанию (галка стоит при загрузке) — запрещено. Должен быть пустым, пользователь сам ставит
• Один чекбокс на «принимаю всё» — недостаточно. Политика конфиденциальности и согласие на обработку — это разные документы, каждому нужен свой чекбокс
• Форма отправляется без галки — кнопка submit должна блокироваться, пока чекбокс не отмечен

Яндекс.Метрика без явного уведомления

Метрика стала прямым триггером для бота. Что нужно:

• В тексте политики конфиденциальности — отдельный пункт с упоминанием Я.Метрики, её целей сбора, того, что трафик идёт в Я.Метрику
• Cookie-баннер с явным согласием на использование. Без этого баннера установка Метрики автоматически — нарушение
• Указание сервисов, на которые передаются данные (Webvisor, Карта кликов и т.д.)

Google Analytics — высокий риск

GA классифицирован как трансграничная передача в недружественную юрисдикцию. Это автоматически тяжёлая категория нарушений:

• Нужно уведомление в РКН о трансграничной передаче — это отдельная процедура с обязательным анализом рисков
• Согласие пользователя должно содержать явное упоминание передачи в США
• На практике многие просто демонтируют GA и переходят на Я.Метрику или альтернативы (Matomo, Plausible на своём сервере). Это дешевле, чем оформление трансграничной передачи

Шаблонная или устаревшая политика конфиденциальности

Бот сравнивает текст политики с базой типовых конструктов:

• Скопированная с другого сайта политика, без адаптации под вашу деятельность — флаг
• Политика, в которой указано имя другой компании — мгновенное предписание
• Политика без обновления под изменения 2025 года — выглядит как заброшенная
• Отсутствие указания целей, оснований, сроков хранения, способа удаления — каждый пробел = пункт нарушения

Фото сотрудников и «о нас»

Часто упускают. На странице команды каждое имя + фото — это публикация персональных данных сотрудника. Для каждого нужно письменное согласие на использование изображения в рекламных целях. РКН проверяет — особенно после жалоб уволенных сотрудников. Решение: либо собрать письменные согласия и хранить их, либо использовать обезличенные данные (роль без имени, абстрактные аватары).

Несоответствие реестра и реальности

В уведомлении в РКН указаны одни цели, а на сайте собирают другие. Указали «обработка заявок», а форма ещё спрашивает рост, вес и возраст — это уже сбор избыточных данных + расхождение с реестром. Два нарушения сразу.

Минимум, что нужно сделать на сайте

Это базовый чек-лист — он не покрывает все случаи (например, если у вас есть личный кабинет, рекомендательные алгоритмы или платежи — нужно глубже), но закрывает 80% типовых нарушений, которые ловит бот.

1. Политика конфиденциальности

• Уникальная, под вашу компанию, с актуальным именем юридического лица или ИП
• Цели обработки — конкретные («заключение договора», «рассылка маркетинговых материалов» и т.д.)
• Правовые основания — ст. 6 152-ФЗ, согласие или другая основа
• Категории субъектов — клиенты, потенциальные клиенты, сотрудники, поставщики
• Категории данных — ФИО, телефон, email, IP, cookie, поведенческие данные через Я.Метрику
• Сроки хранения — конкретные («3 года с момента последнего обращения», «до отзыва согласия»)
• Процедура отзыва согласия — как пользователь может удалить свои данные, по какому адресу писать
• Перечень третьих лиц, кому передаёте — Я.Метрика, CRM, хостинг-провайдер
• Дата последней редакции — обязательно

2. Отдельный документ — Согласие на обработку

• Не путать с политикой. Это два разных документа
• Содержит явное соглашение пользователя дать разрешение на конкретные действия с его данными
• Доступен по отдельной ссылке с любой формы

3. Чекбоксы на формах

• По умолчанию не отмечены
• Каждому документу — свой чекбокс (политика, согласие)
• Кнопка отправки заблокирована пока галки не поставлены
• Текст рядом с чекбоксом ссылается на оба документа
• На странице — нет скрытых форм, отправляющих данные без согласия

4. Cookie-баннер с явным согласием

• Появляется при первом визите
• Объясняет какие cookie используются и каким сервисам передаются (с упоминанием Я.Метрики, если она стоит)
• Кнопки «Принять» и «Отказаться» равноправны — нельзя делать одну заметно крупнее другой (это «темный паттерн», тоже под штраф)
• До нажатия пользователем — аналитика не должна запускаться. На практике: подгрузка Метрики через if-statement, который чекает согласие

5. Уведомление в реестре РКН

• Подача через личный кабинет РКН — pd.rkn.gov.ru
• Указать все цели обработки, категории данных, способы получения, сроки
• Если меняете формы на сайте — обновляйте запись в реестре, иначе будет расхождение

6. Защита данных в инфраструктуре

• HTTPS обязателен — http-сайты получают предписание автоматически
• Доступ к админ-панели только по сильному паролю (или ещё лучше с 2FA)
• Backup'ы данных — хранятся защищённо, не на публичном S3 без шифрования
• Логи не должны содержать персональных данных в открытом виде

7. Страница «Команда»

• Либо собрать письменные согласия на использование изображения и хранить их
• Либо использовать обезличенные карточки (имена без фото, или роли без имён, или иллюстративные аватары)

Альтернативные подходы для разной зрелости бизнеса

• Стартап / небольшая студия. Минимум — политика + согласие + чекбоксы + Я.Метрика с cookie-баннером + подача в реестр РКН. Можно сделать за неделю с юристом на консультации
• Средний бизнес с CRM. Плюс — отдельный документ «Политика обработки в CRM», ролевая модель доступа, шифрование БД, договор с CRM-провайдером с DPA
• Крупный e-commerce. Плюс — отдельный Data Protection Officer, регулярный аудит, отдельная процедура работы с инцидентами утечки, страхование рисков

Что мы делаем в студии

На сайтах клиентов в 2025-2026 поставили это стандартом: уникальная политика под их бизнес (не шаблон), чекбоксы на формах с двумя галками (политика + согласие), cookie-баннер с правильной механикой (Метрика грузится только после согласия), HTTPS, инструкция по подаче уведомления в РКН в виде чеклиста для клиента. Это не панацея, но закрывает 80% того, что ловит бот.

Если у вас сайт без формальной проработки этих пунктов — высока вероятность получить предписание в ближайшие 6-12 месяцев. Лучше сделать самому до того, как бот найдёт.

Саммари: что точно должно быть на сайте

Сводный чек-лист — печатается одним списком, проверяется за полчаса:

• ☐ HTTPS включён, http-варианты редиректят на https
• ☐ Политика конфиденциальности — отдельная страница, доступна с любой страницы сайта, дата последней редакции указана
• ☐ Политика — уникальная, под вашу организацию, не шаблон с другого сайта
• ☐ Согласие на обработку персональных данных — отдельный документ, отдельная ссылка
• ☐ На каждой форме с пользовательскими данными — два чекбокса: «принимаю политику» и «даю согласие на обработку», оба не отмечены по умолчанию
• ☐ Кнопка отправки формы заблокирована, пока не отмечены оба чекбокса
• ☐ Cookie-баннер появляется при первом визите, явно упоминает Я.Метрику и аналогичные сервисы
• ☐ Я.Метрика подключается через JavaScript условно — только после согласия пользователя
• ☐ Google Analytics удалён (или оформлена трансграничная передача, что сложно и дорого)
• ☐ Имена и фото сотрудников на странице «Команда» — либо есть письменные согласия от каждого, либо данные обезличены
• ☐ Уведомление в реестр РКН — подано через pd.rkn.gov.ru, актуально
• ☐ Содержимое политики, согласия и реестра — синхронизированы между собой и с реальностью сайта
• ☐ HTTPS-сертификат не просрочен, форма обратной связи реально работает (бот проверяет)
• ☐ Backup данных хранятся защищённо, доступ к админке — по сильному паролю и в идеале 2FA
• ☐ В footer или контактах — реквизиты организации (ИП, ОГРНИП или ИНН/КПП для ООО), это часть требований 152-ФЗ к идентификации оператора

Если хотя бы один пункт не закрыт — это потенциальное предписание. Бот РКН видит формальные нарушения за минуты, инспектор — за час. Альтернатива дороже: штраф плюс срочные правки в режиме «надо было вчера» обходятся в десятки раз больше, чем плановая работа над сайтом.