Началось: РКН запустил автоматический бот по сайтам — проверки ужесточили, предпринимателям массово шлют предписания

Осенью 2025 года заработал новый закон о персданных. Ввели новые требования и штрафы, достигающие 15 000 000 рублей.

И если в ноябре того года «письма счастья» были единичными, то теперь РКН запустил автоматический бот и проверки стали массовыми. Давайте посмотрим, на что теперь обращает внимание РКН и как не попасть на новые штрафы.

Сначала кратко напомню детали изменений в законах, а потом разберем детали на примере реальных предписаний — как проверить себя и свою компанию, чтобы не влететь.

Изменения в законах по части персданных коснулись практически всех

Узнаете в этих вопросах себя?

— Есть форма обратной связи на сайте?
— Собираете заявки через соцсети?
— Ведете базу клиентов в CRM?
— Работаете с юрлицами (записываете ФИО контактных лиц)?
— Используете Google Analytics или Яндекс.Метрику?
— У вас есть сотрудники?
— Вы заключаете договоры с клиентами и храните их данные?

Если хотя бы на один из этих вопросов вы отвечаете «да» — значит эта история с персданными касается и вас.

По сути, новые правила по персданным затронули всех предпринимателей и компании.

За что теперь штрафуют: конкретные суммы

Персональные данные — это любая информация, по которой можно определить человека. ФИО, телефон, email. Если их обработка идет неправильно, этого уже достаточно для штрафа (ст. 13.11 КоАП РФ).

100-300 тысяч рублей — за неуведомление Роскомнадзора о начале обработки. Да, нам нужно официально уведомлять РКН, что наш сайт собирает контакты.

100-300 тысяч рублей — за сбор данных без согласия пользователя или за избыточный сбор.
Например, на сайте нет правильной галочки для выражения согласия на обработку персданных, или документы по персданным составлены неверно.

1 000 000 — 15 000 000 рублей — за утечку персональных данных. Сумма зависит от масштаба утечки.

Что изменилось: как теперь работают проверки РКН

В конце прошлого года РКН выборочно проверял отдельные сайты. Вглубь документов особо не копали.

В основном проверяли три вещи:

1. есть ли уведомление в реестре

2. есть ли на сайте нужные галочки-согласия

3. есть ли на сайте вообще документы по персданным

Теперь глубина проверок изменилась. Вот как РКН проверяет предпринимателей и компании сейчас.

1. Проверку сайтов по тем же пунктам теперь перебором проводит автоматический бот. Если он находит хотя бы одно несоответствие, дело передается сотруднику регионального РКН.

2. Сотрудник РКН вручную перепроверяет уведомление. Теперь проверяют не просто «есть или нет», а его содержание и реальное соответствие сайту — категории данных, субъекты, сроки, и так далее.

3. Вычитывают документы по персданным, сопоставляют их с уведомлением и фактической работой сайта, в том числе и работу яндекс и гугл-метрик.

4. Проверяют формы обратной связи — вплоть до того, как ставятся отдельные галочки на каждый документ и можно ли отправить заявку, не поставив какую-то из них (ох сколько всего мы насмотрелись в предписаниях).

5. Если сотрудник РКН находит нарушения в уведомлении, в документах или на сайте, то он фиксирует факт нарушения и отправляет предпринимателю соответствующее требование.

Проверяем себя и свои сайты: какие нарушения чаще всего фиксирует Роскомнадзор

Давайте на примере реальных предписаний покажу, на что чаще всего обращает внимание Роскомнадзор и как их устранить, чтобы не попасть на штрафы.

Чтобы этот материал был полным и еще более полезным, покажу и новые аспекты, и то, что разбирали в прошлой статье на Хабре, если вдруг кто не видел.

На сайте нет «галочки» для того, чтобы пользователь подтвердил согласие на обработку персданных

По закону предприниматель должен ознакомить посетителя сайта с политикой по персданным и получить согласие.

Чаще всего на сайтах делают так, три варианта:

— под кнопкой «оставить заявку» просто ставят ссылки на документы, без галочек

— ставят ссылки и предустановленную галочку «ознакомлен», которая по умолчанию уже стоит

— ставят ссылки и галочку «ознакомлен», но чтобы заявка отправилась, на галочку нужно кликнуть

Первые два варианта «просто ссылки» и даже «предустановленная галочка» Роскомнадзор не устраивают.

Проверяющие считают единственно правильным вариантом вот такой: у каждого документа есть отдельная галочка, и если не поставить хотя бы одну из них, заявка не отправляется.

Вот как это выглядит не просто в теории и законах, а в требовании Роскомнадзора:

Если на сайте стоит Яндекс.Метрика, то нужно уведомлять посетителей о ее использовании и получать на это согласие

Если на сайте есть Яндекс-метрика, а в документах по персданным не прописан порядок ее использования, Роскомнадзор считает это нарушением.

В предписании про это пишут так:

Чтобы устранить нарушение, в документах нужно детально описывать, что именно собирает метрика и как используются эти данные.

Гугл-аналитику считают «трансграничной передачей персданных» (в недружественную страну, да)

В прошлой статье я предупреждал, что Гугл-аналитику лучше или прописывать в документах, или вовсе отключить. Опасения подтвердились.

Вот что говорит про гугл-аналитику РКН:

Как видите, проверяют теперь не просто «есть гугл-аналитика или нет», но и еще соотносят ее с содержанием уведомления, которое предприниматель отправлял в РКН.

Роскомнадзор проверяет содержание политики обработки персданных

Условия в политике по персданным не должны идти вразрез с тем, что написано в текущей редакции наших законов.

Так, например, проверяют сроки обработки, несколько примеров из разных предписаний:

Роскомнадзор проверяет фотографии сотрудников

Кто бы мог подумать, но факт: почти во всех предписаниях оказывается, что РКН проверяет наличие согласий по персданным от сотрудников.

Если на сайте нет подтверждения наличия согласия и запрета посторонним использовать эти данные, РКН считает это нарушением. Это касается любых страниц, где есть имена и фотографии сотрудников.

Вот как это выглядит в уведомлениях, несколько примеров:

Роскомнадзор проверяет, уведомлял ли предприниматель об обработке персданных, и теперь вычитывает содержание уведомления

У Роскомнадзора есть специальный Реестр операторов, осуществляющих обработку персданных.

По сути, сейчас каждый предприниматель должен уведомить Роскомнадзор об обработке этих самых данных. В противном случае — штраф от 100 до 300 тысяч рублей.

Как показывает практика, Роскомнадзор действительно проверяет, подавал ли предприниматель такое уведомление или нет:

И если в прошлом году проверяли только факт наличия уведомления, то теперь вычитывают его содержание и сопоставляют с нашими сайтами и документами.

Чаще всего нарушения находят у тех, кто подавал уведомление давно и не вносил в него изменений по новым законам.

Так же под предписание попадают те, кто подавал какие-то базовые шаблонные уведомления, не вчитываясь в детали. Теперь «вчиткой» занимается РКН.

Чем может обернуться такое требование

На исполнение всех требований Роскомнадзор дает всего 10 рабочих дней.

За это время нужно успеть:

1. получить уведомление (считайте 2-3 дня, в зависимости от того, как работает отделение почты по вашему адресу)

2. подготовить задание для разработчиков — тут нужно перевести требования РКН с юридического на человеческий и объяснить разработчикам, что конкретно нужно изменить на сайте

3. подготовить скорректированные документы по персданным

4. внести изменения на сайт

5. подготовить обновленное уведомление для Реестра РКН и отправить его

6. подготовить ответ на требование РКН и отправить его до истечения десяти дней с даты его

Несвоевременное исправление — само по себе нарушение, штраф до 90 тысяч рублей по п.5. ст 13.11 КоАП РФ.

При этом далеко не факт, что даже выполнив требования Роскомнадзора предприниматель не получит штрафов за выявленные нарушения.

Ведь факт нарушения выявлен и он уже состоялся. Нельзя исключать вероятность того, что за первым требованием придет второе.

Поэтому имеет смысл проверить себя заранее, чтобы не получать такие требования вовсе.

Что именно проверять, чеклист: 5 обязательных элементов

1. Политика обработки персональных данных

Документ должен содержать:

• общие цели;

• цели сбора персональных данных;

• правовые основания обработки персональных данных

• объем и категории обрабатываемых данных, категории субъектов персональных данных;

• порядок и условия обработки персональных данных;

• актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным.

2. Согласие на обработку персональных данных

Отдельный документ. Это письменное подтверждение, что человек готов передать свои данные.

3. Правильные чекбоксы под всеми формами

Раньше все ставили «Отправляя заявку, вы соглашаетесь…». Теперь так нельзя.

Как должно быть:

• Отдельная галочка под каждой формой

• Галочка НЕ проставлена по умолчанию

• Без галочки форму отправить невозможно

• В тексте ссылки на политику и согласие

4. Уведомление об использовании cookies и Яндекс Метрики

Всплывающее окно о том, что сайт использует куки и Яндекс Метрику для аналитики и улучшения работы.

5. Уведомление в РКН

Это документ, которым мы сообщаем в РКН, что именно и как обрабатываем. В дальнейшем РКН будет сопоставлять его с нашим сайтом и документами на сайте.

Если пост полезный-интересный — поставьте посту свой королевский лайк-вверх. Буду тогда писать еще о всяких полезных вещах по моей теме.

Как проверить свой сайт и узнать уже сейчас, есть ли какие-то нарушения или нет

Если нужно проверить ваш сайт по новым требованиям РКН — мы с моими коллегами-юристами проводим такие предварительные проверки бесплатно.

Чтобы получить результаты проверки, оставьте заявку мне в Яндекс-форме:

https://forms.yandex.ru/cloud/69f1d67cd0468812956f186c

Там простая форма на три поля — ссылка на сам сайт, контакт для связи по итогам проверки и ваши вопросы, если есть.

Посмотрим, проверим, расскажем, что нашли. Если найдем риски — предложим решение.

Пока форма работает — значит можно записаться. 10-15 сайтов мы точно сможем так проверить, а дальше посмотрим. Как дойдем до наших лимитов — закроем форму или запишем в очередь.

Заодно проверяем сайты по части иностранных слов и товарных знаков — за товарные знаки с этого года тоже компенсации повысили, там где было 5 миллионов рублей, теперь планка в 10 миллионов.

На все общие вопросы отвечаю в комментариях.

Если надо спросить что-то частное для себя или своей компании, например, ваше название или лого посмотреть-проверить по настоящим базам, разобраться с регистрацией товарного знака, патентом или судом — пишите мне в личку в телеграме @bchlf

Если вам важна тема защиты бизнеса от штрафов и компенсаций — у меня есть небольшой телеграм-канал «Клуб правообладателей».

Там мои заметки для предпринимателей и авторов. Как грамотно пользоваться авторскими правами, товарными знаками и патентами — чтобы зарабатывать деньги и не терять их на компенсациях и штрафах. Рекламы нет, канал маленький, зато уютный — заходите, если интересно.

В канале недавно выложил роскошный гайд по новому закону о запрете иностранных слов. Как не попасть на те самые штрафы в 500 000 рублей, подводные камни и важные нюансы.

________________________________

И вот несколько моих прошлых хабр-разборов в тему:

Регистрация товарного знака в 2026 году: подводные камни, реальные цифры, практическая польза. Главные изменения

Это решение суда поразило всех: иск на 766 000 000 рублей за надпись «Я люблю свою семью»

15 миллионов рублей за нарушение прав на дизайн: как американская компания против нашей судилась

«Весь в отца»: они «запатентовали» надпись на одежде и потребовали с нас 1 000 000 рублей, угрожая судом и полицией

Сначала они требовали с нас 200 000 рублей, потом 5 000 000, а на суде смеялись нам в лицо