Юридическая безопасность сайта: ФЗ-152 о персональных данных, Cookie и согласия на рекламу — как не попасть на штраф

В 2026 году вести бизнес онлайн и игнорировать закон о персональных данных стало невозможно. Роскомнадзор перешел на автоматизированный мониторинг сайтов с использованием искусственного интеллекта, который сканирует ресурсы 24/7 без предупреждения владельцев . Штрафы за нарушения выросли до миллионов рублей, а поводом для проверки может стать даже анонимная жалоба конкурента . При этом формальное наличие документов больше не спасает — регулятор проверяет не только тексты, но и код сайта, скрытые скрипты и реальные бизнес-процессы .

Эта статья — актуальный чек-лист на 2026 год, который поможет привести сайт в соответствие с требованиями ФЗ-152, закона «О рекламе» и новых правил работы с cookie-файлами.

---

1. Уведомление Роскомнадзора: с чего всё начинается

Любой, кто собирает персональные данные через сайт (имя, телефон, email), является оператором персональных данных и обязан до начала обработки подать уведомление в Роскомнадзор . Это касается даже ИП и самозанятых с простой формой обратной связи .

Что изменилось в 2025–2026 годах:

• Штраф за отсутствие уведомления вырос до 300 000 рублей 
• Уведомление нужно подавать до начала сбора данных, а не после 
• При изменении реквизитов или целей обработки необходимо направлять уточненное уведомление 

Как подать: через портал Роскомнадзора с подтвержденной учетной записью Госуслуг. После обработки компания появляется в открытом реестре операторов .

---

2. Политика обработки персональных данных: базовый документ

Это основной документ, который должен быть в открытом доступе на сайте, со ссылкой в подвале на каждой странице . Отсутствие политики или недоступность ссылки — самостоятельное нарушение, за которое Роскомнадзор может назначить внеплановую проверку и штраф .

Требования 2026 года:

• Актуальная редакция, соответствующая реальным бизнес-процессам 
• Полный перечень обрабатываемых данных (включая cookies, IP-адреса) 
• Четко прописанные цели обработки 
• Контактные данные оператора и информация об ответственном за обработку 
• Сроки обработки и хранения, порядок уничтожения данных 
• Информация о передаче данных третьим лицам 

Штраф: отсутствие политики или недоступность ссылки — до 60 000 рублей на организацию .

---

3. Согласие на обработку персональных данных: техническая реализация

Мало иметь текст согласия — важна правильная техническая реализация. Роскомнадзор проверяет, как именно пользователь дает согласие .

Ключевые требования:

• Отдельный чекбокс с обязательной активацией (нельзя использовать предустановленные галочки) 
• Понятная формулировка без скрытых смыслов 
• Недопустимо приравнивать нажатие кнопки отправки формы к согласию 
• Согласие должно быть конкретным и информированным 

Отдельное согласие на рекламу. Для рекламных рассылок по каналам связи (email, SMS, мессенджеры) требуется отдельное предварительное согласие в соответствии со ст. 18 ФЗ-38 «О рекламе» . Нельзя прятать его внутри общего согласия или договора — это признается ненадлежащим .

Как доказать факт получения согласия. Роскомнадзор при проверке запрашивает :

• описание бизнес-процесса
• скриншоты формы с текстом и чекбоксом
• логи событий (дата/время, IP, user-agent, идентификатор пользователя)
• запись в базе данных о получении согласия с указанием версии текста

Если таких доказательств нет, считается, что согласия не было .

Штрафы: обработка без согласия — до 1,5 млн рублей на организации ; отсутствие отдельного согласия на рекламу — по ст. 14.3 КоАП.

---

4. Cookies: новые требования 2026 года

Файлы cookie окончательно признаны персональными данными. Роскомнадзор фиксирует отсутствие cookie-уведомлений как нарушение закона, особенно при наличии интеграций с Яндекс.Метрикой, Google Analytics и другими счетчиками .

Обязательные элементы cookie-информирования:

• Всплывающее уведомление при первом входе на сайт 
• Ссылка на Политику обработки cookie (или раздел в общей политике) 
• Описание всех типов используемых файлов: функциональные, аналитические, маркетинговые 
• Возможность отказаться от определенных категорий cookie (не только «принять все») 

Мировые стандарты (актуально при работе с зарубежной аудиторией):

• Под GDPR согласие должно быть получено до установки необязательных cookie 
• Запрещены предустановленные галочки и манипулятивные интерфейсы (dark patterns) 
• Кнопка отказа должна быть не сложнее кнопки согласия 
• Необходимо вести логи согласий с указанием временных меток 
• В ЕС регуляторы усилили контроль за синхронизацией согласий между устройствами 

---

5. Локализация данных и трансграничная передача

С 1 июля 2025 года первичная обработка данных российских пользователей должна проходить исключительно на серверах, физически размещенных в России .

Что это значит на практике:

• Хостинг сайта — только на российских серверах 
• Запрет на хранение ПДн в зарубежных облаках (Google Drive, Dropbox, Notion и т.д.) 
• Использование зарубежных CRM, скриптов, пикселей требует либо замены на российские аналоги, либо отдельного уведомления о трансграничной передаче 

Трансграничная передача. Если использование зарубежного решения жизненно необходимо, нужно :

1. Подать уведомление о трансграничной передаче в Роскомнадзор
2. Убедиться, что страна получателя входит в список «безопасных» (ЕАЭС, БРИКС) 

Штрафы за нарушение правил трансграничной передачи :

• первичное — до 6 млн рублей
• повторное — до 18 млн рублей

---

6. Юридическая информация на сайте

В подвале сайта или в политике/пользовательском соглашении должны быть размещены :

• полное наименование владельца сайта (юрлица или ИП)
• адрес места нахождения
• контактные данные

Размещение недостоверных сведений может привести к ответственности по статье 14.4 КоАП (нарушение законодательства о рекламе), а также к гражданско-правовой ответственности .

---

7. Ответственность и штрафы: что изменилось

Федеральный закон № 420-ФЗ от 30.11.2024 существенно повысил штрафы за нарушения в сфере персональных данных .

Основные составы и суммы

Нарушение	Штраф для юрлиц
Отсутствие уведомления РКН	до 300 000 ₽
Отсутствие политики ПДн	до 60 000 ₽
Обработка без согласия	до 1,5 млн ₽
Неуведомление об утечке (24 часа)	1–3 млн ₽

Штрафы за утечки данных 

Масштаб утечки	Штраф для юрлиц
1 000–10 000 субъектов	3–5 млн ₽
10 000–100 000 субъектов	5–10 млн ₽
более 100 000 субъектов	10–15 млн ₽
Повторная утечка	1–3% годовой выручки (20–500 млн ₽)

Утечки спецкатегорий и биометрии

Тип данных	Штраф для юрлиц
Спецкатегории (здоровье и др.)	10–15 млн ₽
Биометрия	15–20 млн ₽
Повторно (спецкатегории/биометрия)	1–3% выручки (от 25 млн ₽)

Важно: ИП несут ответственность как юридические лица .

---

8. Как проходит проверка Роскомнадзора в 2026 году

Автоматизированный мониторинг

Роскомнадзор использует ИИ для круглосуточного сканирования сайтов . Проверяется:

• наличие документов
• код сайта и скрытые скрипты
• cookie-уведомления
• формы сбора данных

Основания для проверки

• плановые проверки (редко, с учетом мораториев)
• жалобы пользователей
• жалобы конкурентов (новый инструмент давления — РКН обязан реагировать даже на анонимные письма) 

Что проверяют при выездной проверке

• логи доступа к системам
• журналы реагирования на инциденты
• внутренние расследования утечек
• доказательства своевременного уведомления регулятора 

---

9. Чек-лист: готов ли ваш сайт к 2026 году

Документы

• Подано уведомление в Роскомнадзор (реестр операторов)
• Разработана актуальная Политика обработки ПДн
• Политика размещена на сайте со ссылкой в подвале
• Настроено отдельное согласие на рекламные рассылки

Техническая реализация

• Во всех формах — отдельный чекбокс согласия
• Настроено cookie-уведомление с возможностью отказа
• Ведутся логи согласий (дата, IP, версия текста)
• Хостинг на российских серверах
• Зарубежные сервисы заменены на аналоги или оформлена трансграничная передача

Процессы

• Назначен ответственный за обработку ПДн
• Утвержден порядок реагирования на утечки
• Проведен аудит всех интеграций и скриптов

---

10. Что делать прямо сейчас

1. Провести аудит сайта — юридический и технический. Нарушения могут быть скрыты в интеграциях и DOM-структуре .
2. Зарегистрироваться в Роскомнадзоре — если еще не подали уведомление.
3. Обновить Политику ПДн и настроить cookie-уведомление — с учетом новых требований.
4. Проверить хостинг — он должен быть в России.
5. Устранить трансграничные риски — заменить зарубежные скрипты или подать уведомление.
6. Подготовить сценарий реагирования на утечку — кто, когда и как уведомляет РКН (24 часа на первичное уведомление, 72 часа на отчет) .

---

Главный вывод 2026 года: Роскомнадзор перешел от формальных проверок к автоматизированному мониторингу, а штрафы стали сопоставимы с годовым оборотом среднего бизнеса. Игнорирование требований ФЗ-152 и закона «О рекламе» — больше не риск, а прямая угроза существованию компании. При этом жалобы конкурентов стали эффективным инструментом давления, поэтому любая недоработка может стать поводом для внеплановой проверки .

Проверьте свой сайт прямо сейчас по чек-листу выше. Если хотя бы один пункт вызывает сомнение — пора проводить аудит. В 2026 году это не расход, а инвестиция в безопасность бизнеса.

Полезные ссылки:

Канал в телеграмм — https://t.me/+-BsUnghNcJ81OGYy

Наш канал на Youtube — https://youtube.com/@traff058

Telegram Паблик — https://t.me/+R2NG4GVGqS4yOTky

Паблик в VK — https://vk.com/traff_agency

Инстаграм TRAFF — https://www.instagram.com/traff_agency

Блог на vc.ru — https://vc.ru/u/2452449-studiya-razrabotki-saitov-traff

Сервисы, которыми пользуемся мы: хостинг Beget — https://beget.com/p1898855