До 2025 года проверка сайта на соответствие требованиям РКН была скорее реакцией на жалобу. Сейчас механизм другой: ИИ-сканер обходит сайты круглосуточно без уведомлений. Нарушение фиксируется в момент обхода – задолго до того, как кто-то успеет пожаловаться.
Ценовой вопрос теперь стоит иначе. Одна утечка данных обходится юридическому лицу до 15 млн рублей; если нарушение повторилось – счет идет на 3% годовой выручки. Для аккредитованных ИТ-компаний разрыв еще больше: сайт не соответствует Приказу Минцифры № 511 – льготный налог на прибыль 0–3% возвращается к стандартным 20%.
Три изменения, которые изменили правила игры
Ручных проверок больше нет. С 30 мая 2025 года работает автосканер РКН, который без предупреждений обходит формы, JavaScript-скрипты (счетчики, чат-боты), баннеры cookie, реквизиты и политику конфиденциальности – все сопоставляется с требованиями ГОСТ Р 52872-2019. Операторы персональных данных из реестра попадают под проверку каждый месяц, остальные – раз в квартал.
Где стоит сервер – теперь юридический вопрос. С 1 июля 2025 года данные граждан РФ можно держать только на оборудовании, физически размещенном в России. Страна регистрации провайдера значения не имеет: российское юрлицо у зарубежного хостера нарушение не снимает. Выход один – если у зарубежного провайдера есть собственный дата-центр на территории РФ.
Доступность в основном дизайне. С 1 марта 2026 года вступают в силу требования ГОСТ Р 52872-2019. Отдельная кнопка с контрастным режимом перестает засчитываться: инструменты доступности обязаны работать в основном интерфейсе, а не в отдельном режиме.
Перед тем как погружаться в детали, можно пройтись по чеклисту из 30 пунктов – там каждый раздел разобран по шагам со ссылками на нормативную базу.
Четыре точки риска: персональные данные
Здесь штрафы самые серьезные: ст. 13.11 КоАП РФ предусматривает от 300 000 до 700 000 рублей, а доказанная утечка данных тянет уже на 15 млн.
Политика обработки персональных данных (ФЗ-152)
Структура документа закреплена: шесть обязательных разделов – цели и основания обработки (согласие, договор или закон), перечень категорий данных, сроки их хранения, права пользователей и контакты для обращений. Скачать готовый шаблон и подставить реквизиты – значит создать проблему: РКН проверяет конкретные формулировки и даты. Чужой телефон в документе – и жалоба клиента уйдет не туда.
Согласие на обработку персональных данных
Форма согласия должна соответствовать пяти требованиям. Чекбокс – только пустой: атрибут checked в HTML фиксируется системой РКН автоматически. Формулировка цели должна быть конкретной – «согласен с политикой» не засчитывается. Правильный вариант: «Даю согласие на обработку персональных данных с целью получения рассылки». Дополнительно: согласие добровольное, предусмотрен отзыв, в тексте есть ссылка на политику конфиденциальности.
Уведомление в Роскомнадзор
Как только на сайте появляется поле для ввода ФИО, email, телефона или адреса – возникает обязанность зарегистрироваться оператором на pd.rkn.gov.ru. За отсутствие регистрации: от 150 000 до 300 000 рублей штрафа. Менее очевидный момент: счетчики Яндекс Метрики и Google Analytics фиксируют IP-адреса, которые закон относит к персональным данным. Даже сайт-визитка без единой формы, но с аналитикой – уже оператор.
Уведомление об использовании cookie
С марта 2025 года отсутствие cookie-баннера с кнопкой отказа – нарушение. Минимум по российскому законодательству: кнопки «Принять все» и «Настройки», возможность отдельно отключить маркетинговые и аналитические трекеры, прямая ссылка на политику конфиденциальности в самом баннере. Требования мягче европейского GDPR, но одно правило работает одинаково: пользователь отказался – его данные нельзя передавать рекламным системам.
Юридическая идентификация: реквизиты в футере
Ст. 14.5 КоАП – одно из самых простых требований, но нарушается стабильно. Пять обязательных позиций в футере: полное наименование, организационно-правовая форма, ОГРН или ОГРНИП, ИНН и юридический адрес.
Каждая отсутствующая позиция – штраф от 20 000 до 30 000 рублей для юридических лиц, от 10 000 до 20 000 рублей для должностных. Правило действует для любого онлайн-присутствия компании: корпоративный сайт, лендинг, одностраничник.
Технические требования: хостинг, SSL и доступность
Российский хостинг
С июля 2025 года данные пользователей нельзя хранить на серверах за пределами России – это касается хостинга, CDN и облачных сервисов без российской инфраструктуры. Инспектор смотрит на физическое расположение оборудования, а не на юрисдикцию провайдера. Нарушение: юридическое лицо – от 1 до 3 млн рублей, должностное – от 3 000 до 5 000 рублей.
SSL-сертификат
Работа по HTTP для сайтов с формами – нарушение. Обязательные параметры: протокол TLS 1.2 и выше, действующий сертификат без предупреждений браузера, автоматический редирект с HTTP на HTTPS.
Доступность (ГОСТ Р 52872-2019)
С марта 2026 года базовый стандарт для всех сайтов – ГОСТ Р 52872-2019 в полном объеме: alt-атрибуты у изображений, контраст текста минимум 4.5:1, навигация с клавиатуры, поддержка скринридеров, масштабирование до 200% без горизонтального скролла.
Для аккредитованных ИТ-компаний: Приказ Минцифры № 511
Приказ Минцифры № 511 вступил в силу 21 ноября 2025 года. Аккредитованные ИТ-компании обязаны разместить на сайте: коды ОКВЭД из реестра Минцифры, описание продуктов на русском языке, конкретные тарифы – варианты «по запросу» и «договорная» не соответствуют требованиям, – данные о круглосуточной поддержке и сведения об аккредитации.
Механизма автоматического исключения из реестра пока нет – но плановая проверка аккредитации включает анализ сайта. Инспектор может запросить скриншот, и несоответствие требованиям становится основанием отказать в продлении. Без аккредитации: налог на прибыль – стандартные 20% вместо 0–3%, страховые взносы – 30% вместо 7,6%.
Штрафы: сколько стоит ошибка
Что делать, если уже пришло предупреждение от РКН
Утечка – это не то, о чем можно промолчать. Ч. 3 ст. 13.11 КоАП обязывает оператора уведомить РКН в течение суток. Если инцидент задокументирован в логах или поступили жалобы пользователей, а оператор молчит – это самостоятельный состав правонарушения с максимальным штрафом.
Последовательность шагов: зафиксировать инцидент, отправить уведомление в РКН, оповестить пострадавших, запустить внутреннее расследование и закрыть причину нарушения.
Итог
Проверки стали автоматическими, штрафы – существенными. Большинство нарушений устраняются за один рабочий день: добавить реквизиты в футер, настроить чекбокс согласия, обновить политику конфиденциальности. Сложнее с хостингом и доступностью – их лучше заложить в план на ближайший квартал.