Любой публичный сайт в России — независимо от того, размещён он на собственном домене, на Taplink, Linktree или в Instagram-профиле — подпадает минимум под 5 федеральных законов и кодексов. Этот чек-лист собирает все 14 параметров в один документ: что нужно проверить, какой штраф грозит и какие шаги для устранения.

Ниже — структура по законам с ссылками на детальные разборы. В конце — готовый чек-лист действий и FAQ.

152-ФЗ «О персональных данных» — 5 пунктов

1. Регистрация в Роскомнадзоре

Любой сайт, который собирает имена, email, телефон или геолокацию посетителей, обязан подать уведомление об обработке ПД в РКН до начала обработки (152-ФЗ ст. 22). Подача через портал РКН, бесплатно. Штраф за необоснованную обработку без уведомления — до 75 000 ₽ для юрлиц по ст. 19.7 КоАП.

2. Политика обработки персональных данных

Документ должен быть размещён на сайте по постоянному URL (обычно /privacy или /policy) и содержать обязательные блоки: цели обработки, правовые основания (152-ФЗ ст. 6), категории данных и субъектов, срок хранения, контакты оператора. Подробнее — в чек-листе подготовки к проверке РКН.

3. Согласие на обработку у каждой формы

Каждая форма, собирающая ПД (имя/email/телефон), должна сопровождаться явным согласием — чек-боксом или текстом со ссылкой на политику. Pre-checked согласия запрещены. Согласие на обработку для исполнения договора и на маркетинговые рассылки — раздельные.

4. Cookie-баннер до загрузки трекеров

Если на сайте Я.Метрика, Google Analytics, ремаркетинг или пиксели соцсетей — баннер согласия обязан показываться до загрузки этих скриптов. Подробнее — в гайде по cookie-согласию.

5. Защита передачи и хранения

SSL-сертификат на всём сайте (особенно на формах), пароли клиентов в виде хеша, разграничение прав сотрудников, журналирование доступа к ПД. РКН смотрит конфигурацию, не только бумаги.

ЗОЗПП «Закон о защите прав потребителей» — 3 пункта

6. Контактные данные продавца

В подвале сайта или на странице «Контакты» обязательны: ИНН, ОГРН/ОГРНИП, юридический адрес, контактный email и телефон, режим работы. Без этого Роспотребнадзор может вынести предписание и штраф до 30 000 ₽ для юрлиц по ст. 14.5 КоАП.

7. Информация о товаре или услуге

На странице каждого товара/услуги: цена, состав, страна-производитель (для товаров), сроки оказания (для услуг), сертификаты и лицензии (где применимо). Подробнее — в гайде для интернет-магазинов.

8. Политика возврата и отказа от услуг

Условия возврата товара (для интернет-магазинов — минимум 7 дней по ст. 26.1 ЗОЗПП) и условия отказа от услуги (полная сумма, кроме фактических расходов исполнителя). Эти условия должны быть в оферте (см. ниже) и на отдельной странице.

436-ФЗ «О защите детей от вредной информации» — 1 пункт

9. Возрастная маркировка

Если сайт распространяет «информационную продукцию» — статьи, видео, медиа, образовательный контент — требуется маркировка категорией: 0+, 6+, 12+, 16+, 18+. Размещается в шапке/подвале или у каждого материала. Штраф до 200 000 ₽ юрлицам по ст. 6.17 КоАП. Подробнее в статье про возрастную маркировку.

347-ФЗ «О рекламе»: ERID-маркировка — 1 пункт

10. ERID-токен на каждой рекламной публикации

С 1 сентября 2022 года вся интернет-реклама в РФ должна иметь токен ERID и пометку «Реклама». Касается контекстной рекламы, постов у блогеров, нативных интеграций, email-рассылок. Штраф до 500 000 ₽ за каждое сообщение по ст. 14.3 КоАП. Подробнее — гайд по ERID.

ГК РФ ст. 437: публичная оферта — 1 пункт

11. Публичная оферта на услуги/товары

Если сайт предлагает товары или услуги — описание условий считается публичной офертой по ст. 437 ГК РФ. Должна содержать существенные условия: предмет, цена, сроки, порядок оплаты, условия расторжения. Без неё сделки можно оспорить. Подробнее — в статье об оферте.

Дополнительные требования — 2 пункта

12. Формы сбора ПД с двойной защитой

Каждая форма помимо согласия должна иметь:

  • защиту от ботов (CAPTCHA или аналог);
  • HTTPS-передачу;
  • уведомление пользователю о принятии данных (success-сообщение);
  • хранение в защищённой БД с разграничением доступа.

13. Загрузка трекеров строго после согласия

Я.Метрика, Google Analytics, пиксели соцсетей не должны загружаться при первом посещении до явного согласия пользователя на cookie. Это нарушение по 152-ФЗ ст. 9. Технически реализуется через async-загрузку только после клика по баннеру.

КоАП РФ: сводка штрафов

Все штрафы за нарушения профильных законов прописаны в Кодексе об административных правонарушениях. Краткая сводка для юрлиц:

  • ст. 13.11 КоАП (нарушения 152-ФЗ): от 60 000 до 18 000 000 ₽ в зависимости от вида нарушения;
  • ст. 14.4–14.8 КоАП (нарушения ЗОЗПП): до 500 000 ₽;
  • ст. 6.17 КоАП (нарушения 436-ФЗ): до 200 000 ₽;
  • ст. 14.3 КоАП (нарушения 347-ФЗ): до 500 000 ₽ за каждое;
  • ст. 19.7 КоАП (несвоевременное уведомление): до 75 000 ₽.

Накопительный риск для среднего интернет-магазина: до 1 080 000 ₽ при комплексном нарушении.

Из практики применения

Несколько важных наблюдений, которые часто упускают предприниматели:

Сторонняя платформа не освобождает от обязанностей оператора ПД

Карточка эксперта на Taplink, ссылка-визитка в Linktree, страница профиля в Instagram, Telegram или VK — для Роскомнадзора и судов это полноценный сайт оператора ПД. Юридический статус определяется по 152-ФЗ ст. 3: оператор — тот, кто определяет цели и способы обработки. Платформа — лишь технический обработчик.

Удаление страницы не отменяет нарушение

Состояние сайта фиксируется кэшем и сниппетами Яндекса/Google, нотариально заверенными скриншотами (ГПК ст. 102, АПК ст. 103), материалами проверок РКН и Роспотребнадзора. Web Archive хоть и заблокирован в РФ, всё ещё принимается судами как доказательство.

«Корзина без регистрации» не освобождает от согласия

Часто думают, что если пользователь не регистрируется на сайте, согласие на ПД не нужно. Это ошибка: при оформлении заказа всё равно собираются email/телефон/адрес — это персональные данные, и согласие должно быть.

Чек-лист действий для владельца сайта

  1. Подайте уведомление в РКН (если ещё не подано).
  2. Разместите политику обработки ПД на постоянном URL.
  3. У каждой формы — чек-бокс согласия со ссылкой на политику.
  4. Настройте cookie-баннер так, чтобы аналитика грузилась только после согласия.
  5. Проверьте SSL-сертификат и его актуальность.
  6. В подвал — реквизиты компании (ИНН, ОГРН, адрес, контакты).
  7. Опубликуйте публичную оферту с существенными условиями.
  8. Опубликуйте политику возврата (для интернет-магазинов).
  9. Поставьте возрастную маркировку, если сайт публикует контент.
  10. Промаркируйте всю рекламу ERID-токенами через ОРД.
  11. Защитите формы CAPTCHA и разграничьте доступ к БД клиентов.
  12. Настройте журналирование доступа сотрудников к ПД.
  13. Заведите регламент реагирования на запросы субъектов ПД (право на удаление, доступ к своим данным).

Быстрая проверка вашего сайта

Запустите экспресс-проверку — она проверит 5 базовых параметров за 2 минуты и покажет потенциальный риск штрафа. Полная проверка по всем 14 параметрам с разбором каждого нарушения — в платном отчёте.