Проверито
Administrator
152-ФЗ·31 марта 2026 г.

Проверка сайта Роскомнадзором: как проходит, что смотрят, как подготовиться и не получить штраф

Проверка сайта Роскомнадзором: как проходит, что смотрят, как подготовиться и не получить штраф

«Нас не проверят, мы маленькие». Такое убеждение распространено среди малого бизнеса. И именно оно чаще всего приводит к неприятным последствиям.

Показательный пример: владелец небольшого интернет-магазина товаров для дома — 200 позиций, 3 сотрудника, оборот несколько миллионов в год — получил письмо от РКН: плановая проверка.

Паника, звонки юристам, срочное создание документов. Политику конфиденциальности написали за ночь, чекбоксы добавили за два дня, уведомление в реестр подали задним числом. Штрафов избежали — но нервы и деньги потратили.

А ведь если бы всё было сделано заранее, проверка прошла бы формально: показали документы, продемонстрировали сайт, получили «замечаний нет». Это занимает 30 минут.

В этом материале — полная картина того, как работают проверки РКН: что проверяют, как готовиться, что делать во время и после. Материал подготовлен на основе анализа реальных актов проверок и консультаций с юристами, сопровождающими такие проверки.

Проверка сайта роскомнадзором
Проверка сайта роскомнадзором

Виды проверок Роскомнадзора

Роскомнадзор проводит проверки в рамках государственного контроля за обработкой персональных данных. Основание — Федеральный закон 152-ФЗ и Положение о контроле (утверждено Постановлением Правительства). Есть три основных типа.

Плановые проверки

Проводятся по утверждённому ежегодному плану. План публикуется на сайте РКН и на сайте Генеральной прокуратуры (plan.genproc.gov.ru) до 31 декабря предыдущего года.

Это значит: можно заранее узнать, попала ли организация в план проверок на следующий год. Достаточно зайти на plan.genproc.gov.ru и найти свою организацию по ИНН или наименованию. Если нашли — есть несколько месяцев на подготовку.

О плановой проверке уведомляют не менее чем за 3 рабочих дня до начала (по почте или через Госуслуги). Срок проверки — не более 20 рабочих дней.

Внеплановые проверки

Проводятся по конкретным основаниям:

  • Жалоба субъекта ПДн (человек пожаловался, что его данные обрабатываются без согласия)
  • Истечение срока предписания (организации дали время устранить нарушение — проверяют, устранили ли)
  • Поручение Президента, Правительства, требование прокурора
  • Угроза причинения вреда правам граждан

О внеплановой проверке могут уведомить за 24 часа. А в некоторых случаях (угроза вреда) — вообще без предупреждения.

Важный момент: жалоба — самое частое основание для внеплановой проверки. Достаточно одного недовольного клиента, который напишет в РКН: «Этот сайт собирает мои данные без согласия». И проверка не заставит себя ждать.

Дистанционные (документарные) проверки

С 2021 года РКН активно использует дистанционный формат. Инспектор не приезжает в офис, а проверяет сайт удалённо: открывает его в браузере, изучает формы, документы, отправляет запрос на предоставление документов по электронной почте.

Это означает, что сайт — первое, что видит инспектор. Если на сайте нет политики, нет чекбоксов, формы без согласия — это видно сразу, не нужно даже запрашивать документы.

Три типа проверок Роскомнадзора: плановая, внеплановая и дистанционная
Три типа проверок Роскомнадзора: плановая, внеплановая и дистанционная

Что именно проверяет Роскомнадзор на сайте

Ниже — конкретный перечень того, что проверяется, составленный на основе реальных актов проверок и рекомендаций практикующих юристов.

1. Политика конфиденциальности

Обязательна по ст. 18.1 152-ФЗ. Что проверяют:

  • Есть ли документ на сайте?
  • Доступен ли без регистрации?
  • Содержит ли обязательные разделы: цели обработки, перечень данных, сроки хранения, права субъекта, меры защиты, контактные данные?
  • Актуальны ли данные в документе (наименование, ИНН, адрес)?
  • Соответствуют ли указанные цели обработки реальным?
  • Указан ли порядок отзыва согласия?

2. Формы сбора данных

Каждая форма на сайте проверяется на:

  • Наличие чекбокса согласия
  • Чекбокс не предзаполнен
  • Текст содержит ссылку на политику
  • Ссылка рабочая
  • Форма не отправляется без согласия
  • Объём собираемых данных соответствует заявленным целям (минимизация)

3. Регистрация в реестре операторов

Инспектор проверяет: подано ли уведомление, внесена ли организация в реестр, актуальны ли сведения в реестре.

4. Локализация данных

Где физически хранятся данные граждан РФ? На серверах в РФ? Какой хостинг-провайдер? Могут запросить договор с хостингом и справку о расположении серверов.

5. Cookie-баннер

Если сайт использует cookies (а это практически все сайты), Роскомнадзор может проверить наличие уведомления об использовании cookies. Формально 152-ФЗ не требует cookie-баннер в явном виде, но cookies содержат персональные данные (особенно рекламные) — и их обработка требует согласия.

6. SSL-сертификат (HTTPS)

Не прямое требование 152-ФЗ, но относится к мерам защиты данных при передаче. Если формы с персональными данными отправляются по незащищённому HTTP — это фиксируется как недостаточная мера защиты.

7. Внутренние документы (при выездной проверке)

При выездной проверке могут запросить:

  • Приказ о назначении ответственного за обработку ПДн
  • Модель угроз безопасности ПДн
  • Перечень информационных систем, обрабатывающих ПДн
  • Журнал учёта обращений субъектов ПДн
  • Акт определения уровня защищённости ПДн
  • Договоры с обработчиками данных (CRM, хостинг, рассылка)
7 пунктов, которые инспектор РКН проверяет на вашем сайте
7 пунктов, которые инспектор РКН проверяет на вашем сайте

Как узнать, попали ли вы в план проверок

Способ 1: сайт Генеральной прокуратуры — plan.genproc.gov.ru. Раздел «Сводный план проверок». Поиск по ИНН или наименованию.

Способ 2: сайт Роскомнадзора — rkn.gov.ru. Раздел «Деятельность» → «Планы проверок». Там же публикуются результаты проверок.

Способ 3: ЕГРП (единый реестр проверок) — proverki.gov.ru. Здесь можно увидеть все проверки всех контролирующих органов для вашей организации, включая результаты.

Рекомендация: проверяйте план в начале каждого года. Если организация в плане — есть время подготовиться. Если нет — расслабляться не стоит, потому что внеплановая проверка может быть в любое время.

Как подготовиться к проверке: пошаговый план

Подготовка делится на две части: сайт (техническая подготовка) и документы (юридическая подготовка).

Часть 1: Сайт

  • Опубликуйте политику конфиденциальности (если нет) или обновите (если устарела)
  • Добавьте чекбоксы согласия на ВСЕ формы сбора данных
  • Убедитесь, что чекбоксы пустые по умолчанию
  • Проверьте, что ссылки на политику работают
  • Убедитесь, что формы не отправляются без галочки
  • Включите HTTPS на всём сайте
  • Добавьте cookie-баннер (если ещё нет)
  • Проверьте мобильную версию — чекбоксы, ссылки, политика должны работать и там
  • Убедитесь, что виджеты (онлайн-чат, обратный звонок) имеют чекбоксы

Часть 2: Документы

  • Подайте уведомление в реестр операторов ПДн (если не подавали)
  • Проверьте актуальность данных в реестре
  • Издайте приказ о назначении ответственного за обработку ПДн
  • Подготовьте перечень информационных систем, обрабатывающих ПДн
  • Определите уровень защищённости ПДн (акт)
  • Подготовьте модель угроз (хотя бы базовую)
  • Проверьте договоры с обработчиками данных — есть ли в них пункт о ПДн
  • Подготовьте журнал учёта обращений субъектов

Штрафы по результатам проверки

Если при проверке найдены нарушения, составляется акт и протокол об административном правонарушении. Далее — штраф по статье 13.11 КоАП РФ.

Основные штрафы для юридических лиц (на 2025–2026 год):

  • Обработка без правового основания: 30 000 – 150 000 руб. (повторно: до 500 000 руб.)
  • Обработка без согласия: 30 000 – 150 000 руб. (повторно: до 500 000 руб.)
  • Непубликация политики: 30 000 – 60 000 руб.
  • Неуведомление РКН: 30 000 – 50 000 руб.
  • Нарушение локализации: 1 000 000 – 6 000 000 руб. (повторно: до 18 000 000 руб.)
  • Утечка данных (с 2024): от 3 000 000 до 15 000 000 руб. (оборотные штрафы при повторных утечках)

Штрафы суммируются. Типичная картина: нет уведомления в реестре (50 000) + нет политики на сайте (60 000) + формы без согласия на 5 страницах (5 × 150 000 = 750 000). Итого: 860 000 рублей. Для малого бизнеса — это серьёзный удар.

Оборотные штрафы за утечки

С 2024 года за повторные утечки персональных данных введены оборотные штрафы — от 0,1% до 3% годовой выручки компании (но не менее 15 млн и не более 500 млн рублей). Это самые серьёзные штрафы в сфере ПДн.

Что делать во время проверки

Если проверка уже началась — несколько практических советов.

1. Не паникуйте. Проверка — это процедура. У неё есть правила. Инспектор обязан предъявить служебное удостоверение и распоряжение о проведении проверки.

2. Проверьте распоряжение. В нём должны быть: наименование органа, ФИО инспектора, наименование проверяемой организации, основание, предмет проверки, сроки, перечень мероприятий.

3. Назначьте контактное лицо. Общение с инспектором должен вести один человек — ответственный за обработку ПДн или юрист. Противоречивые показания разных сотрудников только усложняют ситуацию.

4. Предоставляйте документы в срок. Если инспектор запросил документы — предоставьте в указанный срок. Непредоставление — отдельное нарушение.

5. Не вносите изменения на сайт во время проверки. Инспектор может зафиксировать состояние сайта (скриншоты, протоколы). Если после фиксации быстро исправить нарушения — это не отменяет факт их наличия на момент проверки. А обнаруженные изменения только привлекут дополнительное внимание.

6. Подпишите акт с замечаниями. Если выводы проверки вызывают возражения — их можно изложить письменно. Укажите в акте или приложите отдельным документом. Это важно для возможного обжалования.

После проверки: что дальше

По результатам проверки возможны три сценария.

Нарушений нет. Получаете акт проверки — всё чисто. Сохраните его.

Выявлены нарушения — выдано предписание. Организации дают срок на устранение (обычно 1–6 месяцев). Устраните нарушения, отчитайтесь. Если устраните в срок — штрафа может не быть. Через какое-то время последует контрольная проверка.

Выявлены нарушения — составлен протокол. Протокол направляется в суд или рассматривается самим РКН (в зависимости от типа нарушения). По результатам — штраф. Предписание выдаётся параллельно.

Если не согласны со штрафом — есть право обжалования в вышестоящий орган или в суд в течение 10 дней.

Как снизить вероятность проверки

Гарантированно избежать проверки нельзя — плановые проверки случайны (хотя и учитывают категорию риска), а внеплановые зависят от жалоб. Но вероятность можно снизить.

  • Не давайте поводов для жалоб. Правильно оформленные формы, рабочий механизм отзыва согласия, ответы на обращения субъектов — всё это снижает вероятность жалоб в РКН.
  • Будьте в реестре. Поданное уведомление и запись в реестре — первый признак добросовестности.
  • Держите сайт в порядке. Политика на месте, чекбоксы работают, HTTPS включён — даже при случайной проверке замечаний будет минимум.
  • Реагируйте на запросы субъектов. Если человек просит удалить его данные — сделайте это. Отсутствие ответа превращается в жалобу в РКН.

Полный чеклист: подготовка сайта к проверке Роскомнадзора

Финальный чеклист для самопроверки. Пройдитесь по каждому пункту.

Документы на сайте:

  • Политика конфиденциальности опубликована и доступна без регистрации
  • Документ содержит все обязательные разделы
  • Данные организации в документе актуальны
  • Указан порядок отзыва согласия

Формы:

  • На всех формах сбора данных есть чекбоксы согласия
  • Чекбоксы пустые по умолчанию
  • Ссылки на политику конфиденциальности работают
  • Формы не отправляются без отмеченного чекбокса
  • Виджеты (чат, обратный звонок) также содержат чекбоксы

Технические меры:

  • HTTPS включён на всём сайте
  • Cookie-баннер установлен
  • Сайт корректно отображается на мобильных устройствах

Реестр и документы:

  • Уведомление в реестр операторов ПДн подано
  • Сведения в реестре актуальны
  • Приказ об ответственном за ПДн издан
  • Договоры с обработчиками данных содержат пункт о ПДн

Автоматическая проверка сайта

Техническую часть подготовки можно автоматизировать. Всё, что связано с сайтом (политика, формы, чекбоксы, ссылки, HTTPS), проверяется программно.

Ручная проверка сайта из 30 страниц с 10 формами занимает 3–4 часа. Автоматическая — несколько минут. При этом автоматика не пропустит форму в поп-апе, не забудет проверить мобильную версию, не поленится перейти по каждой ссылке.

Сервис «Проверито» делает именно это: открывает сайт в реальном браузере, находит все формы и документы, проверяет чекбоксы, ссылки, доступность политики. Результат — PDF-отчёт, который можно передать разработчику для исправления или показать инспектору как подтверждение проведённой самопроверки.

Итого

Проверка Роскомнадзора — не катастрофа, если к ней подготовиться. Большинство нарушений, которые фиксируют инспекторы, — элементарные: нет политики, нет чекбоксов, не подано уведомление в реестр. Это исправляется за несколько дней.

Не стоит ждать, пока придёт проверка. Самопроверка сейчас — и устранение проблем до того, как их найдёт инспектор, — это лучшая стратегия.

Сервис «Проверито» проверяет сайт на соответствие требованиям 152-ФЗ автоматически. PDF-отчёт с конкретными нарушениями и рекомендациями — за несколько минут. Стоимость — от 299 рублей. Проверить свой сайт →

11
Проверито

Автоматическая проверка вашего сайта на соответствие 152-ФЗ и 168-ФЗ. PDF-отчёт с рекомендациями за 5–15 минут.

Проверить сайт

Читайте также

Персональные данные на сайте: полный гид для владельцев бизнеса в 2026 году

У каждого коммерческого сайта есть минимум 3 нарушения в области персональных данных. Что закон реально требует от владельца сайта и как привести всё в порядок за один день.