Проверка Роскомнадзором: что проверяют, какие штрафы и как подготовиться
Роскомнадзор проверяет сайты на соответствие 152-ФЗ. Под проверку попадает любой сайт, который собирает данные пользователей — через формы, аналитику или личные кабинеты. Основания: жалоба пользователя, плановый контроль или профилактический визит. Данные актуальны на май 2026 года с учётом изменений 152-ФЗ от 30.05.2025 и 01.09.2025.
Кого проверяет РКН и за что штрафуют
Под действие 152-ФЗ попадает любой сайт, который собирает персональные данные — имя, email, телефон, IP-адрес (если используется аналитика или cookie). Это касается интернет-магазинов, онлайн-школ, корпоративных сайтов и лендингов с формой заявки.
- жалоба пользователя (в том числе после конфликта или возврата),
- жалоба конкурента,
- плановый контроль,
- профилактический визит.
Требования менялись несколько раз за последние два года — важно, чтобы документы соответствовали текущей версии закона.
Штрафы для организаций и ИП — актуально на 2026 год (редакция КоАП от 30.05.2025):
| Нарушение | Штраф |
|---|---|
| Нет политики обработки персональных данных — (для организаций и ИП) | 30–60 тыс. ₽ |
| Нарушение правил получения согласия (с 01.09.2025) — | 300–700 тыс. ₽ |
| Не подано уведомление в РКН — | 100–300 тыс. ₽ |
| Не уведомили РКН об утечке за 24 часа и не предоставили отчёт о расследовании за 72 часа — | 1–3 млн ₽ |
| Утечка данных от 1 000 до 10 000 человек — | 3–5 млн ₽ |
| Утечка данных от 10 000 до 100 000 человек — | 5–10 млн ₽ |
| Утечка данных свыше 100 000 человек или спецкатегории — | 10–15 млн ₽ |
| Повторная утечка (в течение года) — | оборотный штраф 1–3% выручки, не менее 20 млн ₽ и не более 500 млн ₽ |
Подробнее
| Описание | Пример | Статья КоАП | Штраф ИП, ₽ | Штраф ООО, ₽ | Штраф Физлицо, ₽ | Штраф ДЛ, ₽ |
|---|---|---|---|---|---|---|
| Согласие проставлено по умолчанию | Галочка согласия стоит при загрузке страницы | 13.11 ч.2 | 300–700 тыс. ₽ | 300–700 тыс. ₽ | 50–100 тыс. ₽ | 100–300 тыс. ₽ |
| Форма собирает ПД без чекбокса согласия | Форма заявки без галочки согласия | 13.11 ч.2 | 300–700 тыс. ₽ | 300–700 тыс. ₽ | 50–100 тыс. ₽ | 100–300 тыс. ₽ |
| Нет процедуры обновления и удаления данных | Нет информации об удалении | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| Нет перечня категорий персональных данных | В политике нет списка данных | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| Нет раздела о трансграничной передаче | Отсутствует описание передачи за рубеж | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| Нет процедуры отзыва согласия | Нет инструкции для пользователя | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| Нет даты или версии документа | Политика без даты обновления | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| Не описана передача данных третьим лицам | Нет раздела о подрядчиках | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| Трансграничная передача описана неполно | Нет списка стран | 13.11 ч.6 | 30–50 тыс. ₽ | 50–100 тыс. ₽ | 10–20 тыс. ₽ | 8–20 тыс. ₽ |
| Нет категорий субъектов ПД | Не указаны клиенты или пользователи | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| Отсутствует HTTPS соединение | Сайт работает по HTTP | 13.11 | 10–20 тыс. ₽ | 30–50 тыс. ₽ | 3–5 тыс. ₽ | 5–10 тыс. ₽ |
| Согласие на cookie считается полученным автоматически | Баннер закрывается без выбора | 13.11 ч.2 | 300–700 тыс. ₽ | 300–700 тыс. ₽ | 50–100 тыс. ₽ | 100–300 тыс. ₽ |
| Отсутствует политика обработки персональных данных | На сайте нет страницы политики | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| Нет описания мер безопасности | Не описана защита данных | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| Персональные данные хранятся за пределами РФ | Сайт на зарубежном сервере | 13.11 ч.5 | 30–50 тыс. ₽ | 50–100 тыс. ₽ | 10–20 тыс. ₽ | 8–20 тыс. ₽ |
| Нет правовых оснований обработки | Не указано согласие или договор | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| В политике не указаны цели обработки ПД | Раздел целей отсутствует | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| Нет прав субъекта персональных данных | Нет описания прав пользователя | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| Сервис обработки данных не указан в политике | Метрика не указана в политике | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| Документы не соответствуют фактической передаче данных | В политике нет трансгранички, но используется GA | 13.11 ч.6 | 30–50 тыс. ₽ | 50–100 тыс. ₽ | 10–20 тыс. ₽ | 8–20 тыс. ₽ |
| Нет cookie баннера при использовании аналитики | Метрика без баннера | 13.11 | 50–100 тыс. ₽ | 100–300 тыс. ₽ | 10–20 тыс. ₽ | 10–20 тыс. ₽ |
| Нет сроков хранения данных | В политике не указано время хранения | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| Отсутствует документ согласия на обработку ПД | Форма собирает данные, но нет документа согласия | 13.11 ч.2 | 300–700 тыс. ₽ | 300–700 тыс. ₽ | 50–100 тыс. ₽ | 100–300 тыс. ₽ |
| Нет ссылки на политику в форме | Чекбокс есть, но нет ссылки на документ | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
| В баннере нет ссылки на политику cookie | Баннер есть, но нет ссылки подробнее | 13.11 ч.3 | 10–20 тыс. ₽ | 30–60 тыс. ₽ | 3–6 тыс. ₽ | 6–12 тыс. ₽ |
👉 «Эти штрафы применяются за фактические нарушения, а не за «намерения».»
Что именно проверяют на сайте
Роскомнадзор проводит автоматизированную проверку с помощью системы АС МПДн — она сканирует сайты круглосуточно без предварительного уведомления владельца.
Политика обработки персональных данных
Есть ли, актуальна ли, соответствует ли фактической обработке
Согласие на обработку данных
Есть ли галочка в форме, корректен ли текст согласия
Уведомление в РКН
Подано ли, совпадают ли данные с реальностью
Cookie и аналитика
Подключены ли Яндекс.Метрика, Google Analytics, пиксели без уведомления пользователя
Формы заявок
Что собирают, как хранят, куда передают данные
Быстрые правки, которые снижают риск за 1 день
Большинство нарушений можно закрыть без разработчика — за один день. Вот что стоит проверить прямо сейчас:
Убрать предустановленную галочку согласия. По закону пользователь должен сам поставить отметку — заранее проставленная галочка не считается согласием.
Добавить ссылку на политику обработки данных прямо под формой. Пользователь должен иметь возможность прочитать документ до того, как отправит свои данные.
Проверить текст согласия. Он должен указывать, какие данные собираете, зачем, на какой срок и как пользователь может отозвать согласие.
Проверить футер сайта. Ссылка на политику конфиденциальности должна быть на каждой странице, где есть формы.
Убедиться, что cookie-баннер появляется при первом заходе — до того, как загрузилась аналитика. Согласие нужно получить заранее, а не постфактум.
Убрать лишние поля из форм. Если отчество или дата рождения не нужны для работы — их нельзя собирать: закон требует минимум данных.
Проверить, что в политике указаны все сервисы: CRM, Яндекс.Метрика, рассылки, пиксели. Если сервис обрабатывает данные — он должен быть в документе.
👉 «Эти правки не закрывают все риски, но резко снижают вероятность штрафа при первичной проверке Роскомнадзора — в том числе автоматизированной.»
Чего НЕ делать перед проверкой:
- Сохраняйте старые версии политики — РКН может запросить историю. На сайте должны быть только актуальные документы.
- Не меняйте уведомление в РКН накануне проверки без обоснования.
- Не добавляйте cookie-баннер задним числом — веб-архив покажет.
- Не собирайте больше данных, чем указано в документах: это отдельное нарушение.
Как проходит проверка Роскомнадзора
Проверка сайта на соответствие 152-ФЗ проходит в несколько этапов.
Как начинается проверка.
Роскомнадзор инициирует проверку по жалобе пользователя или госоргана, в рамках планового контроля, а также автоматически — система АС МПДн сканирует сайты круглосуточно без предупреждения.
Что выявляет система.
АС МПДн фиксирует: отсутствие политики обработки данных, предустановленные галочки согласия, использование Google Analytics или Meta Pixel без cookie-баннера, передачу данных на зарубежные серверы, расхождения между документами и реальной практикой.
Требование об устранении.
При выявлении нарушений Роскомнадзор направляет письменное требование с перечнем нарушений, ссылками на нормы закона и конкретными действиями для исправления. Срок — 10 календарных дней с момента получения.
Если не исправить.
В течение 10 дней нужно уведомить РКН об устранении с подтверждающими документами. Если ответа нет или нарушения остались — Роскомнадзор направляет материалы в суд, который назначает штраф по ст. 13.11 КоАП РФ. При грубых или повторных нарушениях сайт может быть заблокирован.
👉 «Более 70% нарушений выявляются ещё до запроса документов — на этапе автоматического сканирования АС МПДн.»
Профилактический визит РКН: чем отличается от плановой проверки
Профилактический визит Роскомнадзора — это не проверка со штрафами, а предупреждение. Инспектор указывает на нарушения и даёт рекомендации. Штрафов за сам визит нет — но если не устранить замечания, последует полноценная проверка.
Как это происходит: вас уведомляют за 5 рабочих дней, визит длится до 10 дней (очно или по видеосвязи). По итогам — акт с рекомендациями. При серьёзных нарушениях выдаётся предписание об устранении.
👉 «Профилактический визит — это не «всё в порядке», а сигнал, что ваш сайт уже в зоне внимания Роскомнадзора.»
Как подготовиться к проверке РКН
Минимальный чек-лист подготовки к проверке Роскомнадзора:
Есть актуальная политика обработки персональных данных
— опубликована в открытом доступе. Документ должен содержать цели обработки, категории данных, сроки хранения и меры защиты.
Все формы содержат корректное согласие
— отдельный чекбокс без предустановки. С 01.09.2025 согласие оформляется отдельно от других документов и должна быть возможность его отзыва.
Подано уведомление в РКН
(в большинстве случаев обязательно). При изменении сведений — уведомите РКН до 15-го числа месяца, следующего за месяцем изменений.
Есть cookie-баннер, появляется до подключения аналитики.
Технические cookies можно устанавливать без согласия, остальные — только после подтверждения пользователя.
Персональные данные граждан РФ хранятся на серверах в России.
При трансграничной передаче данных требуется разрешение РКН.
Есть порядок реагирования на утечку:
уведомить РКН за 24 часа, сдать отчёт за 72 часа. Отсутствие этого порядка — отдельное нарушение со штрафом 1–3 млн ₽.
Документы соответствуют реальным процессам.
Собирайте только те данные, которые реально используете — лишние поля в формах уже нарушение принципа минимизации.
👉 «Если хотя бы один пункт не выполнен — уже есть риск штрафа.»
Как Dokins помогает подготовиться к проверке
Я не даю общих советов — я проверяю конкретный сайт и показываю, что именно не так.
Бесплатный аудит
вводите адрес сайта, получаете мини-отчёт: где риски, насколько критично
Полный отчёт
детальный разбор по всем пунктам чек-листа РКН с приоритетами
Пакет документов
готовые политика, согласие, cookie-уведомление под ваш сайт
Консультация
объясняю, что и как внедрить, отвечаю на вопросы
Частые вопросы
Наличие политики обработки персональных данных, согласий пользователей, уведомления в РКН, корректной работы форм и cookie-баннера.
Инспектор анализирует сайт, запрашивает документы и сверяет фактическую обработку данных с тем, что указано в политике. Несоответствие — основание для штрафа.
Штраф 30–60 тыс. ₽ для организаций и ИП.
В большинстве случаев — да, если вы собираете персональные данные. Есть исключения, но их нужно проверять отдельно.
Иметь актуальные документы, поданное уведомление и корректные формы согласия до начала проверки.
Это мягкая форма контроля без штрафов. Но если не исправить замечания — будет полноценная проверка.
Нет, Google Analytics собирает IP-адреса и cookie, что является обработкой персональных данных. Необходимо получить согласие через cookie-баннер до загрузки скрипта.
Предписание — это не штраф, но игнорировать нельзя. Укажите в ответе, какие действия вы предприняли для устранения нарушений, и приложите документы.
Бесплатный аудит — бесплатно. Полный пакет документов и отчёт — платно, цена зависит от сложности сайта.
Узнайте, готов ли ваш сайт к проверке РКН
Проверка занимает 5 минут. Результат — сразу.
Проверить сайт бесплатно →