Требования к сайту компании по законодательству РФ

С 2025 года Роскомнадзор запустил автоматизированную систему проверки сайтов в режиме 24/7. Искусственный интеллект сканирует формы обратной связи, анализирует cookie-файлы и проверяет наличие обязательных документов без предварительного уведомления владельцев.

Стоимость ошибки выросла кратно: штрафы за утечки персональных данных достигают 15 млн рублей для юридических лиц, а повторные нарушения могут обойтись в 3% от выручки. Аккредитованные ИТ-компании рискуют лишиться льготного налогообложения при несоответствии Приказу Минцифры № 511.

В этой статье разберем все актуальные требования к сайтам компаний на 2026 год и покажем, как провести аудит самостоятельно. В конце статьи вы сможете скачать подробный чеклист из 30 пунктов для проверки вашего сайта.

Что проверяет Роскомнадзор

Автоматизированная система мониторинга без предупреждения владельцев сайтов проверяют:

Формы обратной связи — наличие согласия на обработку персональных данных.
JavaScript-код — скрипты аналитики, чат-боты, счетчики.
Cookie-файлы — уведомления и возможность отказа.
Реквизиты компании — полнота и актуальность данных.
Политику конфиденциальности — соответствие требованиям ФЗ-152.
Доступность контента — соответствие ГОСТ Р 52872-2019.

Проверки проводятся ежемесячно для сайтов из реестра операторов персональных данных и ежеквартально для остальных ресурсов.

Обязательные требования для всех сайтов

1. Реквизиты компании (ст. 14.5 КоАП)

Обязательно указать в футере сайта:

Полное наименование организации.
Организационно-правовую форму (ООО, АО, ИП).
ОГРН или ОГРНИП.
ИНН.
Юридический адрес.

Штраф за отсутствие: от 10 000 до 20 000 рублей для должностных лиц, от 20 000 до 30 000 рублей для юридических лиц.

2. Политика обработки персональных данных (ФЗ-152)

Обязательные разделы политики:

Цели обработки данных.
Правовые основания (согласие, договор, закон).
Категории персональных данных.
Сроки хранения.
Права субъектов данных.
Контактные данные для обращений.

Штраф: от 300 000 до 700 000 рублей для юридических лиц по ст. 13.11 КоАП РФ.

Политика конфиденциальности Аспро.

3. Согласие на обработку персональных данных

Требования к согласию:

Пустой чекбокс (не отмечен по умолчанию).
Четкая формулировка целей обработки.
Указание на добровольность согласия.
Ссылка на политику конфиденциальности.
Возможность отзыва согласия.

Штраф: от 300 000 до 700 000 рублей по ст. 13.11 КоАП РФ.

Чекбокс согласия на обработку персональных данных

4. Уведомление об использовании Cookie

С 1 марта 2025 года обязательно:

Баннер с информацией о cookie.
Возможность отказа от несущественных cookie.
Разделение на категории (необходимые, аналитические, маркетинговые).
Ссылка с баннера на политику обработки персональных данных.

5. Уведомление в Роскомнадзор

Подача через pd.rkn.gov.ru обязательна, если сайт собирает:

ФИО посетителей.
Email или телефон.
Адреса доставки.
Любые другие персональные данные.

Штраф за неподачу: от 150 000 до 300 000 рублей по ст. 13.11 КоАП РФ.

6. Российский хостинг (с 1 июля 2025)

Персональные данные граждан РФ должны храниться исключительно на серверах в России. Запрещено использование зарубежного хостинга, CDN без российских серверов и облачных сервисов без локализации данных.

Штраф: от 1 до 3 млн рублей для юридических лиц, от 3 000 до 5 000 рублей для должностных лиц.

7. SSL-сертификат (HTTPS)

Обязателен для всех сайтов, собирающих персональные данные. Требования:

Шифрование TLS 1.2 или выше.
Действующий сертификат без ошибок.
Редирект с HTTP на HTTPS.

Требования для ИТ-компаний (Приказ Минцифры № 511)

С 2025 года аккредитованные ИТ-компании обязаны размещать на сайте:

Коды видов деятельности из реестра Минцифры.
Подробное описание ИТ-продуктов на русском языке.
Цены (запрещены формулировки «по запросу», «договорная»).
Техническую поддержку 24/7.
Сведения об аккредитации.

Последствия нарушений:

Лишение аккредитации.
Утрата права на льготную ставку налога 0-3% (возврат к 20%).
Утрата льготных страховых взносов 7,6% (возврат к 30%).

Требования доступности (ГОСТ Р 52872-2019)

С 1 марта 2026 года вместо «версии для слабовидящих» вводится универсальный дизайн:

Технические требования:

Alt-тексты для всех изображений.
Контрастность не менее 4.5:1 для обычного текста.
Клавиатурная навигация по всем элементам.
Совместимость со скринридерами.
Масштабирование до 200% без горизонтальной прокрутки.

Таблица штрафов

Хотите проверить свой сайт на соответствие законодательству? Скачайте полный чеклист из 30 пунктов с подробными инструкциями и ссылками на документы.

Скачать чеклист

Соблюдение требований — ваша защита от штрафов

Законодательные требования к сайтам становятся строже каждый год. Автоматизация проверок означает, что нарушения обнаруживаются быстрее, а штрафы назначаются чаще.

Правильно настроенный сайт — это не только защита от санкций, но и доверие клиентов, которые видят серьезное отношение к защите их данных.

Нужна консультация? Пишите нам на почту info@aspro.ru или звоните по телефону +7 (800) 101-04-91.

Ответы на популярные вопросы

Мой сайт — просто визитка без форм заказа. Меня это вообще касается?

Да, но не в полном объеме. Если на сайте нет форм сбора ФИО, телефона или email (даже формы «обратной связи» или поля для ввода почты при скачивании файла), то требования к уведомлению РКН и к согласию на обработку ПД формально не применяются. Однако реквизиты компании (ОГРН, ИНН, юридический адрес) в футере по закону РФ о защите прав потребителей обязаны быть в любом случае. Плюс, если вы используете счетчики аналитики — они собирают IP-адреса (персональные данные), и требования уже начинают действовать.

Я пользуюсь WordPress на зарубежном хостинге (в США). Меня оштрафуют?

С вероятностью 95% — да, если вы обрабатываете персональные данные россиян. С июля 2025 года локализация ПД означает, что база данных сайта (таблицы с именами, телефонами, заказами) должна физически храниться на серверах, находящихся на территории РФ. Если ваш хостинг в США, а клиенты из РФ — это нарушение. Исключение — вы используете хостинг-провайдера, у которого есть официальный «российский филиал» с серверами в РФ, даже если головной офис за границей.

Что будет, если я просто поставлю галку «Согласен» по умолчанию в форме подписки?

Штраф по ст. 13.11 КоАП РФ. В 2026 году Роскомнадзор автоматически проверяет HTML-код формы: если атрибут checked прописан в чекбоксе — это «заранее проставленное согласие», что незаконно. Вы обязаны оставить чекбокс пустым, чтобы пользователь сам его отметил. Даже если вы ссылаетесь на политику конфиденциальности — но галочка стоит по умолчанию, нарушение фиксируется автоматически.

А если я просто скопирую «Политику конфиденциальности» с соседнего сайта и поменяю название ООО?

Это рискованно. При проверке ИИ-система РКН ищет уникальные признаки: наличие обязательных разделов из ФЗ-152 (цели, сроки, права субъектов). Если вы скопируете чужой текст, он может ссылаться на неверный юридический адрес, на несуществующие способы отзыва согласия или содержать устаревшие формулировки. Хуже того — если в шаблоне указаны контакты настоящего владельца (например, адрес почты), то при проверке письмо может уйти ему, а не вам. Минимальная доработка: проверьте реквизиты, сроки хранения и контакт ответственного за ПД.

У нас ИТ-компания, работаем на УСН 6%. Если мы не выполним Приказ №511 (цены, техподдержка), мы точно лишимся льгот?

Напрямую — нет. Минцифры пока не запустило автоматический механизм исключения из реестра за отсутствие цен на сайте. Но при плановой проверке подтверждения аккредитации (раз в год) инспектор вправе запросить скриншот сайта. Если вы не покажете описание ИТ-продуктов и цены (а не «по запросу»), вам могут отказать в продлении аккредитации. А без аккредитации нет и льгот. Поэтому лучше выполнить требования.

Нам нужно получать отдельное согласие на каждый вид cookie (аналитика, маркетинг) или достаточно общего баннера?

Закон РФ в 2026 году не требует столь жесткой градации, как в Европе (GDPR). Но судебная практика идет по пути: «несогласие на обработку ПД через cookie означает, что вы не можете передавать их третьим лицам (например, в рекламные сети)».

Самый безопасный вариант для РФ сегодня:

Баннер «Мы используем cookie».
Кнопка «Принять все» и «Настройки» (где можно отключить маркетинговые).
И обязательная ссылка на политику обработки ПД с баннера.

Мой сайт уже соответствует требованиям 2024 года. Надо ли что-то менять к лету 2026?

Да, минимум три вещи:

ГОСТ Р 52872-2019 (доступность). Если у вас нет альтернативных текстов для картинок и контрастность текста ниже 4.5:1 — надо доделывать.
Локализация хостинга. Если в 2024 вы были на AWS во Франкфурте — сейчас это нарушение.
Форма согласия на ПД. Теперь нужно явное указание цели обработки в тексте чекбокса (например: «Даю согласие на обработку персональных данных для получения рассылки с акциями»), а не просто «Согласен».

Что делать, если Роскомнадзор уже прислал предупреждение или мы заметили утечку данных? Скрыть или удалить — поможет?

Нет, сделает только хуже. Согласно ч. 3 ст. 13.11 КоАП и новым поправкам (закон о «прозрачности утечек»), оператор ПД обязан в течение 24 часов уведомить РКН об утечке. Если вы просто удалите базу и сделаете вид, что ничего не было, а РКН обнаружит следы (логи доступа, сообщения клиентов) — это квалифицируется как сокрытие и может привести к максимальному штрафу (до 15 млн или 3% выручки). Алгоритм действий: зафиксировать факт → уведомить РКН → уведомить пострадавших → провести внутреннее расследование.