С 30 мая 2025 года Роскомнадзор проверяет сайты автоматически, без жалоб и предупреждений. ИИ-сканер анализирует формы, скрипты, реквизиты и документы — и фиксирует нарушения в момент обхода.
До 2025 года нарушение обнаруживалось по жалобе — было время среагировать. Теперь сканер РКН работает в непрерывном режиме, сам обходит сайты и сопоставляет содержимое с требованиями ГОСТ Р 52872-2019. Нарушение фиксируется сразу — компания узнает об этом уже в форме предписания.
Штраф за нарушение законодательства о персональных данных — от 300 000 до 700 000 рублей. Утечка данных — до 15 млн рублей. Повторное нарушение — 3% годовой выручки. Отсутствие реквизитов в футере — от 20 000 рублей за каждую позицию. Хостинг данных за пределами России — от 1 до 3 млн рублей для юрлица.
Что изменилось в 2025–2026 годах
Три изменения, которые уже действуют или вступают в силу:
- Автосканер с 30 мая 2025. Проверяет формы, JavaScript-скрипты, cookie-баннеры, реквизиты и политику конфиденциальности. Операторы из реестра — ежемесячно, остальные — раз в квартал.
- Хостинг только в России с 1 июля 2025. Данные граждан РФ хранятся на оборудовании, физически расположенном в стране. Страна регистрации провайдера не имеет значения.
- ГОСТ Р 52872-2019 в основном дизайне с 1 марта 2026. Инструменты доступности должны работать в основном интерфейсе, а не как отдельный режим.
Персональные данные: что проверяет сканер
Политика конфиденциальности
Документ содержит шесть разделов: цели и основания обработки, перечень категорий данных, сроки хранения, права пользователей и контакты. Сканер проверяет конкретные формулировки — типовой шаблон без адаптации под компанию создает риск.
Форма согласия
Чекбокс согласия — только пустой, атрибут checked фиксируется системой автоматически. Формулировка цели — конкретная: «Даю согласие на обработку персональных данных с целью получения рассылки». «Согласен с политикой» — не подходит. Дополнительно: добровольность, возможность отзыва, ссылка на политику в тексте согласия.
Регистрация оператора
Поле ввода ФИО, email, телефона или адреса — основание зарегистрироваться оператором на pd.rkn.gov.ru. Штраф за отсутствие: от 150 000 до 300 000 рублей. Нюанс: счетчики аналитики фиксируют IP-адреса — закон относит их к персональным данным. Сайт без форм, но с Яндекс.Метрикой — уже оператор.
Cookie-баннер
С марта 2025 года обязательны: кнопки «Принять все» и «Настройки», раздельное отключение маркетинговых и аналитических трекеров, прямая ссылка на политику в баннере. Пользователь отказался — его данные не передаются рекламным системам.
Реквизиты в футере
Пять обязательных позиций по ст. 14.5 КоАП: полное наименование, организационно-правовая форма, ОГРН или ОГРНИП, ИНН, юридический адрес. Каждая отсутствующая позиция — штраф от 20 000 до 30 000 рублей для юрлица. Требование действует для любого онлайн-присутствия — сайт, лендинг, одностраничник.
Технические требования
Хостинг
Данные пользователей — только на серверах в России. Требование охватывает хостинг, CDN и облака без российской инфраструктуры. Штраф для юрлица: от 1 до 3 млн рублей.
SSL
HTTP для сайтов с формами — нарушение. Требования: TLS 1.2+, действующий сертификат, автоматический редирект с HTTP на HTTPS.
Доступность
С 1 марта 2026 года — ГОСТ Р 52872-2019 в полном объеме: alt-атрибуты, контраст 4.5:1, клавиатурная навигация, поддержка скринридеров, масштабирование до 200% без горизонтального скролла.
Для аккредитованных ИТ-компаний
Приказ Минцифры №511 с 21 ноября 2025 года. Обязательный контент сайта: коды ОКВЭД из реестра Минцифры, описание продуктов на русском языке, конкретные тарифы — «по запросу» и «договорная» не засчитываются, — данные о поддержке и сведения об аккредитации. Несоответствие при плановой проверке — основание отказать в продлении. Последствие: налог 20% вместо 0–3%, взносы 30% вместо 7,6%.
Если пришло предупреждение
Ч. 3 ст. 13.11 КоАП: об утечке нужно уведомить РКН в течение суток. Молчание при задокументированном инциденте — отдельное нарушение. Порядок: зафиксировать инцидент, уведомить РКН, оповестить пострадавших, провести расследование, устранить причину.
С чего начать: приоритеты по срочности
Нарушения делятся на те, которые устраняются за один день, и те, которые требуют квартального планирования.
Быстро — за один рабочий день:
- Реквизиты в футере. Полное наименование, ОПФ, ОГРН или ОГРНИП, ИНН, юридический адрес — пять позиций, штраф за каждую отсутствующую.
- Чекбокс согласия. Убрать атрибут checked, прописать конкретную цель обработки данных.
- Политика конфиденциальности. Шесть разделов, актуальные контакты, корректные формулировки.
- Cookie-баннер. Кнопки «Принять все» и «Настройки», раздельное управление трекерами.
- Регистрация оператора. Если на сайте есть счетчики аналитики — зарегистрироваться на pd.rkn.gov.ru.
Требует планирования:
- Хостинг. Перевод данных на серверы в России — трудоемко, но штраф от 1 до 3 млн рублей делает откладывание дорогим решением.
- Доступность. Привести интерфейс к ГОСТ Р 52872-2019 до 1 марта 2026.
Для полного аудита по всем пунктам — чеклист соответствия сайта российскому законодательству: 30 критериев со ссылками на нормативную базу.
Чем раньше закрыты быстрые пункты, тем меньше риск получить предписание в период активного сканирования — особенно если компания входит в реестр операторов персональных данных и проверяется ежемесячно.
