Требования Роскомнадзора к сайтам: как защитить ресурс от штрафов и блокировок

Сайт уже работает, принимает заявки, собирает телефоны, показывает рекламу и подключает аналитику. Снаружи всё выглядит нормально, но при проверке сайта могут всплыть вещи, о которых владелец ресурса не думал: нет политики, формы отправляются без согласия, реклама размещена без маркировки, а старые страницы содержат рискованный контент.

Роскомнадзор смотрит на сайт не как на витрину, а как на источник информации и точку сбора персональных данных. Если ресурс нарушает правила, последствия могут быть разными: требование удалить страницу, штраф, попадание в реестр или ограничение доступа.

Ниже — спокойный разбор основных требований, которые стоит проверить перед запуском сайта, аудитом или рекламной кампанией.

Единого списка «требований РКН к сайту» в виде одной страницы закона нет. На практике сайт проверяют по нескольким направлениям: персональные данные, запрещённая информация, реклама, доступность отдельных ресурсов, возрастные ограничения и корректность опубликованных документов.

Для владельца сайта это означает простую вещь: недостаточно поставить SSL-сертификат и сделать красивую форму заявки. Нужно понимать, какие данные собирает сайт, какие материалы публикует, где размещает рекламу и какие документы показывает пользователю.

Если на сайте есть форма обратной связи, онлайн-запись, личный кабинет, подписка, чат, корзина или заявка на расчёт стоимости, ресурс почти наверняка обрабатывает персональные данные. Телефон, email, имя, адрес доставки, IP-адрес в связке с другими сведениями — всё это может попасть в контур 152-ФЗ.

Сайт должен объяснять, кто собирает данные, зачем они нужны, как долго хранятся, кому передаются и как пользователь может отозвать согласие. Подробнее базовую логику можно разобрать в материале про обработку персональных данных на сайте.

Интернет-реклама должна быть отделена от обычной информации. Для рекламных материалов нужны пометка «реклама», сведения о рекламодателе и идентификатор рекламы — ERID. Он присваивается через оператора рекламных данных, а сведения о размещении передаются в ЕРИР.

Это касается не только баннеров в рекламных сетях. Рекламой может быть платный обзор, нативная интеграция, промо-блок партнёра, рекламная статья, спецпроект или размещение у блогера. Если материал продвигает товар, услугу, бренд или конкретного продавца, его нужно оценить по правилам закона о рекламе.

В 2026 году отдельные требования к доступности прямо установлены для официальных сайтов госорганов, органов местного самоуправления и подведомственных организаций. Речь идёт о работе сайта со скринридерами, управлении без мыши, увеличении текста без потери функций и текстовых версиях нетекстового контента.

Для коммерческих сайтов это не всегда прямая обязанность Роскомнадзора, но доступность уже стала нормальной частью безопасной разработки. Если форма не читается экранным диктором, кнопки нельзя пройти с клавиатуры, а капча недоступна для незрячего пользователя, сайт может терять заявки и получать претензии от пользователей.

Сайт не должен размещать информацию, распространение которой запрещено в России. К зонам риска относятся материалы о способах изготовления и приобретения наркотиков, призывы к экстремистской деятельности, порнографические материалы с участием несовершеннолетних, инструкции по опасным действиям и иной контент из специальных ограничительных норм.

Если сайт публикует медиа, обзоры, пользовательские материалы, афиши, видео или статьи для широкой аудитории, нужно учитывать возрастную классификацию информационной продукции. Маркировка 0+, 6+, 12+, 16+ или 18+ нужна не каждому корпоративному сайту, но важна для ресурсов с контентом, который может затрагивать детей.

Работа с персональными данными начинается не с документа, а с карты сайта. Нужно пройти по страницам и понять, где человек оставляет сведения о себе: форма заявки, обратный звонок, комментарии, регистрация, заказ, онлайн-чат, рассылка, аналитика, cookie-баннер.

После этого становится ясно, какие документы нужны, какие чек-боксы поставить, какие сервисы указать в политике и где хранить базу.

При сборе персональных данных граждан России через интернет оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение таких данных с использованием баз данных, находящихся на территории Российской Федерации.

На практике это касается хостинга, CRM, облачных форм, сервисов рассылки, коллтрекинга, онлайн-чата и аналитики. Если форма на российском сайте отправляет заявки сразу в зарубежный сервис, нужно отдельно проверить, где создаётся первая база и есть ли законное основание для передачи.

На сайте должна быть опубликована политика обработки персональных данных. Она размещается на отдельной странице, доступной пользователю без регистрации и оплаты. Ссылка обычно ставится в футере, рядом с формами и в местах, где человек передаёт сведения о себе.

Политика не заменяет согласие. Политика объясняет правила, а согласие фиксирует действие пользователя. Поэтому рядом с формой нужен понятный текст и чек-бокс, если обработка строится на согласии. Для подготовки страницы пригодится инструкция о том, как оформить политику конфиденциальности на сайте.

Отдельное внимание стоит уделить формам. Если пользователь вводит телефон или email, согласие должно быть привязано именно к этой форме. Подробный пример можно посмотреть в материале про согласие на обработку персональных данных для форм на сайте.

Оператор персональных данных в большинстве случаев обязан уведомить Роскомнадзор о начале или факте обработки персональных данных. После подачи сведения попадают в реестр операторов. На портале персональных данных РКН есть электронная форма уведомления и поиск по реестру.

Для обычного сайта это важно проверить отдельно. Раньше многие владельцы думали, что уведомление нужно только крупным компаниям, но после изменений с 2022 года исключений стало меньше. Если сайт собирает заявки, регистрирует пользователей или ведёт рассылку, лучше проверить обязанность до запуска. При работе с зарубежными сервисами пригодится материал про уведомление Роскомнадзора о трансграничной передаче.

Реклама на сайте — это не только баннер от рекламной сети. Если владелец ресурса продаёт места партнёрам, публикует платные обзоры, размещает промокоды, продвигает чужие услуги или получает оплату за интеграцию, нужно проверить правила маркировки.

Контур здесь смешанный: Роскомнадзор ведёт инфраструктуру учёта интернет-рекламы через ЕРИР, а ФАС контролирует соблюдение рекламного законодательства по содержанию и признакам рекламы.

Реклама направлена на привлечение внимания к товару, услуге, бренду, продавцу или сайту. Обычная справочная информация о собственной компании на своём сайте чаще не считается рекламой, если она не выделяет товар среди аналогов и не направлена на продвижение за плату.

Но граница бывает тонкой. Например, нейтральная карточка партнёра может быть информацией, а платный блок с преимуществами, ссылкой и призывом перейти — уже рекламой. Поэтому перед публикацией полезно фиксировать, кто заказал материал, есть ли оплата, какой договор заключён и какие показатели размещения передаются.

Перед размещением рекламный материал обычно регистрируют через оператора рекламных данных. После этого реклама получает идентификатор ERID. Он размещается в креативе или рядом с ним вместе с пометкой «реклама» и сведениями о рекламодателе.

После размещения сведения о рекламе, договорах, участниках цепочки и статистике передаются через ОРД в ЕРИР. Если в цепочке есть агентство, блогер, рекламная система и владелец площадки, обязанности лучше заранее распределить в договоре. Иначе каждый участник будет считать, что маркировкой занимается кто-то другой.

Нарушения на сайте редко начинаются со штрафа. Часто сначала появляется жалоба пользователя, обращение правообладателя, сигнал от ведомства, проверка рекламы или уведомление хостинг-провайдера. Но если проблему игнорировать, последствия быстро становятся дороже самой доработки сайта.

По 149-ФЗ существует единый реестр доменных имён, страниц и сетевых адресов, где размещена информация, распространение которой запрещено в России. В реестр может попасть не только весь домен, но и конкретная страница.

Для владельца сайта особенно опасны пользовательские разделы: комментарии, форумы, отзывы, доски объявлений, профили и загружаемые файлы. Если там появляется запрещённая информация, ресурс должен быстро отреагировать и удалить её.

Размер штрафа зависит от нарушения. По персональным данным КоАП предусматривает отдельные составы: обработка без законного основания, отсутствие политики, обработка без согласия, нарушение локализации, неподача уведомления, утечка персональных данных.

Например, за обработку персональных данных без нужного согласия штраф для юридического лица может составлять от 300 000 до 700 000 рублей, а за нарушение локализации баз данных — от 1 000 000 до 6 000 000 рублей. Повторные нарушения и утечки оцениваются строже.

Проверку лучше делать не только перед запуском. Сайт меняется: добавляются формы, рекламные пиксели, новые подрядчики, чат-боты, CRM, страницы акций и партнёрские материалы. То, что было безопасно год назад, может перестать соответствовать текущей структуре сайта.

Для сайтов с формами, аналитикой и рекламой полезно проводить отдельный аудит обработки персональных данных. Он показывает не только наличие документов, но и реальные потоки: куда уходит заявка, какие cookie ставятся, кто получает доступ к CRM, где хранится база и какие согласия можно доказать. Для первичной проверки подойдёт материал про соблюдение правил обработки персональных данных.

Если сайт использует рекламные или аналитические cookie, отдельно проверьте уведомление и текст согласия. Для этого можно использовать инструкцию по установке cookie-уведомления на сайт.