Разобрали ваш сайт по закону о персональных данных: что требует закон, что должно быть в политике, какие штрафы грозят за нарушения и что мы готовы исправить под ключ.
Этот сайт делали мы. Когда мы его запускали, требования закона о персональных данных были другими — штрафы были в 5 раз ниже, автоматических проверок не существовало. С 30 мая 2025 года всё изменилось: штрафы выросли, Роскомнадзор запустил автоматические сканеры сайтов. Поэтому мы сами проверяем сайты наших клиентов и приходим с предупреждением — пока не пришло предписание.
152-ФЗ касается любого сайта, где есть форма с именем и телефоном. На coretest.ru такая форма есть — «Оставьте контакты». Это значит, компания считается оператором персональных данных и обязана соблюдать закон.
С 30 мая 2025 года по ФЗ-420. То, что стоило 30 тысяч, теперь стоит до 700 тысяч. За утечку данных — до 15 млн рублей.
Роскомнадзор запустил сканеры, которые круглосуточно обходят сайты. Никто не приходит в офис — постановление приходит на юридический адрес.
С 1 сентября 2025 года согласие на обработку данных нельзя совмещать с политикой. Это два отдельных документа на сайте.
Семь обязательных требований закона. Отметили, что выполнено, а что нужно исправить на coretest.ru.
Политика обработки персональных данных — это не любой текст «для галочки». Это документ, где компания обязана раскрыть десять конкретных вещей. Если какого-то блока нет или он не соответствует реальности — это нарушение.
Полное наименование, ИНН, ОГРН, юридический адрес, email ответственного за обработку данных.
Точный перечень — только то, что реально собирается. Не «любые данные», а конкретные поля.
Зачем собираются данные. Каждая цель конкретная, без расплывчатого «и в иных целях».
На каком основании обрабатываются данные. Для формы на сайте это согласие субъекта.
Конкретные сроки в годах, а не «по необходимости». Прямое указание, что базы данных хранятся на серверах в России.
Кому передаются данные — хостинг, CRM, Яндекс через карту и аналитику. С каждым нужен договор поручения.
Какие технические и организационные меры приняты: HTTPS, ограничение доступа, ответственный сотрудник.
Что может потребовать человек: доступ к данным, удаление, отзыв согласия. Срок ответа — 10 рабочих дней.
Куда писать по вопросам персональных данных. Рекомендуется отдельный адрес, а не общий office@.
Как обновляется политика и дата последней редакции. Документ без даты считается неактуальным.
Если вставить скачанный шаблон политики и не переписать его под реальную деятельность — Роскомнадзор это видит. Документ, который описывает функции, которых на сайте нет, квалифицируется как формальный подход и считается нарушением — иногда хуже, чем полное отсутствие политики.
Максимальные штрафы для юридического лица по ст. 13.11 КоАП РФ в редакции ФЗ-420. На практике по первой проверке суммы ниже — но предписание приходит без предупреждения.
| Нарушение на coretest.ru | Штраф до |
|---|---|
| Нет чекбокса согласия в формеч. 2 ст. 13.11 КоАП | 700 000 ₽ |
| Нет отдельного документа согласияч. 2 ст. 13.11 КоАП | 700 000 ₽ |
| Нет cookie-баннерач. 1 ст. 13.11 КоАП | 300 000 ₽ |
| Нет реквизитов юрлица в подвалеч. 1 ст. 13.11 КоАП | 300 000 ₽ |
| Политика недоступна (ссылка в никуда)ч. 3 ст. 13.11 КоАП | 60 000 ₽ |
| Итого потенциальный штраф | 2 060 000 ₽ |
Если данные посетителей сайта хранятся или обрабатываются на зарубежных серверах — это нарушение требования о локализации баз данных граждан РФ. Штраф по ч. 8 ст. 13.11 КоАП — до 6 миллионов рублей. Это нужно проверить отдельно: где хостинг и куда уходят заявки с форм.
Мы делали этот сайт — знаем его изнутри. Закроем все нарушения за неделю. Вам ничего не нужно делать самим: документы, правки на сайте, регистрация в РКН — берём на себя.