Что смотрит инспектор Роскомнадзора на сайте: 15 точек контроля

Как проходит дистанционная проверка сайта Роскомнадзором

Дистанционная проверка сайта — один из наиболее распространенных форматов контроля в сфере персональных данных. Инспектор РКН анализирует общедоступные страницы сайта, не покидая рабочего места. Такой формат позволяет ведомству охватить значительно большее число операторов, чем при традиционных выездных проверках.

В ходе дистанционной проверки инспектор изучает публично доступные материалы: тексты документов, формы сбора данных, наличие необходимых ссылок и разделов. При этом проверяется не только наличие документов, но и их содержание — соответствие требованиям Федерального закона от 27.07.2006 N 152-ФЗ о персональных данных.

Ниже приведены 15 точек контроля, распределенных по трем блокам: документация, технические аспекты, обработка данных и права субъектов.

Блок 1: Документация (точки 1-5)

Точка 1: Наличие и содержание Политики конфиденциальности

Политика конфиденциальности — обязательный документ для любого сайта, собирающего персональные данные. Инспектор проверяет:

  • наличие документа на сайте и его доступность без регистрации;
  • указание наименования и контактных данных оператора;
  • перечень обрабатываемых персональных данных;
  • цели обработки с правовыми основаниями для каждой цели;
  • сроки хранения данных;
  • порядок реализации прав субъектов ПДн;
  • сведения о передаче данных третьим лицам.

Отсутствие Политики конфиденциальности или ее несоответствие требованиям является нарушением ч. 1 ст. 18.1 ФЗ-152.

Точка 2: Уведомление об операторе в реестре РКН

Инспектор проверяет, подала ли организация уведомление об обработке персональных данных в РКН (если обязанность подать уведомление возникла). Отсутствие записи в реестре операторов на pd.rkn.gov.ru при наличии обязанности направить уведомление — нарушение ч. 1 ст. 22 ФЗ-152, влекущее ответственность по ч. 1 ст. 13.11 КоАП РФ.

Точка 3: Форма согласия на обработку персональных данных

Каждая форма сбора данных на сайте анализируется отдельно. Инспектор проверяет:

  • наличие текста согласия или ссылки на него непосредственно у формы;
  • конкретность формулировок: что именно, для чего и кем обрабатывается;
  • наличие чекбокса или иного механизма подтверждения согласия;
  • недопустимость предустановленной галочки — согласие должно быть активным действием пользователя.

Точка 4: Политика в отношении файлов cookies

Файлы cookies могут содержать персональные данные пользователей. Инспектор проверяет:

  • наличие уведомления об использовании cookies при первом посещении сайта;
  • возможность отказа от нефункциональных cookies;
  • ссылку на политику cookies или соответствующий раздел Политики конфиденциальности.

Точка 5: Контакты для обращений субъектов персональных данных

Статья 22.1 ФЗ-152 обязывает оператора обеспечить возможность обращений субъектов ПДн. На сайте должны быть указаны:

  • адрес электронной почты или контактная форма для обращений по вопросам ПДн;
  • почтовый адрес для письменных обращений;
  • наименование и должность ответственного лица (или структурного подразделения).

Блок 2: Технические аспекты (точки 6-10)

Точка 6: HTTPS и SSL-сертификат

Передача персональных данных через форму должна осуществляться по защищенному протоколу HTTPS. Инспектор проверяет наличие валидного SSL-сертификата и отсутствие предупреждений браузера о небезопасном соединении. Работа сайта по протоколу HTTP при сборе ПДн — нарушение требований к защите данных по п. 5 ч. 1 ст. 18.1 ФЗ-152.

Точка 7: Локализация персональных данных

Согласно ст. 18.1 ФЗ-152 (в редакции поправок 2022 года), при сборе персональных данных граждан РФ первичная запись должна осуществляться в базах данных, расположенных на территории Российской Федерации. Инспектор может запросить информацию о хостинге. Размещение сайта на зарубежном хостинге без российской копии базы данных — нарушение требований локализации.

Точка 8: Передача данных третьим лицам (аналитика, CRM, счетчики)

Использование Google Analytics, Яндекс.Метрики, пикселей социальных сетей, CRM-систем, чат-сервисов предполагает передачу персональных данных третьим лицам. Инспектор проверяет:

  • раскрыт ли факт передачи данных третьим лицам в Политике конфиденциальности;
  • получено ли согласие пользователя на такую передачу;
  • заключены ли договоры поручения с третьими лицами.

Точка 9: Формы обратной связи — набор полей и согласие

Инспектор анализирует каждую форму на сайте (заявка, обратный звонок, подписка, регистрация). Проверяется:

  • соответствие набора полей принципу минимизации данных — не запрашиваются поля, не нужные для цели обработки;
  • наличие согласия непосредственно у каждой формы;
  • корректность ссылок на Политику конфиденциальности.

Точка 10: Меры защиты от несанкционированного доступа

При выездной или углубленной проверке инспектор оценивает технические и организационные меры защиты информационных систем. Дистанционно проверяется наличие описания применяемых мер в Политике конфиденциальности или соответствующих документах.

Блок 3: Обработка данных и права субъектов (точки 11-15)

Точка 11: Сроки хранения данных

В Политике конфиденциальности должны быть указаны конкретные сроки хранения данных для каждой цели обработки. Формулировки без указания конкретных сроков признаются недостаточными. Сроки должны быть обоснованы законодательством или внутренними регламентами.

Точка 12: Механизм отзыва согласия

Статья 9 ФЗ-152 гарантирует субъекту ПДн право отозвать согласие на обработку данных. Инспектор проверяет:

  • наличие информации о порядке отзыва согласия;
  • доступность механизма отзыва (ссылка, форма, контактный email);
  • отсутствие необоснованных условий для отзыва согласия.

Точка 13: Обработка данных несовершеннолетних

Если сайт ориентирован на аудиторию несовершеннолетних или допускает их регистрацию, необходимы дополнительные меры: согласие родителей или законных представителей для лиц младше 14 лет. Инспектор проверяет наличие соответствующих условий в пользовательском соглашении и политике конфиденциальности.

Точка 14: Email-рассылки — наличие механизма отписки

Если сайт осуществляет рассылку рекламных или информационных писем, инспектор проверяет:

  • наличие в каждом письме ссылки для отписки (требование ФЗ-38 о рекламе и ФЗ-152);
  • работоспособность механизма отписки;
  • получение явного согласия на получение рассылки при подписке.

Точка 15: Трансграничная передача данных — раскрытие информации

С марта 2023 года введены новые требования к трансграничной передаче ПДн. Если оператор передает данные за рубеж, он обязан:

  • уведомить РКН о намерении осуществлять трансграничную передачу;
  • раскрыть на сайте информацию о странах, в которые передаются данные;
  • убедиться, что иностранное государство обеспечивает адекватную защиту ПДн, либо получить разрешение РКН.

Типичные нарушения и штрафы

Нарушение Статья КоАП РФ Штраф для юрлица
Обработка ПДн без согласия субъекта ч. 2 ст. 13.11 от 30 000 до 150 000 руб.
Обработка специальных категорий ПДн без согласия ч. 2.1 ст. 13.11 от 100 000 до 300 000 руб.
Непредоставление субъекту ПДн информации об обработке ч. 4 ст. 13.11 от 30 000 до 60 000 руб.
Неисполнение обязанности по уведомлению РКН ч. 1 ст. 13.11 от 30 000 до 100 000 руб.
Нарушение требований локализации данных ч. 8 ст. 13.11 от 1 000 000 до 6 000 000 руб.
Повторное нарушение требований локализации ч. 9 ст. 13.11 от 6 000 000 до 18 000 000 руб.
Утечка данных от 1 тыс. до 10 тыс. субъектов ч. 10 ст. 13.11 от 3 000 000 до 5 000 000 руб.
Утечка данных свыше 100 тыс. субъектов ч. 12 ст. 13.11 от 10 000 000 до 15 000 000 руб.

С 30 мая 2025 года вступили в силу поправки в КоАП РФ, существенно увеличившие штрафы за нарушения в сфере персональных данных. Введены оборотные штрафы за утечки данных: до 3% от годовой выручки компании, но не менее 15 миллионов рублей.

Проверьте свой сайт прямо сейчас

Пройдите по 15 точкам контроля из этой статьи и оцените, как ваш сайт выглядит с точки зрения инспектора РКН. Если вы обнаружили несоответствия — не откладывайте их устранение: дистанционные проверки сайтов проводятся регулярно, и выявленные нарушения влекут реальные штрафы.

Специалисты 152fzpro.ru проведут аудит вашего сайта, подготовят полный пакет документации и помогут устранить нарушения до того, как на них обратит внимание регулятор.

Частые вопросы при проверке сайта

На практике у операторов возникает ряд типичных вопросов при подготовке к дистанционной проверке сайта. Рассмотрим наиболее распространенные из них.

Нужна ли отдельная политика cookies или достаточно упомянуть их в Политике конфиденциальности?

Законодательство не требует обязательного наличия отдельного документа о cookies. Достаточно включить соответствующий раздел в основную Политику конфиденциальности. Однако при использовании нескольких видов cookies (функциональные, аналитические, маркетинговые) рекомендуется предусмотреть механизм раздельного согласия на каждую категорию.

Обязательно ли размещать Политику конфиденциальности на каждой странице?

Нет, достаточно разместить ссылку на Политику в нижнем колонтитуле (футере) сайта, обеспечив ее доступность с любой страницы. Важно, чтобы ссылка была видимой и кликабельной. Дополнительно ссылку необходимо размещать непосредственно рядом с каждой формой сбора данных.

Что делать, если данные пользователей хранятся в иностранной CRM-системе?

Использование иностранных CRM-систем (Salesforce, HubSpot и аналогичных) означает трансграничную передачу персональных данных. С марта 2023 года оператор обязан предварительно уведомить РКН о планируемой трансграничной передаче в порядке ст. 12 ФЗ-152. Параллельно необходимо обеспечить первичную запись данных на российских серверах.

Порядок действий при обнаружении нарушений после проверки сайта

Если в ходе самопроверки вы обнаружили нарушения, действуйте по следующему алгоритму:

  1. Зафиксируйте нарушения в письменном виде с указанием даты выявления. Это важно для демонстрации добросовестности при взаимодействии с РКН.
  2. Определите приоритеты устранения. Нарушения, связанные с отсутствием согласия или незаконной обработкой данных, устраняются в первую очередь.
  3. Обновите документацию и разместите актуальные версии документов на сайте. Убедитесь, что старые версии удалены или заменены.
  4. Проверьте технические настройки: формы, чекбоксы согласия, настройки файлов cookies, протокол HTTPS.
  5. Задокументируйте факт устранения — сохраните скриншоты с датой, внутренние акты о проведенных изменениях.
  6. При наличии предписания — направьте в РКН отчет об исполнении в установленный срок с приложением подтверждающих документов.

Итого: 15 точек контроля и что с ними делать

Дистанционная проверка сайта Роскомнадзором — это системная проверка по понятным и предсказуемым критериям. Все 15 точек контроля поддаются самостоятельной оценке и, при необходимости, самостоятельному исправлению. Ключевое условие — начать работу заблаговременно, не дожидаясь уведомления о проверке.

Помните: отсутствие нарушений при проверке не только избавляет от штрафов, но и снижает категорию риска, уменьшая частоту последующих плановых проверок. Это долгосрочная инвестиция в безопасность вашего бизнеса.

Как инспектор РКН проверяет мобильное приложение

Если организация использует мобильное приложение для взаимодействия с пользователями, инспектор применяет аналогичные критерии оценки, но с рядом специфических особенностей.

Особенности проверки мобильных приложений

  • Политика конфиденциальности должна быть доступна до установки приложения (на странице в App Store / Google Play) и после установки в интерфейсе самого приложения;
  • Запрос разрешений: приложение не должно запрашивать доступ к данным устройства (геолокация, камера, контакты), не связанным с его функционалом;
  • Согласие на обработку ПДн должно быть получено до начала сбора данных, а не автоматически при установке приложения;
  • Push-уведомления с рекламным содержанием требуют отдельного согласия;
  • Передача данных в аналитические системы (Firebase, Amplitude, AppsFlyer) должна быть раскрыта в Политике конфиденциальности.

Самопроверка сайта: пошаговый алгоритм

Для проведения самопроверки по 15 точкам контроля используйте следующий алгоритм:

  1. Откройте сайт в режиме инкогнито (без авторизации, без кеша) и начните с главной страницы. Именно так видит сайт инспектор.
  2. Проверьте футер сайта: должна быть ссылка на Политику конфиденциальности и контактные данные оператора.
  3. Откройте Политику конфиденциальности и проверьте ее по 12 обязательным элементам (ст. 14, 18, 18.1 ФЗ-152).
  4. Заполните каждую форму на сайте — убедитесь, что есть чекбокс согласия и ссылка на документ.
  5. Проверьте cookie-баннер: появляется ли при первом визите, есть ли возможность отказаться.
  6. Проверьте протокол соединения: в адресной строке браузера должен быть замок и протокол HTTPS.
  7. Проверьте реестр РКН: найдите свою организацию на pd.rkn.gov.ru и убедитесь в актуальности сведений.
  8. Проверьте email-рассылку: отправьте себе тестовое письмо и убедитесь, что в нем есть ссылка для отписки.

Штрафы 2025-2026: новые санкции

С мая 2025 года вступил в силу новый пакет поправок в КоАП РФ, существенно изменивший систему санкций за нарушения в сфере персональных данных. Ключевое нововведение — оборотные штрафы за утечки данных, привязанные к выручке организации, а не к фиксированным суммам.

Важно: новые штрафы применяются только к нарушениям, совершенным после даты вступления поправок в силу. За нарушения, совершенные до этой даты, применяются прежние санкции. Это необходимо учитывать при оценке рисков и формировании правовой позиции.

Дополнительные точки контроля для интернет-магазинов

Интернет-магазины и e-commerce платформы имеют ряд специфических точек контроля, которые инспектор проверяет в дополнение к стандартному перечню из 15 пунктов.

Программы лояльности и бонусные карты

При регистрации в программе лояльности собираются персональные данные, включая историю покупок, предпочтения и контактные данные. Инспектор проверяет: получено ли отдельное согласие на обработку данных в рамках программы лояльности, раскрыты ли цели использования данных о покупках для таргетированных предложений, обеспечена ли возможность выйти из программы и получить обратно или удалить свои данные.

Доставка и передача данных курьерским службам

Оформление доставки предполагает передачу ФИО, адреса и телефона покупателя курьерской службе. Это передача данных третьему лицу-обработчику. Инспектор проверяет: заключен ли договор поручения с курьерской службой, раскрыта ли эта передача в Политике конфиденциальности, ограничено ли использование данных курьером только целями доставки.

Онлайн-оплата и передача данных платежным системам

При онлайн-оплате данные банковской карты обрабатываются платежной системой. Инспектор проверяет, раскрыта ли эта передача в документах на сайте и получено ли соответствующее согласие покупателя.

Полезные ресурсы для самопроверки

При проведении самопроверки сайта можно использовать следующие открытые ресурсы:

  • pd.rkn.gov.ru — реестр операторов персональных данных. Проверьте наличие и актуальность записи вашей организации;
  • Сайт РКН rkn.gov.ru — публикует разъяснения, типовые нарушения и рекомендации;
  • Приказ ФСТЭК N 21 — требования к защите персональных данных в информационных системах;
  • Методические документы РКН — рекомендации по содержанию Политики конфиденциальности и иных документов.

Регулярное обращение к этим ресурсам поможет отслеживать изменения требований и своевременно актуализировать документацию на сайте.