ГрамотаИБ ГрамотаИБ

Роскомнадзор проверяет сайты автоматически: что сканирует и как пройти без предписания

25.06.2026

В 2025 году Роскомнадзор перешёл к автоматизированному мониторингу сайтов и массово рассылает операторам требования и предписания — без выездной проверки. Разбираем, что именно проверяется на сайте (опубликованная политика обработки ПДн, формы сбора согласия и чек-боксы, уведомление в реестре операторов, локализация баз данных в России, иностранные счётчики и сервисы), как самостоятельно пройти этот чек-лист и закрыть нарушения бесплатно, чтобы не получить штраф.

В 2025 году контроль Роскомнадзора всё больше смещается в сторону дистанционного наблюдения: регулятор анализирует сайты без взаимодействия с оператором и массово направляет требования об устранении нарушений и предостережения. Многое выявляется автоматизированно — по открытым данным сайта, — а решения и меры принимают уже должностные лица. Хорошая новость: почти всё, что видно при таком наблюдении, закрывается самостоятельно и бесплатно. Разберём, на что смотрят и как пройти проверку заранее.

Что такое дистанционное наблюдение

Это контроль без взаимодействия с оператором: проверяются видимые, формальные признаки соблюдения 152-ФЗ по открытой части сайта — наличие документов, корректность форм, передача данных. Внутренние процессы при таком наблюдении не видны, а сайт виден полностью. Поэтому первая линия риска для большинства компаний — именно публичная часть: главная страница, формы заявок, подписки, обратной связи.

Что проверяют на сайте: чек-лист

  • Политика обработки ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). опубликована и доступна. Документ, определяющий политику обработки, должен быть размещён в открытом доступе (часть 2 статьи 18.1 152-ФЗ). На практике это рабочая ссылка «Политика обработки персональных данных» на каждой странице, где есть форма сбора данных. Битая ссылка или отсутствие документа — самое частое нарушение.
  • Формы сбора данных оформлены правильно. Рядом с формой — чек-бокс согласия, не отмеченный по умолчанию, и ссылка на политику. Согласие при этом не единственное основание обработки (статья 6 152-ФЗ), но для рекламных рассылок нужно отдельное предварительное согласие адресата — этого требует не только 152-ФЗ, но и статья 18 Закона о рекламе. Общая галочка «согласен со всем» не подходит.
  • Подано уведомление в Роскомнадзор. Оператор должен быть в реестре операторов. Его наличие легко проверяется автоматически по ИНН — об этом отдельная статья «Уведомление в Роскомнадзор об обработке ПДн».
  • Данные россиян хранятся в России. При сборе ПДн граждан РФ первичная запись и хранение должны идти в базы на территории России (часть 5 статьи 18 152-ФЗ). Если формы или CRM с такими данными размещены на зарубежных серверах, это конфликтует с требованием о локализации.
  • Иностранные счётчики и сервисы. Зарубежная веб-аналитика и виджеты, передающие данные посетителей за границу, создают вопросы по трансграничной передаче, cookie и согласиям (а если через них идёт сбор ПДн россиян — то и по локализации). Это частый повод для претензии.
  • Минимизация данных. Форма не должна требовать лишнего — только то, что нужно для заявленной цели. Поле «паспорт» в форме обратного звонка вызовет вопросы.
  • Cookie и трекеры. Если сайт использует cookie и трекеры, посетителя информируют об этом и о целях.

Как проверить себя бесплатно

Откройте свой сайт глазами инспектора и пройдитесь по списку выше. Конкретно:

  • Кликните ссылку на политику с разных страниц — открывается ли документ.
  • Заполните свою же форму заявки и посмотрите: есть ли чек-бокс, ссылка на политику, отдельная галочка для рассылки.
  • Проверьте себя в реестре операторов на сайте Роскомнадзора по ИНН.
  • Уточните у хостинг-провайдера и в настройках CRM, где физически хранятся данные форм.
  • Посмотрите подключённые счётчики и виджеты — нет ли передачи данных за рубеж.

Что будет, если найдут нарушение

По итогам наблюдения оператор может получить требование об устранении, предостережение, запрос пояснений или стать объектом дальнейших контрольных действий — с конкретным сроком на реакцию. Само по себе это ещё не штраф, но игнорирование и неустранение нарушений ведут к административной ответственности, суммы которой выросли в 2025 году (об этом — в статье «Штрафы за персональные данные»). Поэтому дешевле закрыть формальные пункты заранее, чем реагировать в сжатый срок.

Как закрыть нарушения

  • Нет политики или ссылка битая — опубликуйте политику и поставьте рабочую ссылку на всех страницах с формами; как её составить — в статье «Как разработать политику обработки ПДн».
  • Форма без согласия — добавьте неотмеченный чек-бокс и ссылку на политику, отдельное согласие на рассылку; виды согласий — в статье «Согласие на обработку ПДн».
  • Не подано уведомление — подайте его бесплатно через сайт РКНРоскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций; надзор за обработкой ПДн..
  • Данные за рубежом — перенесите хранение в Россию; нюансы внешних хранилищ — в статье «Политика ПДн для сайта на внешнем хранилище».

Типичные ошибки

  • Политика есть, но ссылки нет. Документ лежит в файлах, но на сайте на него не сослаться — для робота это отсутствие политики.
  • Галочка по умолчанию. Чек-бокс согласия отмечен заранее — это не считается надлежащим согласием.
  • Одна галочка на всё. Согласие на обработку и на рекламную рассылку слиты в один пункт.
  • Зарубежный хостинг и аналитика. Данные форм уходят на иностранные серверы без учёта локализации.
  • Игнор требования. Письмо РКН осталось без ответа — и формальное нарушение превращается в штраф.

Главное

Автоматизированный мониторинг проверяет публичную часть сайта: опубликованную политику и рабочую ссылку на неё, корректные формы согласия, наличие в реестре операторов, локализацию данных в России и иностранные сервисы. Всё это можно проверить и закрыть самостоятельно и бесплатно, не дожидаясь предписания. Самая дешёвая стратегия — пройти чек-лист заранее: документы и формы стоят ноль рублей, а штраф за их отсутствие — нет. ГрамотаИБ помогает собрать политику, согласия и уведомление под ваш сайт и проверить готовность к контролю — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Персональные данные в 1С: кто оператор, облако или свой сервер и как не попасть на штраф

В 1С почти всегда есть персональные данные — зарплата и кадры, клиенты, контрагенты-физлица. Значит, это ИСПДн со своими требованиями 152-ФЗ. Разбираем, кто здесь оператор (вы, а не фирма 1С и не хостер), чем с точки зрения закона отличается локальная 1С на своём сервере от облачной аренды (1С в облаке, хостинг, 1С:Фреш), почему облачный провайдер — это обработчик и нужно поручение на обработку с локализацией данных в России, какие документы оформить и на чём экономия превращается в штраф.

Уведомление в Роскомнадзор об обработке персональных данных: кому обязательно и как подать

Уведомление об обработке персональных данных — первый и самый дешёвый шаг к соответствию 152-ФЗ. После реформы 2022 года почти все операторы обязаны подавать его, включая ИП и работодателей, обрабатывающих данные своих сотрудников. Разбираем, кто обязан уведомлять и какие исключения статьи 22 ещё остались, как подать уведомление бесплатно через сайт Роскомнадзора или Госуслуги, что в нём указать и какой штраф грозит за неподачу (статья 13.11 КоАП РФ).

Бумага и ИСПДн: что хранить, сколько и когда уничтожать персональные данные

Клиент подписал согласие и договор на бумаге, а данные внесли в информационную систему. Нужно ли после этого уничтожать оригиналы документов и сколько их хранить? Когда и как удалять данные из ИСПДн? Разбираем жизненный цикл персональных данных на двух носителях сразу: зачем хранить бумажный оригинал как доказательство законности обработки, какие сроки хранения у согласий и договоров, когда наступает обязанность уничтожить данные (30 дней по статье 21 152-ФЗ) и как оформить уничтожение по Приказу Роскомнадзора №179.

Обработка персональных данных соискателей при найме: согласие, кадровый резерв и сроки

Как работодателю законно обрабатывать персональные данные соискателей на этапе найма: на каком основании можно рассматривать резюме без отдельного согласия, почему хранение резюме в кадровом резерве требует отдельного согласия и срока, когда нужно согласие на проверку кандидата, принцип минимизации данных и сроки удаления после отказа. Типичные нарушения, за которые штрафует Роскомнадзор.