Веб-сайт компании в 2026 году: что инспектирует Роскомнадзор и как не получить штраф

До 2025 года проверка веб-сайта на соответствие требованиям РКН была быстрее реакцией на жалобу. На данный момент механизм иной: ИИ-сканер обходит веб-сайты круглые сутки без извещений. Нарушение фиксируется в момент обхода – за длительное время до того, как кто-то успеет посетовать.

Ценовой вопросец сейчас стоит по другому. Одна утечка данных обходится юридическому лицу до 15 млн рублей; если нарушение повторилось – счет идет на 3% годичный выручки. Для аккредитованных ИТ-компаний разрыв еще более: веб-сайт не соответствует Приказу Минцифры № 511 – льготный налог на прибыль 0–3% ворачивается к обычным 20%.

Три конфигурации, которые изменили правила игры

Ручных проверок больше нет. С 30 мая 2025 года работает автосканер РКН, который без предупреждений обходит формы, JavaScript-скрипты (счетчики, чат-боты), баннеры cookie, реквизиты и политику конфиденциальности – все сопоставляется с требованиями ГОСТ Р 52872-2019. Операторы индивидуальных данных из реестра попадают под проверку любой месяц, другие – раз в квартал.

Где стоит сервер – сейчас юридический вопросец. С 1 июля 2025 года данные людей РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина) можно держать лишь на оборудовании, на физическом уровне размещенном в Рф. Страна регистрации провайдера значения не имеет: русское юрлицо у забугорного хостера нарушение не снимает. Выход один – если у забугорного провайдера есть свой дата-центр на местности РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина).

Доступность в главном дизайне. С 1 марта 2026 года вступают в силу требования ГОСТ Р 52872-2019. Отдельная клавиша с контрастным режимом перестает засчитываться: инструменты доступности должны работать в главном интерфейсе, а не в отдельном режиме.

Перед тем как погружаться в детали, можно пройтись по чеклисту из 30 пт – там любой раздел разобран по шагам со ссылками на нормативную базу.

Четыре точки риска: индивидуальные данные

Тут штрафы самые суровые: ст. 13.11 КоАП РФ (Российская Федерация — государство в Восточной Европе и Северной Азии, наша Родина) предугадывает от 300 000 до 700 000 рублей, а доказанная утечка данных тянет уже на 15 млн.

Политика обработки индивидуальных данных (ФЗ-152)

Структура документа закреплена: 6 неотклонимых разделов – цели и основания обработки (согласие, контракт либо закон), список категорий данных, сроки их хранения, права юзеров и контакты для воззваний. Скачать готовый шаблон и подставить реквизиты – означает сделать делему: РКН инспектирует определенные формулировки и даты. Чужой телефон в документе – и жалоба клиента уйдет не туда.

Согласие на обработку индивидуальных данных

Форма согласия обязана соответствовать 5 требованиям. Чекбокс – лишь пустой: атрибут checked в HTML фиксируется системой РКН автоматом. Формулировка цели обязана быть определенной – «согласен с политикой» не засчитывается. Верный вариант: «Даю согласие на обработку индивидуальных данных с целью получения рассылки». Добавочно: согласие добровольческое, предусмотрен отзыв, в тексте есть ссылка на политику конфиденциальности.

Извещение в Роскомнадзор

Как на веб-сайте возникает поле для ввода ФИО, email, телефона либо адреса – возникает обязанность зарегистрироваться оператором на pd.rkn.gov.ru. За отсутствие регистрации: от 150 000 до 300 000 рублей штрафа. Наименее тривиальный момент: счетчики Yandex Метрики и Гугл Analytics фиксируют IP-адреса, которые закон относит к индивидуальным данным. Даже сайт-визитка без единой формы, но с аналитикой – уже оператор.

Извещение о использовании cookie

С марта 2025 года отсутствие cookie-баннера с клавишей отказа – нарушение. Минимум по российскому законодательству: клавиши «Принять все» и «Опции», возможность раздельно отключить рекламные и аналитические трекеры, ровная ссылка на политику конфиденциальности в самом баннере. Требования мягче евро GDPR, но одно правило работает идиентично: юзер отказался – его данные недозволено передавать маркетинговым системам.

Юридическая идентификация: реквизиты в футере

Ст. 14.5 КоАП – одно из самых обычных требований, но нарушается размеренно. 5 неотклонимых позиций в футере: полное наименование, организационно-правовая форма, ОГРН либо ОГРНИП, ИНН и юридический адресок.

Любая отсутствующая позиция – штраф от 20 000 до 30 000 рублей для юридических лиц, от 10 000 до 20 000 рублей для должностных. Правило действует для хоть какого онлайн-присутствия компании: корпоративный веб-сайт, лендинг, одностраничник.

Технические требования: хостинг, SSL и доступность

Русский хостинг

С июля 2025 года данные юзеров недозволено хранить на серверах за пределами Рф – это касается хостинга, CDN и пасмурных сервисов без русской инфраструктуры. Инспектор глядит на физическое размещение оборудования, а не на юриспунденцию провайдера. Нарушение: юридическое лицо – от 1 до 3 млн рублей, должностное – от 3 000 до 5 000 рублей.

SSL-сертификат

Работа по HTTP для веб-сайтов с формами – нарушение. Неотклонимые характеристики: протокол TLS 1.2 и выше, работающий сертификат без предупреждений браузера, автоматический редирект с HTTP на HTTPS.

Доступность (ГОСТ Р 52872-2019)

С марта 2026 года базисный эталон для всех веб-сайтов – ГОСТ Р 52872-2019 в полном объеме: alt-атрибуты у изображений, контраст текста минимум 4.5:1, навигация с клавиатуры, поддержка скринридеров, масштабирование до 200% без горизонтального скролла.

Для аккредитованных ИТ-компаний: Приказ Минцифры № 511

Приказ Минцифры № 511 вступил в силу 21 ноября 2025 года. Аккредитованные ИТ-компании должны расположить на веб-сайте: коды ОКВЭД из реестра Минцифры, описание товаров на российском языке, определенные тарифы – варианты «по запросу» и «договорная» не соответствуют требованиям, – данные о круглосуточной поддержке и сведения о аккредитации.

Механизма автоматического исключения из реестра пока нет – но плановая проверка аккредитации включает анализ веб-сайта. Инспектор может запросить снимок экрана, и несоответствие требованиям становится основанием отказать в продлении. Без аккредитации: налог на прибыль – обычные 20% заместо 0–3%, страховые взносы – 30% заместо 7,6%.

Штрафы: сколько стоит ошибка

Что созодать, если уже пришло предупреждение от РКН

Утечка – это не то, о чем можно промолчать. Ч. 3 ст. 13.11 КоАП обязует оператора уведомить РКН в течение суток. Если инцидент задокументирован в логах либо поступили жалобы юзеров, а оператор молчит – это самостоятельный состав правонарушения с наибольшим штрафом.

Последовательность шагов: зафиксировать инцидент, выслать извещение в РКН, оповестить пострадавших, запустить внутреннее расследование и закрыть причину нарушения.

Результат

Проверки стали автоматическими, штрафы – существенными. Большая часть нарушений устраняются за один рабочий денек: добавить реквизиты в футер, настроить чекбокс согласия, обновить политику конфиденциальности. Труднее с хостингом и доступностью – их лучше заложить в план на ближний квартал.