Как проверить сайт на соответствие законодательству

С каждым годом законодательные проверки сайтов России усиливаются, и особенно активно в этом смысле проявляет себя Роскомнадзор. Эти проверки актуальны и для владельцев компьютерных клубов, которым нужно соблюдать немало важных законов. В новой статье поговорим о том, как подготовить ваши сайты к таким проверкам и избежать штрафов.

Введение

Что проверяет Роскомнадзор на сайтах

Проверка РКН охватывает три ключевых направления сайтов: 

• Юридическую документацию;
• Технические меры защиты; 
• Соблюдение организационных процедур. 

Штрафы за нарушения 

• Закона «О персональных данных» (152-ФЗ). За неуведомление Роскомнадзора об утечке данных предусмотрен штраф для юрлиц от 1 до 3 млн рублей. За утечку данных от 1 000 субъектов — от 3 до 5 млн рублей, от 10 000 субъектов — от 5 до 10 млн рублей, более 100 000 субъектов — от 10 до 15 млн рублей. При повторной утечке возможен оборотный штраф (до 500 млн рублей).
• Закона «О рекламе» (38-ФЗ). До 500 000 рублей для юридических лиц за отсутствие маркировки интернет-рекламы;
• Закона «Об информации, информационных технологиях и защите информации» (149-ФЗ). За отсутствие ключевых данных о компании (ИНН, контактные данные и тд) штраф для для юридических лиц  может составить от 30 000 до 40 000 рублей. А ещё сайт или отдельные страницы могут заблокировать при размещении на них запрещенной информации. 
• Закона «О защите русского языка» (168-ФЗ). Штраф может составить до 40 тысяч рублей для юридических лиц и до 1000 рублей для ИП (тут, правда, за проверки отвечает Роспотребнадзор).

Закон о персональных данных

Нарушение этого закона грозит не только штрафами, но и потенциальной уголовной ответственностью должностных лиц в случае утечки данных. В прошлом году штрафы за это получили даже РЖД и Почта России, так что от гнева РКН не застрахован никто.

Подобные инциденты грозят не только финансовыми проблемами, но и потерей репутации. Утечка клиентской базы или публичная жалоба в РКН — это история, которая быстро разлетается по СМИ и тематическим каналам. Восстановить доверие после такого инцидента обходится значительно дороже, чем заблаговременно привести сайт в соответствие с требованиями.

Для компьютерных клубов и других сервисных бизнесов это особенно актуально: они работают с данными клиентов напрямую, собирают контакты при регистрации, принимают онлайн-заявки на бронь и так далее. К тому же у крупных компаний есть штатные юристы и ресурсы на урегулирование потенциальных проблем, у вот у малого бизнеса — вряд ли.

Закон о рекламе

С 1 сентября 2025 года запрещено размещать рекламу на ресурсах организаций, деятельность которых запрещена в России. В этот список включены и Instagram с Facebook, принадлежащие Meta, признанной экстремистской организацией в РФ. 

Вся интернет-реклама подлежит передаче в Единый реестр интернет-рекламы (ЕРИР) с присвоением токена — уникального идентификатора (буквенно-цифровой код, который нужен для регистрации и отслеживания в ЕРИР). Требование распространяется на любые форматы: баннеры, нативные интеграции и даже посты блогеров. А ещё запрещено рекламировать некоторые товары и услуги — как VPN-сервисы. 

Кроме того, тематические материалы должны содержать понятную пометку о рекламе, сведения о рекламодателе и идентификатор рекламы, если он требуется для конкретного формата размещения.

Закон о локализации персональных данных

С 1 июля 2025 года требование о локализации персональных данных граждан России на отечественных серверах стало обязательным к исполнению в полном объёме. При выборе хостинга важно проверить, где физически размещаются базы данных с персональными данными, какие меры защиты применяются и как организовано резервное копирование. Для отдельных категорий информационных систем могут действовать дополнительные требования к защите информации. 

Для коммерческих организаций домены .ru и .рф могут быть удобны с точки зрения доверия пользователей и региональной идентификации сайта. 

Основные требования к сайтам

Техническая защита сайта

• SSL-сертификат (цифровой паспорт сайта, подтверждает его подлинность). Сайт должен работать по протоколу HTTPS (защищенная версия протокола HTTP), тогда как SSL шифрует передачу данных между браузером пользователя и сервером. Без этого любые данные, которые вводит пользователь в форму, передаются в открытом виде. Отсутствие HTTPS повышает риск перехвата данных и может быть расценено как недостаточная мера защиты. 
• Разграничение доступа. К базе с данными пользователей не должны иметь доступ все сотрудники. Настройки прав доступа — часть обязательной инфраструктура безопасности. На практике это означает, что условный админ видит имя и телефон клиента, но не имеет доступа к его платежной истории или технической информации аккаунта.
• Локализация данных. Требование о локализации персональных данных граждан России действует с 2015 года. При сборе данных через сайт оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории РФ. 
• Нужны технические меры, препятствующие несанкционированному доступу: антивирусная защита, мониторинг подозрительной активности. Конкретный уровень защиты зависит от категории обрабатываемых данных и фиксируется в модели угроз — документе, который описывает актуальные риски для вашей конкретной системы.
• Передача данных третьим лицам. Если у вас присутствует процесс передачи данных в аналитические сервисы, Customer Relationship Management (CRM)-системы или другие платформы, это должно быть отражено в документации. Третьи лица должны обеспечивать аналогичный уровень защиты — это закрепляется договором поручения на обработку персональных данных. Без такого договора даже добросовестное взаимодействие с подрядчиком формально является нарушением.

Юридическая сторона соответствия

• Политика конфиденциальности. На каждом сайте должна быть публичная политика конфиденциальности. Она описывает: какие данные собираются, с какой целью, как хранятся, кому передаются, как пользователь может отозвать согласие. Документ должен быть написан понятным языком, не копируйте его суть откуда-то ещё (вам могут не подходить чужие условия).
• Согласие пользователя. Каждая форма сбора данных должна содержать явное, и добровольное согласие пользователя. Галочка, проставленная заранее в чекбоксе формы согласия — грубое нарушение.
• Уведомление Роскомнадзора. Оно должно быть подано в Роскомнадзор ДО начала обработки данных. После поправок 2022 года исключений стало существенно меньше — большинство операторов обязаны состоять в реестре РКН. 
• Внутренний регламент. Регламент обработки персональных данных — внутренний документ, который описывает процедуры работы с данными внутри компании: кто отвечает, как обучают сотрудников, что делать при инциденте. Без него невозможно доказать, что вы как оператор персональных данных принимаете разумные меры защиты.

К чему ещё могут возникнуть вопросы 

Обязательная информация о компании

Требование размещать на сайте полные реквизиты распространяется на все типы ресурсов — от многостраничных корпоративных порталов до лендингов. 

Обязательный перечень:

• Полное наименование организации (в соответствии с учредительными документами);
• Организационно-правовая форма;
• Юридический адрес;
• ОГРН и ИНН;
• Контактные данные: телефон и электронная почта;
• Сведения о лицензиях, если деятельность лицензируется;
• Код деятельности ОКВЭД;
• Конкретные коды видов деятельности в области IT, которые ваша компания осуществляет согласно Перечню видов деятельности Минцифры (Для IT-компаний). 

Сведения размещаются на отдельной странице с прямой ссылкой в футере (в нижней части сайта) и рядом с каждой формой сбора данных. Текст должен быть понятным любому человеку, в него не советуют включать избыточный юридический жаргон.

Публичная информация должна быть на русском языке

Наименования и названия у разных видов бизнеса в публичном поле должны быть представлены на русском языке. 

Веб-доступность

Российский ГОСТ «Интернет-ресурсы и другая информация, представленная в электронно-цифровой форме» (ГОСТ Р 52872-2019) устанавливает три уровня соответствия требованиям доступности для людей с инвалидностью и иными ограничениями жизнедеятельности: базовый (A), расширенный (AA) и максимальный (AAA). 

Для большинства коммерческих сайтов эти требования не являются универсальной обязательной нормой. Но соблюдение базовых принципов доступности снижает риски. 

• Воспринимаемость — текстовые альтернативы для нетекстового контента (изображений, видео, аудио);
• Адаптируемость — возможность изменить представление контента без потери информации;
• Управляемость — доступность всех функций с клавиатуры, удобная навигация;
• Понятность — читаемость текста, предсказуемость поведения интерфейса.

Проверьте корректную работу alt-тегов (по сути — название для картинок) у изображений, возможность заполнить все формы без мыши и дружелюбность интерфейса.

Требования для IT-компаний и аккредитации

Для IT-компаний, использующих льготы и государственную аккредитацию, действуют отдельные требования Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации: по структуре выручки, профильной деятельности и отчетности.

На сайте должны быть указаны обязательные сведения о компании (об этом упоминали парой разделов выше) на русском языке. Сами требования регулируются положением об аккредитации (Постановление правительства РФ №1729) и приказом Минцифры России №511. 

Кроме того, нужно детально описать вид деятельности компании в сфере IT:

• Ваши продукты и услуги. К слову, ОКВЭД обязательно должен относиться к сфере информационных технологий — речь идёт о 62 и 63 классах (разработка ПО, консультирование в данной области, деятельность по обработке данных и размещение информации);
• Ваши проекты (портфолио);
• Если ваша компания связана с ПО или базами данных, то на сайте всё должно обязательно соответствовать и закону 152-ФЗ.

Если компания нарушает условия аккредитации или предоставляет недостоверные сведения, это может привести:

• К потере аккредитации;
• Отмене налоговых льгот (7,6% вместо 30% по страховым взносам, 0% налога на прибыль вместо 20%);
• Дополнительному начислению налогов и штрафам.

Поэтому важно регулярно проверять актуальность документов и информации о компании.

Как провести аудит сайта перед проверкой 

• Шаг 1. Инвентаризация данных. Составьте список всех точек, где сайт собирает данные: форма обратной связи, форма заявки, личный кабинет, форма подписки, cookies. Для каждой точки зафиксируйте: какие данные собираются, куда отправляются, где хранятся. Удобно оформите это в виде таблицы — она же ляжет в основу реестра операций по обработке, который потребует Роскомнадзор при проверке.
• Шаг 2. Проверка технической защиты. Убедитесь, что сайт работает по HTTPS. Проверьте, где физически стоят серверы. Проверьте настройки доступа к базам данных. Проверьте, какие сторонние скрипты загружаются на сайте (аналитика, чаты) — каждый из них потенциально передаёт данные на сторонние серверы. 
• Шаг 3. Проверка юридической документации. Ответьте для этого на ряд вопросов. Есть ли политика конфиденциальности и актуальна ли она? Есть ли согласие на обработка данных на каждой форме? Соответствует ли текст согласия требованиям закона? Подано ли уведомление в Роскомнадзор? Есть ли договоры с третьими сервисами об условиях обработки данных? Кто ответственный за ПД, есть ли регламент действий в случае утечки? 

На что нужно обратить внимание в каждом разделе сайта

Типичные ошибки владельцев сайтов

За годы работы с бизнесами в сфере цифровых услуг у специалистов накопился устойчивый список типовых нарушений.

• Политика конфиденциальности скопирована с чужого сайта. Это встречается очень часто. В документе упоминаются другой сайт, другой владелец, несуществующие процессы. Такая политика не только бесполезна юридически, но и создаёт дополнительные риски.
• Галочка согласия проставлена по умолчанию. Классическая ошибка: «Я согласен» уже отмечено при открытии формы. По закону согласие должно быть активным действием пользователя. 
• Cookie-баннер есть, но не работает. Многие сайты показывают баннер с кнопкой «Принять», но при нажатии «Отклонить» скрипты аналитики всё равно загружаются. Это не соответствие, а его имитация. Проверить легко: откройте сайт в режиме инкогнито, откажитесь от cookies и посмотрите в DevTools, продолжают ли загружаться скрипты Яндекс.Метрики или Google Analytics.
• Нет договора с подрядчиками. Если заявка с сайта автоматически попадает в стороннюю CRM или колл-центр — это передача данных третьим лицам. Без договора поручения на обработку это нарушение, даже если сам подрядчик добросовестный.
• Нет уведомления в Роскомнадзор;
• Не промаркирована интернет-реклама;
• Не переведены ключевые названия (в случае клубов — наименование компании, тарифы и тому подобное);
• Данные хранятся на зарубежных серверах. 
• Нет процедуры на случай удаления данных. 

Заключение

Соответствие требованиям РКН и других государственных организаций помогает защищать бизнес. Компания, которая выстроила грамотную работу с данными, защищает себя сразу на нескольких уровнях: от штрафов и предписаний, от репутационных потерь при инцидентах, от судебных претензий пользователей.

Безопасность в техническом смысле, юридическая корректность документации и стабильная инфраструктура обработки данных — всё это вместе формирует доверие клиентов. Начните с простого: пройдитесь по собственному сайту как пользователь. 

• Есть ли понятная политика?
• Присутствует ли маркировка рекламы?
• Работает ли отказ от cookies?
• Куда попадают данные из формы обратной связи?

Ответы на эти вопросы уже покажут, где искать проблемы. Дальше — либо самостоятельный аудит по структурированному чек-листу, либо привлечение специалиста для полноценного аудита сайта по персональным данным. Это вполне достижимо — нужно только системно подойти к задаче.

И не забывайте подписываться на наши соцсети, чтобы продолжать знакомиться с полезными материалами!

• ВКонтакте;
• Telegram;
• YouTube;
• Max.