Обновлено: январь 2026

Минимальный обязательный набор для любого сайта, который собирает данные пользователей: политика конфиденциальности, согласие на обработку персональных данных, реквизиты организации, контактная информация. Для интернет-магазинов добавляется публичная оферта и правила возврата. Для всех сайтов с аналитическими счётчиками — уведомление о cookies.

Ниже — полный разбор по каждому документу: что писать, где размещать, какой штраф грозит за отсутствие. Материал актуален для ООО, ИП и самозанятых, которые ведут сайты на территории России.

Ключевые понятия: что такое 152-ФЗ и кто такой оператор ПДн

Прежде чем разбирать документы — два определения, без которых остальное не складывается в картину.

Федеральный закон №152-ФЗ «О персональных данных» — основной закон, который регулирует сбор, хранение и использование персональных данных граждан России. Именно он обязывает любой сайт, собирающий данные пользователей, иметь политику конфиденциальности и получать согласие на обработку данных. Нарушение 152-ФЗ влечёт административную ответственность по ст. 13.11 КоАП РФ.

Оператор персональных данных — это любая организация или физическое лицо, которые самостоятельно или совместно с другими определяют цели и способы обработки персональных данных (ст. 3 152-ФЗ). Проще говоря: если у вас на сайте есть форма обратной связи или установлена Яндекс Метрика — вы уже оператор ПДн, и закон распространяется на вас в полной мере. Статус оператора не зависит от размера бизнеса: ИП, самозанятый, небольшое ООО — всё равно оператор.

Главный вывод: если ваш сайт собирает хотя бы одно поле (имя, email, телефон) или на нём установлен счётчик посещений — вы оператор персональных данных по 152-ФЗ и обязаны соблюдать все требования закона, независимо от размера бизнеса.

Что проверяет Роскомнадзор в 2026 году

Роскомнадзор (РКН) — основной регулятор в сфере персональных данных. С 2023 года ведомство существенно усилило контрольную функцию: число внеплановых проверок выросло, а суммы штрафов после поправок в КоАП, внесённых в том числе Федеральным законом от 08.08.2024 №258-ФЗ, увеличились кратно.

Кто в первую очередь попадает в зону риска:

  • интернет-магазины с формами заказа и регистрации
  • сервисы с личным кабинетом
  • лендинги с формами заявок и обратной связи
  • сайты, передающие данные за рубеж (использование Google Analytics, зарубежных CRM)

Проверки бывают плановые (по реестру операторов персональных данных) и внеплановые — по жалобам пользователей. Именно жалобы физических лиц стали основным триггером в 2024–2025 годах. Один недовольный клиент, который знает свои права, может запустить проверку.

Полный список обязательных документов для сайта

# Документ Основание Для кого обязателен Штраф за отсутствие
1 Политика конфиденциальности 152-ФЗ ст. 18.1 Все сайты с формами и счётчиками до 300 000 руб.
2 Согласие на обработку ПДн 152-ФЗ ст. 9 Все сайты с формами до 300 000 руб.
3 Реквизиты организации ГК РФ, Закон о защите прав потребителей Коммерческие сайты до 20 000 руб. (ст. 14.8 КоАП)
4 Публичная оферта ГК РФ ст. 435–437 Интернет-магазины, сервисы с оплатой Договор может считаться незаключённым
5 Контактная информация Закон о защите прав потребителей ст. 8–10 Коммерческие сайты до 20 000 руб. (ст. 14.8 КоАП)
6 Уведомление о cookies 149-ФЗ, 152-ФЗ Все сайты со счётчиками до 300 000 руб.

Примечание. Размеры штрафов указаны по состоянию на дату обновления статьи на основе действующей редакции КоАП РФ с учётом изменений, внесённых Федеральным законом от 08.08.2024 №258-ФЗ. Уточняйте актуальные санкции в первоисточнике — КоАП РФ ст. 13.11 и ст. 14.8.

Политика конфиденциальности

Кому она обязательна

Политика конфиденциальности обязательна для любого сайта, который собирает персональные данные. Персональные данные — это любая информация, которая прямо или косвенно идентифицирует человека: имя, email, телефон, IP-адрес, cookies (при условии, что они позволяют идентифицировать субъекта).

Если на сайте есть хотя бы одна форма (подписка, обратная связь, заявка, регистрация) — политика обязательна. Если установлена Яндекс Метрика или любой другой счётчик — тоже обязательна, потому что IP-адреса и поведенческие данные могут относиться к персональным.

Сайт-визитка без единой формы и без счётчиков формально может обойтись без политики. Но такие сайты — редкость.

Что должно быть в политике по 152-ФЗ

Закон не даёт жёсткого шаблона, но из ст. 18.1 152-ФЗ следует обязательный перечень:

  • наименование и контакты оператора персональных данных (то есть вашей организации)
  • цели обработки данных — конкретные, а не размытые формулировки вроде «улучшение сервиса»
  • правовые основания обработки (согласие, договор, иные основания, предусмотренные 152-ФЗ)
  • категории обрабатываемых данных
  • категории субъектов (кто именно — покупатели, подписчики, сотрудники)
  • порядок и сроки хранения данных
  • права субъектов персональных данных и порядок их реализации
  • сведения о трансграничной передаче данных (если есть)
  • меры по защите данных

Отдельно о трансграничной передаче. Если вы используете сервисы, серверы которых находятся за рубежом — Google Analytics, Mailchimp, Salesforce, зарубежные CDN — это трансграничная передача данных. С 01.03.2023 152-ФЗ требует уведомления РКН о трансграничной передаче до её начала (ст. 12 152-ФЗ). В политике это должно быть прямо указано: какие данные, в какую страну, на каком основании.

Уточните в первоисточнике: перечень стран, обеспечивающих надлежащий уровень защиты персональных данных, периодически обновляется РКН. Актуальный список размещён на сайте pd.rkn.gov.ru.

Частые ошибки

Скопированная политика с другого сайта. Чужой документ не отражает вашу реальную деятельность, а значит вводит пользователя в заблуждение. РКН при проверке сравнивает политику с фактическими практиками обработки данных.

Устаревшие ссылки на законы. После изменений 2022–2024 годов многие политики ссылаются на нормы, которые уже изменились. Например, обязанность уведомлять РКН об обработке персональных данных теперь распространяется на большинство операторов; исключения сужены (ст. 22 152-ФЗ).

Отсутствие информации о cookies и метрике. Если сайт использует Яндекс Метрику, но в политике об этом ни слова — это нарушение. Нужно прямо указать, что используются счётчики, какие данные они собирают и куда передают.

Где разместить на сайте

Политика конфиденциальности должна быть доступна с любой страницы сайта. Стандартное решение — ссылка в футере. Дополнительно ссылка на политику должна быть рядом с каждой формой, где пользователь вводит данные.

URL вида /privacy или /privacy-policy — предпочтительный формат. Документ должен открываться как отдельная страница, а не всплывающее окно.

Согласие на обработку персональных данных

Форма согласия: галочка, баннер или кнопка — что выбрать

Статья 9 152-ФЗ требует, чтобы согласие на обработку персональных данных было конкретным, информированным, сознательным и однозначным. Это означает: пользователь должен активно выразить согласие, а не просто увидеть уведомление.

Три рабочих формата — и чем они отличаются:

  • Чекбокс под формой — пользователь ставит галочку «Я согласен с политикой конфиденциальности». Галочка не должна быть предустановлена. Это самый надёжный вариант с точки зрения доказательной базы.
  • Кнопка с подтекстом — под кнопкой «Отправить заявку» текстом «Нажимая кнопку, вы соглашаетесь на обработку персональных данных в соответствии с [ссылка на политику]». Допустимо для простых форм, но при споре сложнее доказать факт ознакомления.
  • Отдельная форма согласия — для чувствительных данных (медицина, финансы) рекомендуется развёрнутое согласие с перечислением целей.

Баннер cookies — отдельная история, он не заменяет согласие на обработку ПДн по формам.

Что изменилось с принятием 258-ФЗ

Федеральный закон №258-ФЗ от 08.08.2024 усилил требования к трансграничной передаче и уточнил порядок уведомления РКН. С точки зрения формы согласия принципиальных изменений нет, но теперь в согласии следует явно указывать, если данные могут передаваться третьим лицам или за рубеж.

По состоянию на январь 2026 года правоприменительная практика по новым нормам 258-ФЗ продолжает формироваться. Рекомендуем отслеживать разъяснения РКН на официальном сайте rkn.gov.ru.

Отзыв согласия — как реализовать

По ст. 9 152-ФЗ пользователь вправе отозвать согласие в любой момент. На сайте должен быть механизм отзыва — как минимум email или форма, по которой пользователь может направить запрос. Если этого нет — это нарушение, даже если само согласие оформлено правильно.

Реквизиты на сайте: что обязательно для ООО и ИП

Закон о защите прав потребителей (ст. 8–10) обязывает продавца и исполнителя раскрывать информацию о себе. Для коммерческого сайта отсутствие реквизитов — нарушение, влекущее административную ответственность по ст. 14.8 КоАП РФ.

Уточните в первоисточнике: санкции ст. 14.8 КоАП РФ по состоянию на январь 2026 года составляют для должностных лиц — от 500 до 1 000 руб., для юридических лиц — от 5 000 до 10 000 руб. Формулировка «до 500 000 руб.» в ряде источников ошибочно приводится применительно к ст. 14.5 КоАП (нарушения при дистанционной торговле); это разные составы. Проверяйте актуальную редакцию КоАП РФ.

Минимальный набор реквизитов

Реквизит ООО ИП Самозанятый
Полное наименование обязательно обязательно (ФИО) ФИО
ОГРН / ОГРНИП обязательно обязательно
ИНН обязательно обязательно обязательно
КПП обязательно
Юридический адрес обязательно адрес регистрации
Контактный email обязательно обязательно обязательно
Телефон рекомендуется рекомендуется рекомендуется

ОГРН и ИНН обязательны для всех юридических лиц и ИП. Часто встречается заблуждение, что ОГРН необязателен для ИП — это не так, ОГРНИП нужен.

Где размещать

Стандартное место — футер сайта. Для интернет-магазина реквизиты также должны быть в разделе «О компании» или «Контакты». В оферте реквизиты дублируются в разделе «Реквизиты сторон».

Публичная оферта — нужна ли вашему сайту

Когда оферта обязательна

Публичная оферта нужна, если на сайте продаются товары или услуги. Статьи 435–437 ГК РФ определяют оферту как предложение заключить договор, адресованное неопределённому кругу лиц. Если пользователь может оформить заказ или оплатить услугу без подписания бумажного договора — оферта обязательна.

Без оферты договор между продавцом и покупателем может считаться незаключённым, что при споре даёт покупателю основания требовать возврата денежных средств.

Оферта vs пользовательское соглашение — в чём разница

Это разные документы с разными функциями:

Публичная оферта — это договор. Она регулирует коммерческие отношения: цену, порядок оплаты, доставку, возврат. Пользователь акцептирует оферту действием — нажатием кнопки «Оплатить» или «Оформить заказ».

Пользовательское соглашение — это правила использования сервиса. Оно регулирует поведение пользователя на платформе: что можно делать, что нельзя, ответственность за контент. Актуально для SaaS, форумов, маркетплейсов.

Часто путают эти документы и делают один гибрид. Для интернет-магазина достаточно оферты с разделами о доставке и возврате. Для SaaS нужны оба документа.

Что должно быть в оферте интернет-магазина

  • предмет договора (что продаётся)
  • порядок оформления заказа
  • цены и порядок оплаты
  • условия доставки и сроки
  • правила возврата и обмена (дистанционная торговля регулируется Постановлением Правительства РФ от 31.12.2020 №2463)
  • ответственность сторон
  • реквизиты продавца
  • момент акцепта оферты

Оферта на услуги — особенности

Для услуг (консалтинг, обучение, разработка) оферта строится иначе: важно чётко описать состав услуги, сроки, порядок приёмки и основания для отказа. Размытые формулировки в оферте на услуги — источник споров.

Политика cookies и уведомление пользователей

Какие cookies требуют согласия

Cookies делятся на категории:

  • Технические (необходимые) — без них сайт не работает (авторизация, корзина). Согласия не требуют.
  • Аналитические — Яндекс Метрика, Google Analytics, счётчики. Требуют уведомления; вопрос об обязательности активного согласия в российском праве решён менее жёстко, чем в GDPR, — уточните актуальную позицию РКН.
  • Маркетинговые — ретаргетинг, пиксели рекламных сетей. Требуют явного согласия.

По российскому законодательству (149-ФЗ в связке с 152-ФЗ) использование аналитических и маркетинговых cookies без уведомления пользователя является нарушением. Требование об «активном согласии» на cookies в российском праве пока мягче, чем в европейском GDPR, однако правоприменительная практика ужесточается.

Как реализовать баннер

Баннер cookies должен появляться при первом визите пользователя и содержать:

  • информацию о том, что сайт использует cookies
  • ссылку на политику конфиденциальности (или отдельную политику cookies)
  • кнопку согласия

Баннер должен быть заметным. Пользователь должен видеть его до начала полноценного использования сайта.

Яндекс Метрика и требования к сайту

Яндекс Метрика передаёт данные на серверы Яндекса. С формальной точки зрения это передача данных третьему лицу. В политике конфиденциальности нужно прямо указать: «На сайте используется Яндекс Метрика. Данные о посещениях передаются ООО "Яндекс" в соответствии с условиями сервиса.»

Уточните в первоисточнике: организационно-правовая форма и наименование юридического лица, которому передаются данные при использовании Яндекс Метрики, могут изменяться. Проверяйте актуальное наименование на сайте Яндекса.

Дополнительные документы — не обязательные, но важные

Правила возврата и обмена — для интернет-магазинов фактически обязательны, потому что Постановление Правительства РФ от 31.12.2020 №2463 о дистанционной торговле требует информировать покупателя об условиях возврата. Отдельная страница с правилами возврата снижает количество споров и претензий.

Договор-оферта для SaaS — если вы продаёте подписку на программный продукт, нужен отдельный документ, регулирующий лицензионные права, ограничения использования, SLA (уровень доступности сервиса).

Лицензионное соглашение — для мобильных приложений и программного обеспечения.

Политика возврата платежей — отдельно от общих правил возврата, актуально при работе с эквайрингом.

Требования по типам сайтов — чек-лист

Тип сайта Обязательные документы
Лендинг с формой заявки Политика конфиденциальности, согласие на ПДн, реквизиты, контакты
Интернет-магазин Политика конфиденциальности, согласие на ПДн, реквизиты, публичная оферта, правила возврата, уведомление о cookies
SaaS / онлайн-сервис Политика конфиденциальности, пользовательское соглашение, оферта / лицензионное соглашение, согласие на ПДн
Корпоративный сайт (без продаж) Политика конфиденциальности, реквизиты, контакты, уведомление о cookies
Блог без форм Уведомление о cookies (если есть счётчики)
Блог с формой подписки Политика конфиденциальности, согласие на ПДн, уведомление о cookies

Штрафы и ответственность в 2025–2026 годах

Размеры штрафов по КоАП

После поправок, внесённых в том числе Федеральным законом от 08.08.2024 №258-ФЗ, суммы штрафов по ст. 13.11 КоАП РФ существенно выросли. Таблица составлена по состоянию на январь 2026 года; уточняйте актуальные санкции в действующей редакции КоАП РФ.

Нарушение Статья КоАП Для ИП Для ООО
Обработка ПДн без публикации политики конфиденциальности или с нарушением её содержания ст. 13.11 ч. 2 до 100 000 руб. до 300 000 руб.
Обработка ПДн без согласия субъекта ст. 13.11 ч. 2 до 100 000 руб. до 300 000 руб.
Нарушение требований к содержанию и форме согласия ст. 13.11 ч. 2 до 100 000 руб. до 300 000 руб.
Нарушение требований к информированию покупателя (отсутствие реквизитов, нарушение ЗоЗПП) ст. 14.8 до 1 000 руб. (должн. лицо) до 10 000 руб.
Нарушение правил дистанционной торговли ст. 14.5 до 30 000 руб. до 500 000 руб.
Нарушение порядка трансграничной передачи ст. 13.11 ч. 9 до 300 000 руб. до 1 000 000 руб.

Важно. Повторное нарушение порядка трансграничной передачи — до 500 000 руб. для ИП и до 6 000 000 руб. для организации (по состоянию на январь 2026 года; уточняйте в актуальной редакции ст. 13.11 КоАП РФ).

Кто проверяет и как это происходит на практике

Проверки РКН делятся на три вида:

  • Плановые — по реестру операторов ПДн, не чаще одного раза в три года.
  • Внеплановые по жалобе — запускаются по обращению любого пользователя сайта, чьи данные были обработаны. Это основной источник проверок в 2024–2025 годах.
  • Мониторинг — РКН самостоятельно проверяет сайты операторов из реестра.

Как развивается ситуация после нарушения: РКН направляет предписание с конкретным сроком для устранения нарушения. Если нарушение устранено в срок — дело закрывается без штрафа. Если проигнорировать — составляется протокол об административном правонарушении, который передаётся в суд. Штраф назначается судом. Игнорирование предписания гарантированно ведёт к штрафу.

Реальные прецеденты

Среди публичных случаев — штрафы крупных компаний за нарушения в обращении с данными пользователей. Малый бизнес чаще получает предписания, а не штрафы, при условии оперативного реагирования. Игнорирование предписания гарантированно ведёт к штрафу.

Как проверить свой сайт прямо сейчас

Пройдитесь по чек-листу самостоятельно:

  1. Откройте сайт и проверьте футер — есть ли ссылка на политику конфиденциальности.
  2. Перейдите по ссылке — открывается ли страница, актуален ли текст (ссылки на законы, название компании, контакты).
  3. Найдите любую форму на сайте — есть ли под ней ссылка на политику и механизм согласия.
  4. Проверьте наличие реквизитов (ИНН, ОГРН, адрес) — в футере или в разделе «О компании».
  5. Если есть интернет-магазин — найдите публичную оферту и правила возврата.
  6. При первом заходе на сайт (в режиме инкогнито) — появляется ли баннер cookies.
  7. Проверьте, зарегистрированы ли вы как оператор ПДн на pd.rkn.gov.ru.

Если обнаружили пробелы — не откладывайте. Политику конфиденциальности и согласие на ПДн можно разместить в течение одного дня.

Часто задаваемые вопросы

Нужна ли политика конфиденциальности, если у меня сайт-визитка без форм?

Если на сайте нет ни одной формы и не установлены аналитические счётчики — формально нет. Но установленная Яндекс Метрика или любой пиксель рекламной сети делают политику обязательной. На практике почти все сайты используют хотя бы один счётчик.

Можно ли скопировать политику конфиденциальности с другого сайта?

Технически никто не запретит, но практически это опасно. Чужая политика описывает чужие процессы обработки данных. Если при проверке РКН обнаружит несоответствие между текстом политики и реальной деятельностью — это само по себе нарушение. Шаблон нужно адаптировать под конкретный сайт: вписать своё юрлицо, реальные цели сбора данных, используемые сервисы.

Что будет, если Роскомнадзор найдёт нарушение — сразу штраф?

Нет. Сначала РКН направляет предписание с требованием устранить нарушение в установленный срок. Если нарушение устранено — дело закрывается без штрафа. Если предписание проигнорировано — составляется протокол и дело передаётся в суд, который назначает штраф. Для малого бизнеса оперативная реакция на предписание — самый реалистичный способ избежать финансовых последствий.

Нужно ли уведомлять РКН о начале обработки персональных данных в 2026 году?

Да. С 01.09.2022 уведомление РКН обязательно для большинства операторов ПДн. Исключения прописаны в ст. 22 152-ФЗ (например, обработка данных только сотрудников в рамках трудовых отношений). Если ваш сайт собирает данные посетителей — скорее всего, уведомление нужно. Зарегистрироваться можно на pd.rkn.gov.ru.

Нужны ли все эти документы, если я самозанятый с небольшим сайтом?

Да. Самозанятые, которые ведут коммерческую деятельность через сайт, также являются операторами ПДн, если собирают данные пользователей. Это значит: политика конфиденциальности и согласие на обработку данных обязательны. При дистанционной продаже товаров или услуг нужна оферта. Контактная информация и ФИО — тоже обязательны по Закону о защите прав потребителей.

Итог

Юридическая документация на сайте — не формальность ради галочки. Это защита от штрафов (до 6 миллионов рублей при повторных нарушениях порядка трансграничной передачи — по состоянию на январь 2026 года), защита в спорах с покупателями и базовое условие доверия пользователей.

Минимум, который нужно сделать сегодня: разместить политику конфиденциальности, добавить согласие под каждую форму, указать реквизиты в футере.

Проверьте свой сайт бесплатно прямо сейчас. Сервис ЧистыйСайт автоматически проверит наличие обязательных документов, форм согласия и реквизитов — и покажет, что именно нужно исправить, чтобы соответствовать требованиям 152-ФЗ в 2026 году.