Юридический мониторинг сайта

Ваш сайт должен соответствовать закону.
Я слежу за этим и предупреждаю вовремя.

Как внешний IT‑директор слежу не только за железом, но и за тем, чтобы сайт клиента не подставлял его под штраф на пустом месте. Такой мониторинг — часть обычного сопровождения. А вот само приведение сайта в порядок — политика, правки кода, cookie-баннер, уведомление в Роскомнадзор — уже отдельная услуга.

40+сайтов и инфраструктур под наблюдением
1 деньобычно занимает сама работа по приведению в порядок
до 1,5 млн ₽штраф для юрлица за повторное нарушение 152-ФЗ
ИВ

Привет. Я Иван, работаю внешним IT‑директором для малого и среднего бизнеса. Слежу за юридической стороной сайтов клиентов и предупреждаю о рисках — это часть моей обычной работы. А вот сама работа по устранению нарушений — отдельная услуга, о которой я всегда говорю честно и заранее. Ниже — реальный кейс и то, на что я обращаю внимание у каждого клиента с сайтом. Читается за 7 минут, без юридического занудства.

Кейс

Как я предупредил клиентов о риске штрафа за нарушение 152-ФЗ

Несколько клиентов, которых я веду по IT‑сопровождению, — с обычным на первый взгляд сайтом: форма «заказать звонок», счётчик Яндекс.Метрики, ничего необычного. Во время планового наблюдения за их инфраструктурой я обратил внимание и на сайты — и увидел, что ни у одного нет ни политики обработки персональных данных, ни согласия под формой, ни нормального cookie-баннера. Счётчики аналитики запускались сразу, без выбора посетителя.

Формально это уже нарушение 152-ФЗ и повод для штрафа при проверке или жалобе — даже если сайт годами работал «без проблем». Я предупредил каждого клиента отдельно: показал, что именно не так, и во сколько может обойтись бездействие. Дальше решение было за ними — и все трое согласились на отдельную, платную работу по устранению нарушений.

Я разобрал каждый сайт по частям: внёс правки в код и вёрстку, написал политику под конкретный бизнес, настроил корректный cookie-баннер с раздельными кнопками «Принять» и «Отклонить», проверил, куда физически уходят заявки с сайтов, и довёл дело до подачи уведомления в Роскомнадзор. Клиенту оставалось только утвердить финальный текст.

3
клиента предупреждены, все согласились на устранение нарушений
1 день
в среднем на правки кода и документы
0 ₽
штрафов — ни один клиент не попал под санкции

Как это устроено — два разных шага

Мониторинг и предупреждение — часть обычного абонентского сопровождения. Я слежу за юридической стороной сайта наравне с железом и сетью и говорю прямо, если вижу риск.

Приведение сайта в порядок — отдельная услуга. Политика, правки кода, cookie-баннер, проверка сервисов и подача уведомления в Роскомнадзор оплачиваются отдельно, по факту объёма работ.

  • Ничего не делаю «по умолчанию» без вашего согласия и предварительной стоимости
  • Оцениваю объём работ бесплатно, до принятия решения вами
  • Обычно всё укладывается в один рабочий день
152-ФЗ · Персональные данные

Если на сайте есть форма — вы уже «оператор персональных данных»

Звучит громко, но означает простую вещь: как только посетитель оставляет на сайте имя и телефон (форма заявки, обратный звонок, запись на консультацию) — закон считает, что вы собираете и обрабатываете его личные данные. Неважно, сохраняете вы их в базе или просто пересылаете себе в мессенджер — само получение данных уже «обработка».

  • На сайте должна быть отдельная страница «Политика обработки персональных данных» — что вы собираете, зачем и как долго храните.
  • Под каждой формой — чекбокс согласия, который человек ставит сам (не должен быть отмечен заранее) и без которого форма не отправляется.

Даже форма «оставьте телефон, я перезвоню» — это форма сбора персональных данных, а не просто «удобная фишка сайта».

152-ФЗ · Cookie и аналитика

Счётчик посещаемости — тоже сбор данных

Яндекс.Метрика, Google Analytics и похожие сервисы собирают IP-адрес, поведение на сайте, данные устройства — по действующей практике это тоже персональные данные. Значит, для них нужно отдельное, осознанное согласие посетителя — не просто уведомление мелким шрифтом внизу страницы.

  • Баннер cookie при первом визите с двумя равнозначными кнопками — «Принять» и «Отклонить» (не одна серая ссылка «ок, понятно»).
  • Счётчик аналитики не должен запускаться до того, как посетитель нажал «Принять».
152-ФЗ · Роскомнадзор

Нужно официально уведомить государство

Мало разместить политику на сайте — по закону нужно ещё подать отдельное уведомление в Роскомнадзор о том, что вы обрабатываете персональные данные. Это не «регистрация бизнеса», а именно уведомление конкретно про обработку данных — отдельная процедура через портал pd.rkn.gov.ru.

  • Уведомление подаётся один раз и обновляется только при существенных изменениях (новая форма, новый сервис аналитики и т.п.).
  • Обрабатывать данные можно уже с момента подачи — ждать включения в реестр не обязательно.

Штраф за то, что уведомления просто нет, — от 100 000 до 300 000 ₽ для организаций и ИП. При повторном нарушении сумма для юрлица может достигать 1 500 000 ₽. Отдельная, куда более тяжёлая история — штрафы за утечку персональных данных: там суммы для компаний измеряются миллионами, а в отдельных случаях — сотнями миллионов рублей.

152-ФЗ · Иностранные сервисы

Не всякий мессенджер или сервис «одинаково безопасен» с точки зрения закона

Если заявки с сайта улетают в Telegram-бота, WhatsApp Business, Google Analytics или зарубежную CRM — это формально «трансграничная передача персональных данных». Это отдельная, более тяжёлая история: требует отдельного уведомления Роскомнадзору и указания страны/дата-центра получателя.

Если те же заявки уходят в российский сервис — например, бот в мессенджере MAX, ВКонтакте, российскую CRM или на российский хостинг — трансграничной передачи нет, и это заметно всё упрощает.

  • Проверьте, куда физически «улетают» заявки с вашего сайта — не только визуально, а по факту: какой сервис, чья это компания, где хранит данные.
  • Где можно — предпочитайте российские сервисы: это не про патриотизм, а про то, что бумажной работы становится в разы меньше.
Новое · 569-ФЗ, с 1 сентября 2026

Домен тоже нужно «подтвердить личностью»

Отдельный закон, не про персональные данные, а про сам домен. С 1 сентября 2026 года владелец (администратор) любого домена в зонах .ru, .рф, .su обязан подтвердить личность через Госуслуги — иначе домен нельзя будет продлить, а после окончания оплаченного периода его можно потерять безвозвратно.

  • Нужна именно подтверждённая учётная запись на Госуслугах — упрощённая (только по телефону) не подойдёт.
  • Проверьте, кто по факту указан администратором вашего домена — особенно если сайт когда-то делало агентство или фрилансер и домен мог остаться на них.
Итоговый чек-лист

Проверьте свой сайт по этим пунктам

Если хотя бы два пункта не выполнены — скорее всего, ваш сайт формально нарушает закон, даже если внешне всё выглядит нормально. Это повод для отдельного разговора о приведении сайта в порядок, а не для паники.

  • На сайте есть страница «Политика обработки персональных данных»
  • Под формами — чекбокс согласия, не отмеченный заранее
  • Есть cookie-баннер с выбором «Принять / Отклонить»
  • Счётчики аналитики не запускаются до согласия
  • Подано уведомление в Роскомнадзор (pd.rkn.gov.ru)
  • Известно, в какую страну физически уходят заявки с сайта
  • Иностранные сервисы (шрифты, аналитика, CRM) — под контролем или заменены
  • Администратор домена — вы, и учётная запись на Госуслугах подтверждена

Разбираться во всём этом самому — не ваша работа

Клиентам на сопровождении я слежу за этими пунктами и предупреждаю, если вижу риск, — бесплатно, в рамках обычной работы. А если нужно привести сайт в порядок — от правки кода до подачи уведомления в Роскомнадзор, — оценю объём работ и назову стоимость отдельно, до начала работы.