Как избежать штрафов от Роскомнадзора: инструкция для владельцев сайтов

⚖ Обязательные действия по закону о персональных данных

Если у вас есть сайт, особенно с формами обратной связи или метриками, необходимо выполнить требования Федерального закона №152-ФЗ, чтобы избежать штрафов до 300 000 ₽.


Почему это важно?

  • До 30 мая 2025 года
  • Все владельцы сайтов должны зарегистрироваться в реестре операторов персональных данных.

  • Даже если на сайте нет формы
  • Сайт может собирать cookie и использовать Яндекс.Метрику — это тоже обработка персональных данных.

  • Штрафы
  • До 10 000 ₽ — для физлиц и самозанятых. До 300 000 ₽ — для юрлиц и ИП.


Что нужно сделать?

  1. Зарегистрируйтесь как оператор персональных данных
  2. Заполните заявление на официальном сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/

    Важно: Укажите цели обработки данных — например, маркетинг, обработка обращений, ведение клиентской базы.

  3. Заключите доп. соглашения с клиентами
  4. Составьте доп. соглашение о передаче и обработке персональных данных. Это может быть приложение к существующему договору.

    В итоге вам понадобятся два документа:

    • Соглашение для всех клиентов компании — подписывается индивидуально.
    • Соглашение для размещения на сайте — доступно для посетителей.


Проверка компании/ИП в реестре Роскомнадзора

Вы можете проверить, зарегистрирована ли ваша организация как оператор персональных данных. Для этого достаточно ввести ИНН на официальном сайте Роскомнадзора:

Перейти в реестр операторов персональных данных
https://pd.rkn.gov.ru/operators-registry/operators-list/

Также можно посмотреть, какие цели обработки данных были указаны при регистрации. Убедитесь, что они соответствуют вашей деятельности — например: маркетинг, веб-аналитика, обработка обращений.


Нужно ли указывать Яндекс.Метрику?

Да, обязательно. Даже если на сайте нет формы обратной связи, но установлена Яндекс.Метрика — это уже считается сбором и обработкой персональных данных (например, IP-адреса, геолокации, поведения пользователя).

При подаче уведомления в Роскомнадзор нужно указать, что вы используете аналитические инструменты, и выбрать цель обработки «анализ поведения посетителей сайта».

Если этого не сделать — уведомление могут признать недостоверным, а компанию оштрафовать.



⛔ Запрет Google Analytics и Google Tag Manager

С 2025 года Роскомнадзор официально запретил использование Google Analytics и Google Tag Manager без уведомления о трансграничной передаче персональных данных.

Сервисы Google передают данные на зарубежные сервера — это нарушает требования 152-ФЗ и может привести к:

  • Штрафам до 15 млн ₽
  • Блокировке сайта
  • Претензиям от Роскомнадзора

Что делать?

  1. Полностью удалить код Google Analytics и Google Tag Manager со всех страниц сайта.
  2. Проверить наличие фрагментов кода:
    • gtag.js
    • googletagmanager.com
    • analytics.js
  3. Заменить Google-сервисы на отечественные аналоги, например:
    • Яндекс.Метрика — если указана в уведомлении.
    • Андата Тег Менеджер — российский аналог GTM, внесён в реестр отечественного ПО.

⚠ Даже если вы не собираете контактные формы — аналитика, поведенческие данные и IP-адреса всё равно считаются персональными данными.

❗ Убедитесь, что в вашей Политике конфиденциальности и уведомлении в Роскомнадзор больше не упоминаются иностранные сервисы сбора данных.


Часто задаваемые вопросы

  • Обязательно ли регистрироваться, если нет формы?
  • Да, лучше зарегистрироваться. Cookie и метрика тоже могут считаться обработкой ПД.

  • Нужно ли юристу всё проверять?
  • Желательно, но можно сделать базовый комплект самостоятельно — этого уже достаточно, чтобы избежать штрафов.

  • А если сайт только визитка?
  • Даже одностраничный сайт может попадать под 152-ФЗ, если он собирает cookie или отображает контактные данные.