Как Роскомнадзор проверяет сайты в 2026 году

10 мин
Роскомнадзорпроверка152-ФЗ
Как Роскомнадзор проверяет сайты в 2026 году: виды контроля и что РКН смотрит на странице, обложка статьи sitelaw

«Роскомнадзор проверяет сайты» звучит как выездная проверка с инспектором и папкой документов. На практике большая часть контроля над сайтом проходит без вашего ведома: ведомство открывает страницу так же, как любой посетитель, и смотрит, что на ней видно. Политику обработки данных, галочку согласия в форме, cookie-уведомление, наличие компании в реестре операторов. Эта статья разбирает, как именно устроен контроль в 2026 году: какие виды проверок бывают, что РКН реально смотрит на странице, что превращает спокойный мониторинг во внеплановую проверку и что делать, если письмо уже пришло.

Виды контроля: плановые, внеплановые и мониторинг

Контроль за обработкой персональных данных ведёт Роскомнадзор, и форм у этого контроля несколько. Их полезно различать, потому что от формы зависит, узнаете ли вы о проверке заранее.

Плановые проверки проводятся по заранее утверждённому графику и затрагивают в основном операторов из зон повышенного риска: крупные базы данных, чувствительные категории сведений, государственные информационные системы. Малый бизнес с сайтом-визиткой или небольшим магазином в плановый график попадает редко. Подход здесь риск-ориентированный: чем выше потенциальный вред субъектам данных, тем плотнее внимание.

Внеплановые проверки запускаются по конкретному поводу. Самый частый повод для обычного сайта это жалоба человека, чьи данные обрабатывали: посетитель пожаловался, что у формы не было согласия, что данные ушли в зарубежный сервис, что от рассылки невозможно отписаться. Поводом служит и истечение срока ранее выданного предписания, и поручение по проверке исполнения.

Отдельно стоит то, что чаще всего и касается рядового сайта: наблюдение за соблюдением обязательных требований (дистанционный мониторинг сайтов). Это не «проверка» в строгом процессуальном смысле, а наблюдение за общедоступной информацией без взаимодействия с оператором. РКН смотрит сайт со стороны, фиксирует видимые признаки нарушений и накапливает основания. По итогам мониторинга вам могут не назначить проверку сразу, а прислать профилактическое письмо или предостережение. Именно поэтому многие узнают о внимании ведомства не из акта проверки, а из письма в почте.

Логика 2026 года такая: ведомство всё меньше ходит ногами и всё больше смотрит сайты дистанционно. Это удобно государству и неудобно тем, кто привык, что «пока не пришли, можно не делать». Прийти физически уже не обязательно, чтобы зафиксировать, что политики на сайте нет.

Для владельца сайта из этого следует один практический вывод: представление «нас слишком мало, чтобы нами заинтересовались» больше не защищает. Дистанционное наблюдение масштабируется: автоматизированный обход общедоступных страниц не требует выделять под ваш конкретный сайт инспектора и время. Под наблюдение попадает не тот, кто крупный, а тот, у кого нарушение видно с улицы. Размер бизнеса влияет на размер штрафа и на интенсивность внимания, но не отменяет сам факт того, что страницу могут открыть и посмотреть в любой момент.

Что Роскомнадзор реально смотрит на странице

Здесь и кроется разрыв с тем, как тему обычно описывают. Большинство статей перечисляют абстрактные «категории риска», но не говорят, на что конкретно падает взгляд при дистанционном наблюдении. А смотрят на вполне осязаемые вещи, и почти все они видны без всякого доступа к вашей админке.

Первое: есть ли на сайте политика обработки персональных данных и открывается ли она. Закон требует, чтобы документ был опубликован в открытом доступе. Проверяется это элементарно: ищут ссылку (обычно в подвале), кликают, смотрят, открывается ли документ без регистрации и скачивания файла. Отсутствие политики в общем доступе образует самостоятельный состав по статье 13.11 КоАП РФ. Это первое, что фиксируется при беглом осмотре.

Второе: как собираются данные в формах. Открывают форму обратной связи, заявку, форму заказа и смотрят, есть ли рядом отметка о согласии на обработку персональных данных и ссылка на политику. С 1 сентября 2025 года согласие должно оформляться отдельно от других документов: его нельзя «зашить» в оферту или совместить одной галочкой с согласием на правила. Форма, которая отправляет контакты без отдельного согласия, видна снаружи и квалифицируется по статье 13.11 КоАП РФ.

Третье: cookie-уведомление и поведение баннера. Смотрят, предупреждает ли сайт об использовании аналитических и рекламных cookie и как устроено согласие. Частая претензия: аналитика срабатывает до того, как посетитель нажал «принять», то есть данные собираются без основания. С сентября 2025 года согласие на cookie должно быть отделено от общего согласия на обработку данных, совмещать их в одной галочке нельзя.

Четвёртое: локализация и иностранные сервисы. По коду страницы видно, какие внешние сервисы подгружаются: счётчики, формы, чаты, шрифты, карты. Если на сайте работают зарубежные сервисы, через которые собираются данные посетителей, возникает вопрос о локализации: первичная база персональных данных граждан России должна храниться на серверах внутри страны. Важная оговорка: передача за рубеж лишь технических данных (IP-адрес для подгрузки шрифта, CDN, карты) сама по себе состава локализации не образует. Состав возникает там, где в зарубежную базу уходят именно персональные данные: через иностранные формы, CRM, рассылки.

Пятое: наличие в реестре операторов. Это уже не на самой странице, но проверяется в ту же минуту. Реестр операторов персональных данных публичный и открытый, поиск по наименованию или ИНН ведётся на портале pd.rkn.gov.ru без регистрации. Если сайт очевидно собирает данные (есть формы, аналитика), а оператора в реестре нет, это прямой сигнал, что уведомление об обработке не подавалось. Подать уведомление закон требует до начала обработки, и его отсутствие тоже образует состав по статье 13.11 КоАП РФ.

Сложите эти пять пунктов вместе, и получится, что значительная часть нарушений по персональным данным фиксируется снаружи, по общедоступной части сайта, без единого запроса к вам. Это и есть суть дистанционного контроля.

Что превращает мониторинг во внеплановую проверку

Наблюдение само по себе обычно заканчивается мягко: профилактическим визитом, предостережением или запросом разъяснений. Чтобы дело дошло до полноценной внеплановой проверки, нужен триггер.

Главный триггер для обычного сайта это жалоба субъекта данных. Достаточно одного человека, который посчитал, что его данные обработали с нарушением, и подал обращение через сайт РКН. Жалоба это законное основание для внепланового мероприятия, и она переводит ваш сайт из массы наблюдаемых в адресный фокус. Поэтому конфликтный клиент, недовольный подписчик рассылки или просто внимательный посетитель способны запустить процесс, даже если до этого сайт годами никто не трогал.

Второй частый триггер это игнорирование запроса. Если РКН прислал запрос разъяснений, а оператор молчит, молчание квалифицируется по статье 19.7 КоАП РФ как непредставление сведений по запросу контролирующего органа. И, что важнее штрафа по этой статье, систематическое игнорирование подталкивает ведомство назначить внеплановую проверку. Тихо пересидеть запрос не получается: молчание само становится поводом для эскалации.

Третий триггер это истекший срок предписания. Если по итогам предыдущего мероприятия выдали предписание устранить нарушение, а к указанному сроку оно не устранено, это самостоятельное основание вернуться с проверкой. Невыполнение в срок законного предписания наказывается по части 1 статьи 19.5 КоАП РФ отдельно от первичной претензии.

Есть и более редкие, но реальные поводы. Публикация в СМИ или резонанс в соцсетях вокруг утечки, материалы из других проверок, в которых всплыл ваш сайт, обращение другого госоргана. Для рядового сайта они срабатывают нечасто, но логика та же: внеплановое мероприятие почти всегда привязано к конкретному внешнему сигналу, а не к случайному выбору.

Вывод простой: спокойный фоновый мониторинг и адресная проверка разделены довольно тонкой гранью. Эту грань почти всегда переступает не сам факт нарушения, а внешнее событие: чья-то жалоба или ваше собственное молчание в ответ на письмо. Отсюда и приоритет в подготовке. Снизить вероятность жалобы можно прозрачностью (понятная политика, рабочая отписка от рассылки, корректная форма), а молчание в ответ на запрос вообще полностью в вашей власти. То есть оба главных триггера управляемы заранее, до того как ситуация перешла в острую фазу.

Что делать при письме или запросе от РКН

Если письмо уже пришло, первое и единственно правильное действие это понять, что именно пришло. От типа документа зависят и срок, и объём действий, и цена ошибки.

Уведомление о профилактическом мероприятии или мониторинге обычно не требует немедленного представления документов, но это прямой сигнал привести сайт в порядок, пока не прислали запрос с требованиями. Запрос разъяснений требует ответа в указанный в нём срок (как правило от 10 до 30 рабочих дней): отвечать нужно по пунктам, фактами и нормами, а не общими словами. Предписание содержит конкретные требования и срок устранения, и его неисполнение в срок наказывается отдельно. Постановление о штрафе это уже результат, а не запрос, и работа с ним идёт по своим правилам обжалования.

Чего точно не стоит делать, так это молчать. Игнорирование запроса не «рассасывается», оно превращается в отдельный состав по статье 19.7 КоАП РФ и повод для внеплановой проверки. Срок ответа считается с даты получения, и если вы не успеваете, ходатайство о продлении подаётся до его истечения, а не после.

Параллельно с ответом полезно сделать ровно то, что делает сам РКН при мониторинге: посмотреть на свой сайт его глазами. Открыта ли политика, есть ли согласие в каждой форме, не срабатывает ли аналитика до клика по баннеру, нет ли в коде зарубежных сервисов, собирающих данные, числитесь ли вы в реестре операторов. Ответ на запрос гораздо убедительнее, когда вы пишете «нарушение устранено, вот что сделано», а не «нарушения нет» при живом нарушении на странице.

Разобрать по шагам, какое письмо что означает, в какой срок отвечать и как устроен ответ по пунктам, можно на странице про письмо от Роскомнадзора: там же можно прогнать свой сайт бесплатной проверкой и заранее увидеть то, что видит ведомство при дистанционном наблюдении. Это единственный способ перейти от тревоги «а вдруг что-то не так» к конкретному списку того, что реально видно с улицы.

Как подготовиться до того, как пришло письмо

Самая выгодная позиция это привести сайт в порядок раньше, чем им заинтересуются. Дистанционный контроль работает против тех, кто откладывает, но ровно так же он работает и на тех, кто подготовился: если на странице всё на месте, мониторинг проходит мимо вас без последствий.

Практический порядок самопроверки повторяет логику ведомства. Откройте подвал и убедитесь, что ссылка на политику видна и документ открывается. Пройдите по каждой форме на сайте, не только на главной, и проверьте отметку согласия и ссылку на политику. Посмотрите, что грузится при открытии страницы до клика по cookie-баннеру. Сверьте список внешних сервисов в коде с тем, что вы осознанно подключали, и отметьте зарубежные. Проверьте себя в реестре операторов на pd.rkn.gov.ru и, если вас там нет при живой обработке данных, подайте уведомление. Этот же набор пунктов в виде готового списка разобран в материале юридический чек-лист для сайта, а почему такую проверку стоит делать не раз, а регулярно, объяснено в статье зачем регулярно проверять сайт.

Вручную этот обход реален, но требует времени и внимания: нужно читать код страницы, понимать, какие сервисы относятся к зарубежным, и не пропустить форму на внутренней странице. Зато результат предсказуем: вы видите свой сайт глазами проверяющего до того, как проверяющий пришлёт письмо.

Коротко

Контроль Роскомнадзора в 2026 году всё больше дистанционный. Плановые проверки касаются в основном операторов из зон риска, а обычный сайт чаще попадает под наблюдение за соблюдением обязательных требований (дистанционный мониторинг сайтов): ведомство открывает страницу как посетитель и фиксирует видимые признаки. Смотрят на пять вещей: открыта ли политика, есть ли согласие в формах, как ведёт себя cookie-баннер, нет ли зарубежных сервисов с данными граждан РФ и числитесь ли вы в реестре операторов. Спокойный мониторинг превращается во внеплановую проверку из-за внешнего события, чаще всего жалобы субъекта данных или вашего молчания в ответ на запрос. При письме главное правильно определить его тип и не игнорировать. А самая выгодная стратегия проста: посмотреть на свой сайт глазами РКН и закрыть видимые нарушения до того, как это сделает ведомство.

Нормативная база

  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 23: Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных, его полномочия по контролю и надзору.
  • Федеральный закон «О государственном контроле (надзоре) и муниципальном контроле в РФ» от 31.07.2020 № 248-ФЗ: виды контрольных и профилактических мероприятий, основания для внеплановой проверки, риск-ориентированный подход (проверьте действующую редакцию).
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 2 статьи 18.1: обязанность опубликовать политику обработки персональных данных в открытом доступе.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 9: согласие на обработку персональных данных (конкретное, информированное, сознательное).
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 22: обязанность уведомить Роскомнадзор об обработке персональных данных до её начала; на основании уведомления орган вносит оператора в реестр операторов.
  • Федеральный закон от 21.07.2014 № 242-ФЗ, внёсший часть 5 статьи 18 152-ФЗ: локализация первичной базы персональных данных граждан РФ на серверах в России.
  • КоАП РФ, статья 13.11: составы нарушений в области обработки персональных данных (политика, согласие, неуведомление, локализация).
  • КоАП РФ, статья 19.7: непредставление или несвоевременное представление сведений по запросу контролирующего органа.
  • КоАП РФ, статья 19.5 часть 1: невыполнение в срок законного предписания органа государственного надзора.

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также