Юридический чек-лист для сайта: 12 пунктов, что проверить

10 мин
чек-листаудитсоответствие
Юридический чек-лист для сайта по закону РФ, 12 пунктов по четырём разделам, обложка статьи sitelaw

Большинство сайтов нарушают требования закона не из злого умысла, а потому что никто не свёл обязанности в один список. Форму поставили без галочки согласия, политику забыли опубликовать, аналитику подключили «на пробу», рекламный баннер разместили без маркировки. По отдельности каждое решение выглядит безобидно, а вместе они складываются в набор составов с собственными штрафами. Ниже готовый чек-лист: 12 пунктов по четырём разделам, по которым проходит и автоматическая проверка. Для каждого пункта: что именно смотреть, какая обязанность за этим стоит и чем грозит её невыполнение.

Чек-лист универсальный, но не каждый пункт применим к каждому сайту. Часть требований включается только при определённых условиях: продажи, реклама, иностранные сервисы аналитики. Эти условия отмечены прямо в пунктах, чтобы вы не примеряли на себя лишнее.

Суммы штрафов в этом материале приведены по действующей редакции КоАП РФ. Важная оговорка про субъектов ответственности: за одно и то же нарушение закон называет разные суммы для физического лица, должностного лица, ИП и юридического лица. Для самозанятого ориентир, как правило, вилка должностного лица. Поэтому ниже по каждому пункту приведён диапазон по ключевым категориям субъектов.

Раздел 1. Персональные данные

Сайт начинает обрабатывать персональные данные раньше, чем кажется: достаточно одной формы обратной связи, счётчика аналитики или чат-виджета. Как только обработка началась, появляется блок обязанностей. Это самый объёмный раздел чек-листа и самый дорогой по штрафам.

1. Политика обработки персональных данных опубликована в открытом доступе. Проверьте, что на сайте есть документ под названием «Политика обработки персональных данных» (или «Политика конфиденциальности») и что на него ведёт видимая ссылка, обычно из подвала. Документ должен открываться без регистрации и без скачивания файла. Обязанность опубликовать политику прямо закреплена в законе о персональных данных. Её отсутствие в общем доступе образует отдельный состав по части 3 статьи 13.11 КоАП РФ: для самозанятых и должностных лиц это 6 000–12 000 ₽, для ИП 10 000–20 000 ₽, для юридического лица 30 000–60 000 ₽.

2. В формах есть согласие на обработку персональных данных. У каждой формы, которая собирает контакты (имя, телефон, e-mail), должна стоять отметка о согласии на обработку персональных данных со ссылкой на политику. Важная деталь, действующая с 1 сентября 2025 года: согласие оформляется отдельно от других документов. Его нельзя «зашить» в текст оферты или совместить одной галочкой с согласием на правила. Нарушение порядка получения согласия квалифицируется по части 2 статьи 13.11 КоАП РФ. Вилка существенная: для ИП и должностных лиц 100 000–300 000 ₽, для юридического лица 300 000–700 000 ₽.

3. Cookie-уведомление присутствует и согласия разделены. Если сайт использует аналитические или рекламные cookie, посетителю показывают уведомление об этом. С сентября 2025 года согласие на cookie должно быть отделено от общего согласия на обработку персональных данных: совмещать их в одной галочке больше нельзя. Совмещённое согласие попадает под ту же часть 2 статьи 13.11 КоАП РФ, что и в предыдущем пункте, с теми же суммами. Частая ошибка: баннер ставит аналитику до того, как посетитель нажал «принять», тогда данные собираются без основания.

4. Подано уведомление в Роскомнадзор об обработке персональных данных. Почти любой оператор персональных данных обязан до начала обработки подать уведомление в Роскомнадзор через портал pd.rkn.gov.ru. Этот пункт нельзя проверить «глазами» по самому сайту, но он входит в чек-лист как обязательное действие. Неуведомление образует состав по части 10 статьи 13.11 КоАП РФ: для самозанятого, должностного лица и ИП это 30 000–50 000 ₽, для юридического лица 100 000–300 000 ₽. Отдельное уведомление подаётся, если данные передаются за рубеж, и подаётся оно заранее.

5. При иностранных сервисах аналитики данные локализованы в России. Если на сайте работают зарубежные сервисы аналитики, рекламы, форм или рассылок, проверьте, где физически хранится первичная база собранных данных. По требованию о локализации первичная база персональных данных граждан России должна находиться на серверах внутри страны. Это требование ввёл закон 242-ФЗ. Состав возникает только при фактическом сборе данных в зарубежную базу: через иностранные формы, CRM, рассылки или хостинг. Передача за рубеж лишь технических данных (IP-адрес для шрифтов, CDN, карт или captcha) сама по себе состава локализации не образует. Нарушение локализации, части 8 и 9 статьи 13.11 КоАП РФ, относится к самым дорогим: здесь ИП отвечает наравне с компанией, и вилка для обоих составляет 1 000 000–6 000 000 ₽ за первое нарушение.

Как пройти этот раздел на практике. Сначала откройте подвал сайта и убедитесь, что ссылка на политику видна и работает. Затем по очереди откройте каждую форму на сайте, не только на главной, но и на внутренних страницах, и проверьте у каждой галочку согласия и ссылку на документ. Дальше посмотрите, что происходит при загрузке страницы до клика по cookie-баннеру: не уходят ли уже запросы в аналитические сервисы. И отдельно зафиксируйте, поданы ли уведомления в Роскомнадзор, по основной обработке и, если данные передаются за рубеж, по трансграничной передаче.

Дополнительно к этому разделу примыкает техническая защита данных, но она вынесена в раздел 4, поскольку проверяется по техническим признакам сайта.

Раздел 2. Документы

Второй раздел про обязательные тексты на сайте. Их состав зависит от того, что вы делаете: просто рассказываете о себе, продаёте товары или оказываете услуги. Поэтому не все три пункта применимы каждому.

6. Юридические реквизиты указаны (для ИП и юридических лиц). Если сайт принадлежит ИП или компании и через него продаются товары либо услуги, на нём должна быть информация о продавце: наименование, ОГРН или ОГРНИП, ИНН, адрес и контакты. Обычно её размещают в подвале или на отдельной странице «Контакты». Это требование закона о защите прав потребителей: покупатель должен понимать, с кем имеет дело. Отсутствие обязательной информации о продавце квалифицируется по части 1 статьи 14.5 КоАП РФ: для ИП и должностных лиц 3 000–4 000 ₽, для юридического лица 30 000–40 000 ₽.

7. Оферта или пользовательское соглашение есть, если идут продажи или услуги. Когда сайт продаёт товары, оказывает услуги или принимает заявки на платное, отношения с клиентом нужно описать документом: публичной офертой или пользовательским соглашением. В нём указывают предмет, цену или порядок её определения, условия оплаты и оказания. Без такого документа покупатель лишён части обязательной информации, что подпадает под часть 1 статьи 14.8 КоАП РФ (нарушение права потребителя на информацию): для ИП и должностных лиц 500–1 000 ₽, для юридического лица 5 000–10 000 ₽. Пункт не нужен сайту-визитке без продаж.

8. Условия возврата опубликованы (для интернет-магазина). Интернет-магазин, продающий товары дистанционно, обязан довести до покупателя условия и сроки возврата товара. Памятка о возврате обычно оформляется отдельной страницей и упоминается в оферте. При дистанционной продаже у покупателя есть особые права на возврат, и он должен узнать о них до покупки. Отсутствие этой информации квалифицируется по той же части 1 статьи 14.8 КоАП РФ, что и предыдущий пункт, с теми же суммами. Пункт применим именно к интернет-магазинам, а не к сайтам услуг.

Три пункта этого раздела удобно проверять по нарастающей. Сайт-визитка без продаж и заявок ограничивается, по сути, реквизитами, если он принадлежит ИП или компании. Сайт услуг добавляет к этому оферту или пользовательское соглашение. Полноценный интернет-магазин закрывает все три пункта, включая условия возврата. Если вы не уверены, нужен ли вам конкретный документ, отталкивайтесь от простого вопроса: берёт ли сайт на себя обязательства перед клиентом и собирает ли деньги. Если да, документы из этого раздела для вас обязательны.

Раздел 3. Реклама и маркировка

Третий раздел включается по условию: на сайте есть реклама или контент с возрастными ограничениями. Если ни того, ни другого нет, раздел можно пропустить.

9. Реклама промаркирована идентификатором (ERID), если она есть. Реклама на сайте, это баннеры, интеграции, продвижение чужих товаров и услуг, должна быть промаркирована идентификатором ERID, проходить через оператора рекламных данных (ОРД), а данные о показах передаются в установленный срок. Важно отделять рекламу от информации о собственных товарах: описание своих услуг на своём сайте рекламой по общему правилу не считается. Отсутствие идентификатора ERID на интернет-рекламе образует состав по части 16 статьи 14.3 КоАП РФ: для ИП и должностных лиц 100 000–200 000 ₽, для юридического лица 200 000–500 000 ₽. Для физического лица вилка 30 000–100 000 ₽.

10. Возрастная маркировка проставлена, если применимо. Если на сайте есть информационная продукция с возрастными ограничениями (например, контент категории 18+), рядом должен стоять знак возрастной маркировки. Знак занимает не менее 5% площади экрана. Требование вытекает из закона о защите детей от вредной информации. Отсутствие возрастной маркировки квалифицируется по части 1 статьи 6.17 КоАП РФ: для ИП и должностных лиц 5 000–10 000 ₽, для юридического лица 20 000–50 000 ₽. Пункт касается только сайтов, где такая продукция действительно размещена.

Раздел 4. Техническое

Последний раздел про техническое состояние сайта, которое влияет на защиту данных и на законность размещённых сервисов. Эти пункты проверяются по техническим признакам страницы, а не по текстам.

11. Сайт работает по HTTPS с действующим SSL-сертификатом. Проверьте, что сайт открывается по HTTPS, сертификат действителен, нет «смешанного содержимого» (когда часть ресурсов грузится по незащищённому HTTP) и настроено перенаправление с HTTP на HTTPS. Передача персональных данных по незащищённому соединению, это непринятие технических мер защиты по части 1 статьи 19 закона о персональных данных. Сразу уточним порядок ответственности, чтобы не было ложного впечатления: денежной санкции в КоАП именно за отсутствие HTTPS нет. Это основание для предписания Роскомнадзора, а не штраф. И уже неисполнение такого предписания наказывается по статье 19.5 КоАП РФ. Поэтому пункт в чек-листе есть, хотя собственной «вилки штрафа» у него нет: устранять нужно, не дожидаясь предписания.

12. На сайте нет запрещённых или заблокированных сервисов. Проверьте подключённые внешние сервисы: счётчики, виджеты, плагины соцсетей, платёжные и почтовые интеграции. Часть из них в России запрещена или заблокирована, и их присутствие на сайте создаёт риски, от той же незаконной трансграничной передачи данных до претензий по размещению материалов заблокированных площадок. Здесь нет одной универсальной вилки штрафа: последствия зависят от конкретного сервиса и того, какие данные он собирает. Практический смысл пункта простой: знать полный список того, что реально подгружается на ваших страницах, и убрать то, что туда попало случайно или осталось от прошлых подрядчиков.

Как проверить всё разом

Пройти этот чек-лист вручную можно, но трудоёмко: нужно открыть исходный код страниц, посмотреть сетевые запросы, понять, какие сервисы относятся к зарубежным, сверить тексты документов с требованиями и не забыть про условные пункты, которые включаются только для вашего типа сайта. Легко пропустить то, что не лежит на поверхности: счётчик, который ставит cookie до согласия, или форму на внутренней странице без галочки.

Проверить эти 12 пунктов на своём сайте автоматически можно через сканер sitelaw: он пройдёт по публичной части сайта, сам определит его тип, отметит, какие пункты применимы именно к вам, и покажет расхождения с требованиями вместе со ссылкой на состав и вилку штрафа. Так за один проход вы переходите от общего списка к конкретному ответу про ваш сайт.

Коротко

Юридический чек-лист для сайта сводится к четырём блокам. Персональные данные: политика в открытом доступе, согласие в формах, cookie-уведомление с раздельными согласиями, уведомление РКН и локализация при иностранных сервисах. Документы: реквизиты для ИП и компаний, оферта при продажах, условия возврата для магазина. Реклама и маркировка: ERID на рекламе и возрастная маркировка, если они применимы. Техническое: HTTPS с действующим сертификатом и отсутствие запрещённых сервисов. Часть пунктов включается только по условию, поэтому начинать стоит с вопроса «что мой сайт делает», а не «всё ли из списка у меня есть». А чтобы понять, какие пункты не выполнены именно на вашем сайте, общего списка мало: нужна проверка самого сайта.

Нормативная база

  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 18.1: обязанность опубликовать политику обработки персональных данных в открытом доступе.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 9: согласие на обработку персональных данных (конкретное, информированное, сознательное).
  • Федеральный закон от 24.06.2025 № 156-ФЗ (о персональных данных, не путать с одноимённым законом о кредитной кооперации), поправки в статью 9 152-ФЗ: согласие на обработку персональных данных оформляется отдельно от иных документов (в силе с 01.09.2025).
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 22: обязанность уведомить Роскомнадзор об обработке персональных данных до её начала.
  • Федеральный закон от 21.07.2014 № 242-ФЗ, внёсший часть 5 статьи 18 152-ФЗ: локализация первичной базы персональных данных граждан РФ на серверах в России.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 19 часть 1: обязанность принимать технические меры защиты персональных данных.
  • Закон РФ «О защите прав потребителей» от 07.02.1992 № 2300-1, статьи 8 и 10: обязанность довести до потребителя информацию о продавце, товаре и услуге.
  • Гражданский кодекс РФ, статьи 435–437: публичная оферта и существенные условия договора при продаже товаров и услуг через сайт.
  • Закон РФ «О защите прав потребителей» от 07.02.1992 № 2300-1, статья 26.1: условия возврата товара при дистанционной продаже.
  • Федеральный закон «О рекламе» от 13.03.2006 № 38-ФЗ, статья 18.1: маркировка интернет-рекламы идентификатором (ERID) и передача данных оператору рекламных данных (ОРД).
  • Федеральный закон от 29.12.2010 № 436-ФЗ, статья 12: возрастная маркировка информационной продукции (знак информационной продукции).
  • КоАП РФ, статья 13.11 часть 3: отсутствие политики обработки персональных данных в общем доступе.
  • КоАП РФ, статья 13.11 часть 2: нарушение порядка получения согласия на обработку персональных данных (в том числе совмещение cookie-согласия с согласием на ПДн).
  • КоАП РФ, статья 13.11 часть 10: неуведомление Роскомнадзора об обработке персональных данных.
  • КоАП РФ, статья 13.11 части 8 и 9: нарушение требований о локализации персональных данных граждан РФ (ИП отвечают как юридические лица).
  • КоАП РФ, статья 14.5 часть 1: продажа товаров или услуг без обязательной информации о продавце.
  • КоАП РФ, статья 14.8 часть 1: нарушение права потребителя на получение информации о товаре и услуге.
  • КоАП РФ, статья 14.3 часть 16: отсутствие идентификатора рекламы (ERID) на интернет-рекламе.
  • КоАП РФ, статья 6.17 часть 1: отсутствие возрастной маркировки информационной продукции (для самозанятых, должностных лиц и ИП 5 000–10 000 ₽, для юридического лица 20 000–50 000 ₽).

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также