Штрафы и блокировки от Роскомнадзора: что нужно знать и как избежать — наш реальный кейс

В 2025–2026 годах Роскомнадзор заметно ужесточил требования к сайтам и работе с персональными данными. Штрафы выросли, появились новые обязанности по локализации данных и трансграничной передаче, а за грубые нарушения возможна и блокировка ресурса.

Разберем по шагам:

  • какие риски реально есть у обычного сайта;
  • как выглядят штрафы и блокировки на практике;
  • что сделать сейчас, чтобы не попасть под раздачу;
  • наш реальный кейс: как клиент ушел от блокировки и крупных штрафов.

1. Какие санкции может применить Роскомнадзор к сайту


Сегодня РКН может:

  • провести проверку (документы + техническая часть сайта);
  • выдать предписание устранить нарушения в срок;
  • назначить административный штраф по КоАП РФ;
  • ограничить доступ к сайту (включая внесение в реестр для блокировки у операторов связи) при грубых и системных нарушениях или неисполнении предписаний.

Важно понимать: проблема не только у банков и гигантов. Любой сайт, где есть формы, заявки, подписки, сбор телефонов/почты/имени — уже оператор персональных данных.


2. Что поменялось к 2026 году (кратко по сути)


2.1. Локализация и трансграничная передача


С 1 июля 2025 года:

  • первичный сбор и изменение персональных данных должны происходить на территории РФ;
  • сначала запись/обновление в российской БД, и только потом — передача за рубеж при соблюдении правил трансграничной передачи;
  • использование иностранных сервисов напрямую, без локального контура и уведомлений, теперь прямой риск.

2.2. Согласия и уведомления


С 30 мая и 1 сентября 2025 года:

  • ужесточены требования к согласию на обработку ПДн (структура, цели, сроки и т.п.);
  • увеличены штрафы за обработку без согласия, без уведомления РКН о начале работы с ПДн и без сообщения об утечке.

2.3. Штрафы (ориентиры)


Для бизнеса (компании/ИП) сейчас вилка примерно такая:

  • 100 000 – 300 000 ₽ — за отсутствие уведомления о намерении обрабатывать ПДн;
  • 1 – 6 млн ₽ — за первое нарушение правил трансграничной передачи;
  • 6 – 18 млн ₽ — за повторное или без разрешения/уведомления;
  • до 5–15 млн ₽ — за крупные утечки данных, в зависимости от масштаба;
  • отдельные штрафы — за обработку без согласия, неправильные цели, отсутствие политики, неуведомление об утечке.
  • Плюс к этому — риск блокировки ресурса при грубом и продолжающемся нарушении.

3. На что РКН смотрит в первую очередь на сайте


При проверках обычно оценивают:

1. Факт и объем сбора персональных данных.

  • формы заявок, записи, подписки;
  • чаты, виджеты, обратный звонок;
  • боты и интеграции.

2. Регистрация в реестре операторов ПДн, если сайт собирает персональные данные.

3. Документы на сайте и внутри компании.

  • Политика обработки ПДн;
  • политика cookies;
  • формы согласия;
  • договоры с подрядчиками по обработке данных.

4. Внешние скрипты и сервисы.

  • аналитика (Google Analytics и прочие запрещенные/иностранные сервисы);
  • формы и конструкторы (Google Forms и аналоги);
  • капчи (reCAPTCHA);
  • карты, шрифты, CDN;
  • CRM/почтовые/чат-сервисы, куда улетают данные.

5. Локализация хранения и обработка.

  • есть ли российский контур хранения;
  • как устроена трансграничная передача и уведомления.

6. Безопасность и работа с инцидентами.

  • HTTPS;
  • базовые меры защиты;
  • порядок действий при утечке (и факт уведомления РКН, если утечка уже была).

4. Реальный кейс: как клиент был на пороге блокировки и крупных штрафов


Ситуация (обобщенный кейс, близкий к реальности):

  • сайт: крупный сервис в услугах b2c, большой поток заявок с сайта;
  • на сайте: формы заявки, онлайн-запись, чат, пиксели рекламы;
  • из инструментов: Google Analytics, reCAPTCHA, WhatsApp-кнопка, зарубежный почтовый сервис, часть данных хранится в иностранной CRM.

Что произошло:

1. Клиент получает запрос от Роскомнадзора с требованием пояснить:

  • кто оператор ПДн;
  • где хранятся данные;
  • какие сервисы используются;
  • предоставить документы (политики, согласия, договоры).

2. В запросе прямо указаны риски нарушения локализации и трансграничной передачи (данные сразу улетают за рубеж) и отсутствие корректного уведомления РКН.

Клиент до этого:

  • не стоял в реестре операторов ПДн;
  • не имел корректной политики и согласия;
  • не разделял российский контур и внешние сервисы.

Что сделали по шагам:

1. Технический аудит сайта.

  • составили список всех форм и точек сбора данных;
  • выявили все внешние скрипты и интеграции;
  • зафиксировали, что часть данных уходила напрямую на иностранные сервисы.

2. Экстренная техправка.

  • отключили или заменили наиболее критичные инструменты (иностранную аналитику, формы, капчи);
  • организовали первичную запись данных на сервере в РФ, а уже потом — передачу в сторонние системы по правилам трансграничной передачи.

3. Юр-блок.

  • подготовили и разместили корректные Политику ПДн, политику cookies, форму согласия;
  • помогли клиенту оформить уведомление в РКН и регистрацию как оператора ПДн;
  • проверили и дополнили договоры с подрядчиками на обработку данных.

4. Ответ РКН.

  • собрали пакет: описание нарушений, что именно исправлено, скриншоты, схемы потоков данных;
  • отправили аргументированный ответ в срок.

Результат:

  • клиент получил предписание с контролем исполнения, но избежал блокировки сайта и максимальных штрафов;
  • после повторной проверки нарушений не выявлено, кейс закрыт.

5. Как не довести до штрафа и блокировки: инструкция по шагам


Шаг 1. Провести инвентаризацию сбора данных


Ответьте себе честно:

  • какие данные вы собираете: ФИО, телефон, email, IP, поведение, гео, анкеты, комментарии, файлы;
  • через какие каналы: формы, чат, корзина, личный кабинет, боты;
  • куда это все улетает: база на хостинге в РФ, CRM, Google-сервисы, зарубежная почта и т.д.

Фиксируем все в одной схеме.


Шаг 2. Проверить локализацию и трансграничную передачу


  • обеспечить первичную запись данных в РФ;
  • отключить/заменить инструменты, которые напрямую шлют данные за границу без локального контура и уведомлений;
  • по тем сервисам, где трансграничка нужна:
    • оформить уведомление / разрешение, если требуется;
    • описать передачу в политике и согласиях.

Шаг 3. Привести в порядок документы


Минимальный набор для сайта:

  • Политика обработки персональных данных;
  • Политика cookies (если используете куки и пиксели);
  • форма согласия на обработку ПДн (отдельно — при регистрации, в формах заявок, подписках);
  • договоры/соглашения с подрядчиками, которые обрабатывают данные (хостинг, CRM, колл-центр, чат-сервисы и т.п.).

Документы должны соответствовать реальности: если вы пишете одно, а по факту делаете другое — это дополнительный риск.


Шаг 4. Проверить статус в Роскомнадзоре


  • понять, являетесь ли вы оператором ПДн (почти всегда «да», если есть формы);
  • проверить наличие/отсутствие уведомления и записи в реестре;
  • при необходимости — подать уведомление и зафиксировать это.

Шаг 5. Настроить безопасность и работу с утечками


  • HTTPS везде, в том числе на формах;
  • доступ к админке и базам — по минимально необходимому принципу;
  • логирование действий, резервные копии;
  • понятный план действий:
    • что делаем при утечке;
    • кто отвечает за уведомление РКН (иначе отдельный штраф за сокрытие).

Шаг 6. Регламенты внутри компании


  • кто имеет право менять формы и тексты на сайте;
  • кто согласует новые интеграции (CRM, чаты, аналитика);
  • кто отвечает за персональные данные (ответственное лицо);
  • как часто вы пересматриваете все вышеописанное (хотя бы раз в год или при серьезных изменениях).

6. Что делать, если проверка или претензия уже пришла


  1. Не игнорировать. Срыв сроков ответа — отдельный риск.
  2. Собрать команду: руководитель + юрист + техспециалист по сайту.
  3. Разобрать письмо по пунктам: что конкретно спрашивают или ставят в вину.
  4. Параллельно устранить очевидные нарушения (внешние скрипты, «дырявые» формы, отсутствие документов).
  5. Дать в РКН предметный ответ:
    • признать и описать, что уже устранили;
    • приложить доказательства (скриншоты, схему потоков, новые политики);
    • обозначить сроки по оставшимся пунктам, если они требуют больше времени.

Чем более структурно и по делу вы отвечаете, тем выше шанс пройти историю без блокировки и минимизировать штраф.


Подведем итоги


Штрафы и блокировки от Роскомнадзора — это уже рабочая реальность 2025–2026 годов, а не «страшилка для юристов».

Но в большинстве случаев проблемы начинаются не из-за злого умысла, а из-за:

  • автоматического использования «удобных» иностранных сервисов;
  • отсутствия регистрации и документов;
  • отсутствия базового аудита сайта под 152-ФЗ.

Если вы один раз:

  • инвентаризируете сбор данных,
  • наведете порядок в документах и интеграциях,
  • и закрепите это регламентами,

то вероятность штрафа и блокировки резко падает, а проверка превращается в формальную процедуру, а не в кризис для бизнеса.

Вернуться к списку