• /
  • /

Чек-лист по регистрации в Роскомнадзоре и обеспечению юридической безопасности сайта и чат-бота

Ангелина Соболева
Время чтения: ~ 5 мин
Каждый бизнес в интернете собирает персональные данные. Вы можете спорить с этим или нет, но Роскомнадзор уже озвучил свою позицию и увеличил штрафы за невыполнение.

Вы можете отказаться от работы с физическими лицами или заменить формы обращениями в Телеграм, но вы все равно ОПД. Расскажем в статье, как избежать штрафов.
Проконсультироваться по соответствию сайта закону о персональных данных
Кто обязан уведомить Роскомнадзор о сборе персональных данных — простое объяснение:

c мая 2025 года всем, кто собирает персональные данные через сайт, соцсети или мессенджеры, нужно обязательно уведомить Роскомнадзор. Это новое требование касается не только больших компаний, но и фрилансеров, экспертов и владельцев простых сайтов. Все, кто работает с персональными данными, должен подать документы в РКН, включая следующие бизнесы:
  • Онлайн-школы, курсы, коучи и инфобизнес
    Собираете имена, email, телефоны, данные для оплаты — например, через формы на сайте, вебинары или чат-боты? Значит, вы попадаете под закон.

    Примеры:
    • Школа английского с личным кабинетом
    • Коуч, записывающий клиентов через Google Forms
    • Автор курса с оплатой на сайте
  • Эксперты, блогеры и консультанты
    Если вы продаёте консультации или услуги и получаете данные подписчиков или клиентов (через Telegram, сайт или личные сообщения), вы тоже обязаны уведомить Роскомнадзор.

    Примеры:
    • Психолог, принимающий заявки через Telegram
    • SMM-специалист с формой записи
    • Блогер с платными разбором или обучением
  • Интернет-магазины и онлайн-сервисы
    Если вы получаете заказы через сайт, сохраняете адреса, номера телефонов и оплаты — вы обрабатываете персональные данные.

    Примеры:
    • Магазин бытовой техники с регистрацией
    • Сервис ремонта телефонов с онлайн-записью
    • Любой сайт с кнопкой «Оформить заказ»
  • Фрилансеры и самозанятые
    Обратите внимание! Если вы просто сохраняете контакты клиентов (в переписке, Excel или мессенджере) и получаете оплату — это тоже обработка данных.

    Примеры:
    • Копирайтер, дизайнер, маркетолог
    • Специалист, выставляющий счета через чат
    • Самозанятый с клиентской базой
  • Владельцы лендингов
    Даже если сайт совсем простой — уведомление нужно, если на нём есть:

    • Форма «Оставьте телефон»
    • Подписка на рассылку
    • Чат-бот (Telegram, WhatsApp)
    • Форма заявки на услугу собирающая данные с ФИО, телефоном или почтой

Счетчик на сайте

Наличие Яндекс Метрики для сбора статистики и аналитики уже обязывает встать в реестр РКН. Вы знаете пол, возраст, браузер и другую информацию о пользователе — вы оператор персональных данных. Чтобы не попасть под штрафы, нужно собирать cookies. Для этого нужно на сайте сделать всплывающее окно и взять согласие пользователя на сбор cookie при открытии сайта. В Digital Duke мы бережно относимся к клиентам и внедрили сбор кукис на их сайты. Как это выглядит можете посмотреть на примере remarena.ru.

Если у вас установлена Google Serch Console, удалите ее или внесите пункт о трансграничной передаче данных в «Политику обработки персональных данных» на сайте.

Исключения

Кому можно не подавать уведомление

Если вы не ведете бизнес в интернете и не храните персональные данные (например, используете анонимные опросы)

Риски в случае несоблюдения требований

  • Основные штрафы за нарушение закона о персональных данных

    • от 30 000 до 50 000 рублей — для должностных лиц
    • от 100 000 до 300 000 рублей — для организаций и ИП
    • Обработка данных без согласия субъекта: 300 000 — 700 000 рублей для ИП и юрлиц.
    • Нет опубликованной политики обработки данных: до 60 000 рублей
    • Блокировка сайта без предупреждения. Самое непредсказуемое решение Роскомнадзора. Оно может привести к потере бизнеса. Даже временная недоступность сайта в индексе может привести к потере трафика, который будет сложно восстановить.
  • Новые штрафы за утечку данных
    Ранее ответственность за утечку данных в КоаП не уточнялись. Теперь появилось 6 новых составов нарушений, связанных с масштабом утечки:

    • Если пострадало от утечки данных от 1 000 до 10 000 человек или до 100 000 идентификаторов (например, имя, email, телефон) — до 5 миллионов рублей.
    • Утечка от 10 000 до 100 000 человек или до 1 млн идентификаторов — до 10 миллионов рублей.
    • Утечка более 100 000 человек или более 1 миллион идентификаторов — до 15 миллионов рублей.
То есть если у вас 2000 клиентов, все данные хранятся в CRM, при этом недоброжелатель перехватил данные, так как был плохо настроен API, вы заплатите до 5 миллионов рублей.

Штраф за повторную утечку — до 3% от годовой выручки, не путать с прибылью.
*Важно!* После того как изменения вступят в силу проверки Роскомнадзора станут строже. Данные о бизнесе ведомство сможет запрашивать у ФНС и СФР.

Как подать уведомления в Роскомнадзор?

Три законных варианта подачи:
01. Бумажный вариант
  • Заполнить форму на сайте РКН
  • Распечатать
  • Подписать
  • Отправить почтой оригиналы документов

02. Через сайт РКН
https://pd.rkn.gov.ru/operators-registry/notification/form/
  • Требуется электронная подпись
  • Или подтвержденный аккаунт на Госуслугах

03. Через Госуслуги
  • Требуется подтвержденный аккаунт на Госуслугах

Необходимые юридические документы для сайта

Договор-оферта

Где  лучше размещать:
  • На странице оплаты/заказа — под кнопкой «Купить"/"Оформить заказ» текстом: «Нажимая кнопку, вы принимаете условия [договора-оферты]» (слово «оферты» — кликабельная ссылка при которой открывается сам документ)
  • В подвале (футере) сайта — ссылка на «Договор-оферта»
  • В меню сайта можно создать раздел «Юридические документы»
Важно:
  • Чек-бокс не должен быть заполнен, посетитель должен самостоятельно ставить галочку.
  • Если оферта изменилась, клиент должен принять новую версию при каждом посещении
Политика обработки персональных данных

Где лучше размещать:
  • В подвале сайта — ссылка «Политика обработки персональных данных» (должна быть на всех страницах)
  • В формах сбора данных — текст: «Отправляя данные, вы соглашаетесь с [политикой обработки персональных данных]»
  • На отдельной странице + в меню, если у вас сложный проект
Ошибка, которой следует избегать:
  • Политика не должна быть размещена в общем чек-боксе с офертой
Согласие на обработку персональных данных

Где размещать:
  • В формах заявок/регистрации — отдельный чек-бокс с текстом: «Нажимая кнопку „Зарегистрироваться“, я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ „О персональных данных“, на условиях и для целей, определенных в Согласии на обработку персональных данных *»
  • В личном кабинете — если данные редактируются
Обязательно:
  • Чек-бокс без предварительного согласия (галочка не стоит по умолчанию)
  • Если данные передаются третьим лицам (например, курьеру), это нужно указать
Согласие на рекламную рассылку

Вы не имеете право рассылать любые рекламные материалы без предварительного согласия.

За спам-рассылку вы можете получить сразу два штрафа, нарушая два федеральных закона одновременно: «О персональных данных» и «О рекламе». Штраф у юридических лиц может доходить до 1 миллиона рублей.

Например, в форме регистрации вы просите указать e-mail для обратной связи, а впоследствии присылаете рекламные сообщения. Такая рассылка будет являться нежелательной и относиться к спаму.

Если вы указываете согласие на получение рекламных сообщений вместе с другими документами, например, с договором-офертой, это будет считаться нарушением закона о персональных данных. У пользователя должен быть выбор. Отказ от рекламных писем не может влиять на заказ основного товара или услуги.

Где лучше  размещать:
  • В формах подписки (например, на email-рассылку): «Я согласен получать рекламные сообщения» + ссылка на условия
  • При регистрации/оплате — отдельный чек-бокс (не объединять с другими!)
  • Не путать рекламные и системные рассылки. Нельзя отправить рекламное сообщение, если клиент дал согласие только на получение уведомлений. К системным уведомлениям относятся email о заказе, информация о договорах, напоминание пароля и т. д.
Важно:
  • Без этого соглашения нельзя присылать рекламу, иначе вам выпишут штраф
  • У клиента должна быть возможность отписаться в каждом письме
Согласие на cookie

Где размещать уведомление:
  • Баннер или pop-up при первом заходе на сайт
  • В нижней части экрана — как это реализовано на большинстве европейских ресурсов
  • Важно: уведомление не должно перекрывать основной контент и мешать пользователю
Что должно содержаться в уведомлении:
Текст:
«Для улучшения работы сайта мы используем cookie-файлы. Продолжая пользоваться сайтом, вы соглашаетесь с [Политикой использования файлов cookie]»
Кнопки:
  • «Принять» — выражение согласия на все категории cookie
  • «Настроить» — выбор конкретных типов cookie (например, только обязательные или только аналитика)
  • «Отклонить» — отказ от всех cookie, кроме обязательных
Политика использования cookie:
  • Ссылка в подвале сайта: разместите пункт меню с текстом «Файлы cookie»
  • Политика конфиденциальности: добавьте отдельный блок, посвящённый cookie
Что включить в этот раздел:
  • Типы используемых cookie:
  1. Обязательные (например, для работы корзины, авторизации) — не требуют согласия
  2. Аналитические (Яндекс Метрика, Google Analytics и пр.) — используются с согласия пользователя
  3. Рекламные (ВКонтакте, Яндекс Директ и аналогичные) — также требуют предварительного согласия
Ошибки, которые приведут к штрафам:
  • Нет уведомления о cookie — штраф до 100 000 рублей
  • Невозможно отказаться — должно быть 2 варианта: «Принять» и «Отклонить»
  • Нет ссылки на политику cookie — пользователь не понимает, на что соглашается

Юридические документы для использования чат-ботов (Telegram, WhatsApp и другие)

При первом контакте с пользователем
Необходимо отправить сообщение, содержащее ссылки на ключевые документы:
«Перед началом работы, пожалуйста, ознакомьтесь с:
  • Договором-офертой
  • Политикой обработки персональных данных
Нажимая кнопку «Продолжить», вы подтверждаете своё согласие с указанными условиями."
При получении персональных данных (например, при оформлении заказа или регистрации)
Добавьте отдельные кнопки с формулировками:
  • «Согласен с условиями договора-оферты» (добавьте активную ссылку на документ)
  • «Даю согласие на обработку персональных данных»
Важно: нельзя трактовать участие в переписке как автоматическое согласие пользователя!

Пример сообщения для чат-бота, оформляющего заказы
«Благодарим за заказ! Для продолжения оформления, ознакомьтесь с:
  • Договором-офертой — условия покупки и возврата
  • Политикой обработки ПД — как будет использоваться ваша информация
Нажмите «Я согласен», чтобы подтвердить принятие условий."

Документы в платежных системах

  • На странице оплаты
    • Добавьте фразу: «Оплачивая заказ, вы принимаете условия договора-оферты (ссылка) и соглашаетесь с политикой обработки персональных данных (ссылка)»

    • Если платеж через сайт (не внешний сервис), добавьте эту информацию в виде чек-боксов. Убедитесь в том, что галочку клиент ставит самостоятельно
  • В личном кабинете (если есть)
    • Разместите ссылки на актуальные версии документов в разделе, где хранятся все электронные договоры, например, «Юридическая информация» или «Документы»

    • Обратите внимание, если вы внесли изменения в документы, согласие нужно собирать заново

Частые ошибки, которых следует избегать

1. Все документы в одном чек-боксе («Я согласен со всем»)

2. Галочки проставлены по умолчанию — они не имеют юридической силы

3. Рекламные рассылки не вынесены отдельным пунктом
4. Договор о ПД взят из другого источника и не учитывает все нюансы вашей работы: указаны неверные цели сбора информации или не полностью отражены методы сбора и хранения информации, не указана информация про передачу третьим лицам

5. Согласие с политикой размещено не во всех формах на сайте

6. Ссылки на документы не кликабельные, например, в мобильной версии

Пакет внутренних документов, необходимых по закону

Согласно данным Роскомнадзора для правильной работы с персональными данными вам понадобятся следующие документы:
  • Политика обработки ПД
  • Положение о защите ПД
  • Приказ о назначении ответственного за обработку ПД
  • Приказ о допуске к обработке ПД
  • Инструкция ответственного за организацию обработки персональных данных
  • Журнал учета передачи ПД
  • Приказ об утверждении перечня мест хранения ПД
  • Регламент реагирования на запросы субъектов ПД и РКН
  • Акт оценки возможного вреда

Заключение

В заключении хотим ответить на вопрос, который интересует всех.
Какова вероятность возникновения риска штрафа за неподачу данных в РКН?

Ответ: Никто вам не скажет, но Роскомнадзор, при желании, увидит в ЕРИР, что вы ведете договорную работу. Сопоставить данные очень просто.  Возможно, вы будете и дальше жить спокойной жизнью, ведь страна большая, всех не оштрафуют. Взвешивать собственные риски сможете только вы.
Остались вопросы?