Требования РКН к сайту в 2026 году: что изменилось, какие штрафы и на что обратить внимание

С 2025 года проверки Роскомнадзора стали автоматическими. Сканер работает без жалоб и предупреждений — и фиксирует нарушения до того, как компания успевает их обнаружить. Разбираем текущие требования и финансовые риски.

Проверки РКН больше не зависят от жалоб пользователей. С 30 мая 2025 года ИИ-сканер обходит сайты в автономном режиме, анализирует формы, скрипты и документы и сопоставляет их с актуальными требованиями. Операторы персональных данных из реестра попадают под проверку ежемесячно, прочие компании — раз в квартал. Нарушение фиксируется в момент сканирования.

Финансовые последствия существенны. Штраф за нарушение законодательства о персональных данных — от 300 000 до 700 000 рублей. Доказанная утечка данных — до 15 млн рублей. Повторное нарушение — 3% годовой выручки. Для аккредитованных ИТ-компаний ставки иные: несоответствие Приказу Минцифры №511 ведет к утрате льготного налога на прибыль — 0–3% вместо 20% — и льготных страховых взносов.

Ключевые изменения 2025–2026 годов

1. Автосканер РКН (с 30 мая 2025). Анализирует весь интерфейс сайта по стандарту ГОСТ Р 52872-2019: формы, JavaScript-скрипты, cookie-баннеры, реквизиты и политику конфиденциальности.
2. Требование локализации данных (с 1 июля 2025). Данные граждан РФ хранятся только на оборудовании, физически расположенном в России. Страна регистрации хостинг-провайдера значения не имеет.
3. ГОСТ Р 52872-2019 в основном дизайне (с 1 марта 2026). Инструменты доступности должны работать в базовом интерфейсе — отдельная кнопка контрастного режима больше не принимается.

Персональные данные: четыре обязательных элемента

Политика конфиденциальности

Документ включает шесть разделов: цели и основания обработки — согласие, договор или закон, — перечень категорий данных, сроки хранения, права субъектов и контакты для обращений. Использование чужого шаблона создает практический риск: РКН проверяет конкретные формулировки, и чужие контактные данные в документе означают, что жалобы клиентов попадут не к оператору.

Форма согласия на обработку данных

Сканер автоматически проверяет атрибут checked в HTML — чекбокс согласия должен быть только пустым. Формулировка цели обработки должна быть конкретной: «Даю согласие на обработку персональных данных с целью получения рассылки». Общее «согласен с политикой» требованиям не отвечает. Обязательные элементы: добровольность, возможность отзыва, ссылка на политику конфиденциальности в тексте.

Регистрация в качестве оператора ПД

Любое поле для ввода ФИО, email, телефона или адреса — основание зарегистрироваться оператором на pd.rkn.gov.ru. Штраф за отсутствие регистрации: от 150 000 до 300 000 рублей. Важный нюанс: счетчики Яндекс.Метрики фиксируют IP-адреса, которые закон относит к персональным данным. Сайт-визитка без форм, но с аналитикой — уже оператор персональных данных.

Cookie-баннер

С марта 2025 года обязательный минимум: кнопки «Принять все» и «Настройки», возможность раздельно отключить маркетинговые и аналитические трекеры, прямая ссылка на политику конфиденциальности в самом баннере. Пользователь отказался от передачи данных — эти данные нельзя передавать рекламным системам.

Юридическая идентификация: пять позиций в футере

Требование ст. 14.5 КоАП нарушается стабильно — при том что устраняется за несколько минут. Пять обязательных элементов: полное наименование организации, организационно-правовая форма, ОГРН или ОГРНИП, ИНН, юридический адрес.

Каждая отсутствующая позиция — отдельный штраф: от 20 000 до 30 000 рублей для юридических лиц, от 10 000 до 20 000 рублей для должностных. Требование распространяется на любое онлайн-присутствие: корпоративный сайт, лендинг, одностраничник.

Технические требования

Российский хостинг

С июля 2025 года данные пользователей не хранятся на серверах за пределами России — требование охватывает хостинг, CDN и облачные сервисы. Инспектор проверяет физическое расположение оборудования. Нарушение: штраф для юридического лица — от 1 до 3 млн рублей.

SSL и защищенное соединение

Работа сайта с формами по HTTP — нарушение. Технические требования: протокол TLS 1.2 и выше, действующий сертификат без предупреждений браузера, автоматический редирект с HTTP на HTTPS.

Доступность по ГОСТ Р 52872-2019

С марта 2026 года стандарт применяется полностью: alt-атрибуты у изображений, коэффициент контрастности текста не менее 4.5:1, навигация с клавиатуры, поддержка скринридеров, возможность масштабирования до 200% без горизонтального скролла.

Требования к сайту аккредитованных ИТ-компаний

Приказ Минцифры №511, вступивший в силу 21 ноября 2025 года, устанавливает обязательный перечень для сайта: коды ОКВЭД из реестра Минцифры, описание продуктов на русском языке, конкретные тарифы — формулировки «по запросу» и «договорная» не засчитываются, — данные о круглосуточной поддержке и сведения об аккредитации.

Механизма автоматического исключения из реестра нет. Однако плановая проверка аккредитации включает анализ сайта, и несоответствие может стать основанием для отказа в продлении. Итог: налог на прибыль — 20% вместо 0–3%, страховые взносы — 30% вместо 7,6%.

Реагирование на предупреждения и инциденты

Ч. 3 ст. 13.11 КоАП обязывает оператора уведомить РКН об утечке в течение суток. Если инцидент задокументирован в логах или поступили жалобы пользователей, а оператор не уведомил — это самостоятельный состав нарушения с максимальным штрафом.

Порядок действий: зафиксировать инцидент, направить уведомление в РКН, оповестить пострадавших, провести внутреннее расследование, устранить причину нарушения.

Большинство нарушений устраняются за один рабочий день — реквизиты в футере, чекбокс, политика конфиденциальности. Хостинг и доступность требуют отдельного планирования. Чтобы не пропустить ни одного пункта, полезен чеклист соответствия сайта российскому законодательству — 30 критериев со ссылками на нормативную базу.