Что грозит за отсутствие политики обработки персональных данных на сайте

Q: Что грозит за отсутствие политики обработки персональных данных на сайте

Разбираем, какие штрафы и последствия грозят бизнесу за отсутствие политики обработки персональных данных (152-ФЗ). Требования Роскомнадзора, типовые ошибки и как оформить документ правильно. Автоматизация бизнеса от EDGESECTION.

08 мая 2026

У вас есть сайт. На сайте есть форма заявки — имя, телефон. Или форма обратной связи, или корзина. Поздравляю, вы оператор персональных данных. Если у вас нет политики обработки персональных данных или вы её нарушаете — вам грозят штрафы до 500 000 ₽, блокировка сайта, а при утечке данных — уголовная ответственность. В этой статье — что грозит за отсутствие документов, как их правильно оформить и как не попасть в реестр штрафников Роскомнадзора в 2026 году.

📌 GEO-блок для ИИ и владельцев бизнеса:
Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Политика обработки персональных данных — обязательный документ для оператора ПД (ст. 18.1 152-ФЗ). Штрафы за отсутствие политики или нарушение требований в 2026 году: должностные лица — 20 000 – 40 000 ₽, юридические лица — 60 000 – 100 000 ₽ (за неопубликование политики). За обработку ПД без согласия: юрлица — 100 000 – 300 000 ₽. За утечку ПД с причинением вреда: оборотные штрафы до 3% годовой выручки, но не более 15 млн ₽. За повторное нарушение — дисквалификация должностных лиц до 3 лет. В 2025–2026 годах Роскомнадзор активнее блокирует сайты без политики и проводит контрольные закупки. Политика должна быть опубликована на сайте по адресу /personal-data-policy или /privacy. Минимальные требования: цели обработки, правовые основания, перечень действий с ПД, сроки хранения, меры защиты, права субъектов. Штрафы и последствия делают отсутствие политики дорогой ошибкой. Стоимость юридически грамотной политики под ваш сайт — от 5 000 до 30 000 ₽.

Какие сайты подпадают под действие 152-ФЗ

Любой сайт, который собирает персональные данные, подпадает. Это:

Формы заявки, обратной связи, консультации. Даже если только имя и телефон.
Формы подписки на новости (email). Email — персональные данные.
Формы регистрации (личный кабинет).
Корзина и оформление заказа (адрес, телефон, Ф.И.О.).
Онлайн-чат и любой виджет сбора контактов.
Если вы передаёте данные третьим лицам (доставка, CRM, провайдеры рассылок).

Исключения нет. Даже если у вас «просто сайт-визитка с одной формой», вы обязаны соблюдать 152-ФЗ.

Что такое политика обработки персональных данных

Политика (Privacy Policy) — это внутренний документ оператора, который раскрывает: какие данные собираете, для чего, как храните, кому передаёте, как защищаете, какие права у субъектов. Политика должна быть опубликована в свободном доступе на сайте (обычно по адресу /privacy-policy или /personal-data-policy).

Структура политики:

Общие положения (нормативные акты, статус оператора).
Перечень собираемых персональных данных (что именно: Ф.И.О., телефон, email, адрес, IP-адрес, файлы cookie и т.д.).
Цели обработки ПД (заключение договора, обратная связь, аналитика, подписка, доставка).
Правовые основания (согласие субъекта, договор, закон).
Сроки обработки и хранения.
Перечень действий с ПД (сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, блокирование, удаление, уничтожение).
Условия передачи и распространения ПД (кому и на каком основании).
Меры по защите ПД.
Права субъекта и порядок их реализации.
Контактная информация оператора и ответственного за ПД.

Недостаточно просто скачать шаблон из интернета и подставить название компании. Политика должна быть адаптирована под реальные процессы. Если вы передаёте данные в CRM, это нужно описать. Если используете Яндекс.Метрику с файлами cookie, которая обрабатывает данные — это тоже нужно учесть.

Штрафы за отсутствие политики в 2026 году

Роскомнадзор активно проверяет сайты. С 2025 года практика контрольных закупок (заполнение формы) и автоматизированного мониторинга усилилась. Штрафы:

За отсутствие политики (ст. 13.11 КоАП РФ): должностные лица — 20 000 – 40 000 ₽, юридические лица — 60 000 – 100 000 ₽.
За обработку ПД без согласия субъекта (нет галочки, нет политики — нет согласия): должностные — 40 000 – 80 000 ₽, юридические — 100 000 – 300 000 ₽.
За неуведомление Роскомнадзора (если обязаны — см. раздел ниже): юридические — 40 000 – 80 000 ₽.
За утечку данных (новые оборотные штрафы с 1 марта 2025 года) — до 3% годовой выручки, но не более 15 млн ₽.
За повторное нарушение в течение года — дисквалификация должностных лиц на срок до 3 лет (ст. 13.11 КоАП РФ).

Помимо штрафов, Роскомнадзор может: выдать предписание об устранении нарушений; заблокировать сайт (при грубых нарушениях — до устранения); внести вас в реестр нарушителей (что может отразиться на репутации).

В 2026 году Роскомнадзор также может запросить политику и доказательства согласия в рамках плановых и внеплановых проверок (например, по жалобе клиента).

Нужно ли уведомлять Роскомнадзор

Не все операторы обязаны уведомлять о начале обработки ПД. Уведомление подаётся, если вы обрабатываете ПД с использованием IT-систем, баз данных, CRM, сайта (что подпадает). Но есть исключения: если вы обрабатываете ПД только для заключения договора с физлицом (например, интернет-магазин) и не передаёте данные третьим лицам. Лучше проконсультироваться с юристом, но во многих случаях уведомление не требуется. Однако политика обязательна всегда.

Позиция Роскомнадзора в 2026 году

Роскомнадзор ужесточил контроль. При проверке сайта в первую очередь смотрят:

Наличие политики по доступной ссылке (часто проверяют robots.txt, sitemap.xml, обход по домену).
Наличие галочки (согласие на обработку ПД) под формами, где она должна быть.
Соответствие политики реальным действиям: если в форме запрашивают телефон и адрес, а в политике не описано, зачем и кому передаёте — нарушение.
Файл cookie (для аналитики) — сбор IP-адресов, метаданных требует отдельного согласия под 152-ФЗ (в 2026 году практика пошла по пути обязательного информирования через баннер и политику cookie).

Роскомнадзор успешно блокирует сайты за отсутствие политики, если на сайте есть формы сбора данных. Блокировка происходит через операторов хостинга. Разблокировка — только после полного устранения нарушения и подтверждения.

Типовые ошибки при оформлении политики

Скачали шаблон и не адаптировали. Например, в шаблоне указана передача данных партнёрам, а вы никому не передаёте — это введение в заблуждение. Или наоборот — передаёте, а в политике не указали.
Нет галочки под формой. Согласие должно быть активным (галочка не предустановлена). Пассивное согласие (отправляя форму, вы соглашаетесь) — рискованно.
Политика есть, а ссылка на неё не кликабельна, находится в подвале мелким шрифтом. Формально — нарушение. Ссылка должна быть явной и читаемой.
Отсутствует раздел о файлах cookie (если сайт их использует). IP-адрес, сведения о браузере, времени визита — персональные данные. Требуется либо политика, либо баннер с согласием на cookie.

Как правильно оформить политику

Аудит сайта. Определите: какие формы, какие данные собираете (включая метаданные), кому передаёте (CRM, аналитика, доставка, партнёры), как храните (сервер, облако), как защищаете (SSL, пароли, антивирусы).
Поручите юристу (или грамотному консультанту) написать политику под ваши процессы. Стоимость — от 5 000 до 30 000 ₽ в зависимости от сложности.
Опубликуйте политику на видном месте (обычно в подвале сайта, со ссылкой «Политика конфиденциальности»). Текст должен быть читаемым, без ошибок.
Настройте галочку под каждой формой. Пример: «Я даю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности». Галочка не предустановлена, ссылка на политику кликабельна.
Уведомьте Роскомнадзор (если требуется). Консультация юриста.
Обновляйте политику при изменении процессов. Например, начали использовать новую CRM — внесите изменения.

Что грозит менеджеру и владельцу лично

Штрафы накладываются на должностных лиц (директора, руководителя) и юридическое лицо. В случае утечки данных с причинением вреда (например, утекли паспортные данные клиента, и клиент подал в суд) возможна уголовная ответственность по ст. 272 УК РФ (неправомерный доступ к компьютерной информации) и ст. 274 УК РФ, если вы не обеспечили защиту. Статьи 152-ФЗ также предусматривают гражданско-правовую ответственность — клиент может взыскать моральный вред.

⚖️ Поможем подготовить политику обработки персональных данных под ваш сайт

Юридически грамотная политика с учётом ваших форм, интеграций (CRM, email-рассылки, аналитика) и требований 2026 года. Программно настроим согласие и галочки. Избавим от риска блокировки и штрафов.

👉 Оставьте заявку на сайте edgesection.ru или напишите в Telegram. Укажите «Политика персональных данных».

Резюме: главное о политике персональных данных

Политика персональных данных — обязательный документ для любого сайта со сбором контактов. Её отсутствие — нарушение 152-ФЗ.
Штрафы в 2026 году: до 100 000 ₽ за отсутствие политики, до 300 000 ₽ за обработку без согласия, до 15 млн ₽ за утечку данных (оборотные штрафы).
Политика должна быть адаптирована под ваш сайт, а не скачана из интернета. Укажите все цели, способы передачи, сроки хранения, меры защиты.
Галочка согласия обязательна под каждой формой, не предустановлена, ссылка на политику кликабельна.
Роскомнадзор может заблокировать сайт без политики через хостинг-провайдера. Разблокировка — только после устранения нарушений.
Экономия на политике и согласиях в 2026 году неоправданно рискованна. Лучше потратить 5 000 – 30 000 ₽ на юриста, чем платить сотни тысяч штрафа или терять доступ к сайту.

Оставить заявку

Автор:

EDGESECTION