Роскомнадзор массово проверяет сайты на соответствие 152-ФЗ и выявляет нарушения по персональным данным

Роскомнадзор запустил массовую проверку сайтов российских организаций на соответствие требованиям 152-ФЗ о персональных данных. Вместо точечного ручного контроля регулятор задействовал специального бота, автоматически ищущего возможные нарушения и передающего материалы сотрудникам ведомства. Компаниям стоит отнестись к новой практике серьёзно, поскольку на исправление нарушений после предписания дают всего 10 дней, а штрафы добрались до 300 тыс. рублей.

О новой волне проверок рассказал юрист Алексей Башук. По его оценке, активность Роскомнадзора резко выросла после изменений в законодательстве, вступивших в силу осенью 2025 года. В ноябре 2025 года подобные проверки выглядели единичными, а сейчас процесс стал куда более масштабным и автоматизированным.

Главное отличие свежей практики кроется в том, что первичный поиск нарушений выполняет не человек, а бот. Он постоянно обходит сайты российских организаций и собирает признаки возможных несоответствий требованиям по обработке персональных данных. При обнаружении подозрительных элементов материалы уходят сотруднику Роскомнадзора. После этого сайт проверяют уже вручную, а при подтверждении нарушения организация получает предписание.

Интересно, что бот Роскомнадзора работает в круглосуточном режиме и может проверить тысячи сайтов за то время, что один инспектор раньше тратил на десяток ресурсов.

Для бизнеса меняется сама механика риска. Раньше многие компании годами не попадали в поле зрения регулятора, особенно при небольшом или региональном сайте. Автоматический обход теперь позволяет проверять гораздо больше ресурсов, а вероятность получить предписание растёт даже у тех, кто воспринимал персональные данные как формальность для галочки.

Срок на устранение нарушений выглядит жёстко. Организациям отводят всего 10 дней. За это время приходится разобраться с претензиями регулятора, поправить документы, формы, согласия, аналитику, тексты на сайте и порой внутренние процессы. Для небольшой компании подобный аврал особенно болезненный при давнем запуске сайта без обновления документов.

Алексей Башук изучил предписания Роскомнадзора по итогам подобных проверок и выделил самые частые проблемы. На первом месте оказались нарушения, связанные с согласием на обработку персональных данных. Регулятору мало просто разместить ссылку на политику или соглашение рядом с формой. Пользователь должен сам подтвердить согласие, а сайт обязан показать факт совершения подобного действия.

К типичным нарушениям относятся:

• ссылка на документы без отдельного подтверждения ознакомления;
• заранее проставленная галочка согласия в форме;
• отсутствие отдельного согласия на обработку персональных данных;
• неполные или устаревшие документы на сайте;
• сбор данных через формы без понятного объяснения целей обработки;
• отсутствие уведомления Роскомнадзора при фактической обработке данных.

Сам механизм с галочкой регулятора устраивает при условии её самостоятельной установки пользователем. Здесь и кроется различие между формальным текстом и работающим согласием. Предустановленная отметка воспринимается как навязанное согласие, а действие пользователя показывает реальное подтверждение условий перед отправкой данных.

Роскомнадзор сверяет сайты с реестром операторов персональных данных. При сборе данных через формы, заявки, личные кабинеты, подписки или другие механики и отсутствии организации в реестре ведомство рассматривает ситуацию как неуведомление. Это уже отдельное нарушение даже при наличии политики обработки данных на сайте.

Документы тоже попадают под проверку. Ведомство смотрит не только на наличие политики, согласия и иных файлов, но и на их содержимое. Ошибки бывают разными. Где-то не указаны цели обработки, где-то отсутствует перечень данных, где-то не описаны права субъекта персональных данных, где-то текст расходится с реальными формами на сайте.

Под проверку попадают самые обычные элементы сайта:

• формы обратной связи и заявки на консультацию;
• подписки на рассылку и регистрация на мероприятия;
• личные кабинеты и виджеты онлайн-чата;
• cookie-баннеры и веб-аналитика;
• страницы с фотографиями сотрудников;
• разделы с отзывами клиентов и формы загрузки резюме.

Ранее сообщалось, что российские компании опасаются проверок Роскомнадзора сильнее реальных утечек персональных данных. По данным исследования Б-152, 77,6% компаний назвали визит регулятора главным риском, а утечки беспокоят 57,8% организаций. Для многих игроков рынка главной угрозой стала не потеря данных клиентов, а административные последствия и штрафы.

Уточняется, что компании боятся проверки регулятора почти на 20 процентных пунктов сильнее, чем самой утечки данных клиентов.

Подобный перекос многое говорит о зрелости рынка. Персональные данные во многих компаниях воспринимаются как набор документов для проверки, а не как самостоятельная зона защиты. Массовый бот Роскомнадзора может изменить эту привычку. При регулярных и автоматизированных проверках поддерживать сайт и документы в актуальном состоянии придётся постоянно, а не перед ожидаемым визитом ведомства.

Сам Роскомнадзор ранее уже предлагал пересмотреть систему массовых согласий. Ранее глава ведомства Андрей Липов заявил о необходимости отказаться от устаревшей практики бесконечных подтверждений обработки данных на каждом сайте. По словам Андрея Липова, текущая система больше не даёт реальной защиты гражданам и должна уступить место отраслевому регулированию.

В подобной обстановке заметен парадокс. Регулятор считает нынешнюю модель согласий устаревшей, но именно по ней сайты сейчас активно проверяются и получают предписания. Пока правила остаются прежними, бизнесу приходится жить по действующему 152-ФЗ, следить за формами, документами, реестром операторов, аналитикой и всеми точками сбора данных.

Независимый эксперт по ПДн заявил в разговоре с CISOCLUB: «Массовые проверки Роскомнадзора показывают переход 152-ФЗ из бумажной зоны в режим автоматизированного контроля. Бизнесу необходимо не просто иметь документы на сайте, а привести в порядок всю цепочку обработки данных от формы сбора до хранения, аналитики, согласий и уведомления регулятора. При сохранении формального отношения к персональным данным бот Роскомнадзора быстро превратит подобную формальность в предписание, штраф и срочную доработку сайта».