Какие штрафы грозят за сайт без политики конфиденциальности в 2026 году

Если на сайте есть хоть одна форма, которая собирает имя, email, телефон или любые другие данные, позволяющие идентифицировать человека, — на сайте обязана быть политика конфиденциальности. Это требование статьи 18.1 Федерального закона 152-ФЗ.

Речь не только об интернет-магазинах. Форма «Задать вопрос» на сайте юридической компании — сбор данных. Форма записи на консультацию у стоматолога — сбор данных. Подписка на рассылку — сбор данных. Везде, где посетитель вводит что-то о себе, вы становитесь оператором персональных данных.

Сколько стоит нарушение

До мая 2025 года штрафы были от 15 до 75 тысяч рублей для юрлиц. Многие считали, что это дешевле, чем нанять юриста для составления документа. После изменений картина другая:

• Физлица: от 10 000 до 15 000 рублей
• Должностные лица: от 50 000 до 100 000 рублей
• Юрлица: от 150 000 до 300 000 рублей

За повторное нарушение суммы удваиваются.

Что должно быть в политике конфиденциальности

Закон не предлагает единый шаблон. Но есть обязательные пункты:

• Кто собирает данные — полное наименование организации или ФИО ИП, адрес, контакты.
• Какие данные собираются — перечень: имя, телефон, email, IP-адрес, cookies.
• Цели обработки — зачем вы собираете данные (для обработки заказа, для связи, для маркетинга).
• Правовые основания — согласие субъекта, исполнение договора, законный интерес.
• Срок хранения — сколько вы храните данные.
• Кому передаёте — третьи лица, которые получают доступ (хостинг, CRM, рассылочный сервис).
• Права субъекта — как человек может запросить удаление своих данных.
• Меры защиты — как вы защищаете данные от утечек.

Типичные ошибки

Скопированная политика с другого сайта. Роскомнадзор это видит. В документе указана чужая компания, чужие сервисы, чужие цели обработки. Формально — политика есть. Юридически — она не ваша и не защищает ни вас, ни посетителей.

Политика есть, но ссылки на неё нет рядом с формами. Документ лежит где-то в подвале сайта, но при заполнении формы обратной связи человек не видит ни ссылки, ни чекбокса. Суд считает это нарушением.

Устаревший документ. Политика написана в 2019 году, с тех пор на сайте появился чат-бот, интеграция с CRM, новые формы. Ничего из этого в политике не отражено.

Нет чекбокса согласия. Политика опубликована, но пользователь не даёт согласие на обработку. По закону согласие должно быть активным — человек ставит галочку сам. Галочка, установленная по умолчанию, не считается.

Как проверить

Откройте свой сайт. Найдите любую форму. Есть ли рядом ссылка на политику конфиденциальности? Есть ли чекбокс? Можно ли отправить форму без галочки? Если хотя бы один ответ «нет» — на сайте нарушение.

Штрафометр проверяет это автоматически: находит все формы на сайте, проверяет наличие политики и чекбоксов, и показывает конкретные нарушения с суммами штрафов.

Кратко

• Политика конфиденциальности обязательна, если сайт собирает хоть какие-то данные о посетителях
• Штраф для юрлиц — от 150 000 до 300 000 рублей (с мая 2025)
• Документ должен содержать минимум 8 обязательных пунктов
• Скопированная политика с чужого сайта не считается
• Согласие пользователя должно быть активным (галочка, которую ставит сам пользователь)

Частые вопросы

Нужна ли политика конфиденциальности, если на сайте нет форм?

Если сайт использует cookies или аналитику (даже Яндекс.Метрику) — формально да, потому что cookies могут содержать данные, позволяющие идентифицировать пользователя.

Можно ли использовать шаблон политики из интернета?

Можно взять за основу, но нужно адаптировать под свой сайт: указать свои данные, свои цели обработки, свои сервисы. Шаблон без адаптации — бесполезен.

Где на сайте должна быть размещена политика?

Ссылка на политику должна быть в подвале каждой страницы и рядом с каждой формой, которая собирает данные.

Штрафуют ли ИП без сайта, но с формой в соцсетях?

Если вы собираете данные через любую площадку — вы оператор ПД. Но проверки сайтов происходят чаще, чем проверки соцсетей.