Бот Роскомнадзора уже сканирует ваш сайт. Штрафы - до 15 млн ₽. Разбираем, что проверить прямо сейчас
РКН тихо запустил автоматического бота, который обходит сайты в зонах .RU, .РФ и .SU и ищет нарушения в обработке персональных данных. Не по жалобам. Не выборочно. Массово. И штрафы прилетают таким компаниям, которые вообще не ожидали к себе внимания регулятора — от интернет-магазинов подушек до стоматологий.
Мы - команда разработчиков, которая за последний месяц получила лавину запросов на срочную доработку сайтов после предписаний РКН. Решили разобрать ситуацию, потому что масштаб проблемы большинство бизнесов пока не осознаёт.
Что именно сканирует бот
Алгоритм проходит по сайту и проверяет конкретные вещи:
- Формы сбора данных. Есть поле «телефон» или «email»? Значит, рядом должен быть чекбокс «Даю согласие на обработку персональных данных» со ссылкой на политику конфиденциальности. Причём галочка не должна стоять по умолчанию. Нет чекбокса - предписание.
- Политика конфиденциальности. Скачанный шаблон 2019 года с чужим юрлицом - не считается. Документ должен содержать конкретные цели сбора, категории данных, сроки хранения, порядок отзыва согласия. Привязанный к вашему бизнесу, а не абстрактный.
- Google Analytics. А вот это самое интересное. GA отправляет данные на серверы за пределами РФ. По закону - это трансграничная передача персональных данных, и о ней нужно уведомлять Роскомнадзор отдельно. По нашим оценкам, этого не сделали процентов 90 коммерческих сайтов в рунете. То же касается Facebook Pixel, Hotjar, Intercom, Zendesk и любых зарубежных SaaS.
- Фото сотрудников. Раздел «О нас» с фотографиями и именами — это обработка биометрических персональных данных. Нужно письменное согласие каждого сотрудника. Не устное «ну ладно» — а документ. Нет документа — штраф.
Цифры, которые отрезвляют
- Максимальный штраф за грубые нарушения — до 15 000 000 ₽
- Срок на исправление после предписания — 10 календарных дней
- Не уложились в срок — повторный штраф до 90 000 ₽
- Бот не различает масштаб бизнеса: лендинг кофейни и сайт банка проверяются одинаково
Кто уже попался
Мы не будем называть конкретные компании, но за последние месяцы к нам обращались:
- Интернет-магазин из региона. Штраф за отсутствие чекбоксов на трёх формах.
- Юридическая фирма. Предписание за Google Analytics без уведомления о трансграничной передаче.
- Клиника. Штраф за фотографии врачей на сайте без письменных согласий.
Во всех случаях владельцы были уверены, что "у них всё в порядке".
Что делать прямо сейчас
Если у вас есть сайт в российской доменной зоне - откройте его и пройдитесь по базовым пунктам:
- Есть ли чекбокс согласия на каждой форме?
- Чекбокс не предзаполнен?
- Политика конфиденциальности — ваша, а не чужой шаблон?
- Вы подали уведомление оператора ПД в Роскомнадзор?
- Используете Google Analytics? Уведомили РКН о трансграничной передаче?
- Фото сотрудников - есть письменные согласия?
Если хотя бы на один вопрос ответ «нет» или «не знаю» - у вас проблема, и бот её найдёт.
Мы написали подробную статью с полным разбором всех нарушений и готовым чеклистом из 50+ пунктов для самопроверки сайта — от форм и cookies до email-рассылок и интеграций с CRM.
👉 Прочитать полную статью можно на нашем сайте
Если не хотите разбираться сами - мы делаем полный аудит сайта на соответствие 152-ФЗ и устраняем все нарушения под ключ. Пишите в комментариях или в личку - ответим.