Юристам грозит до 5 лет УК РФ за их же Сайты: чек-лист по аудиту сайта и веб-инфраструктуры

Друзья, товарищи, коллеги. Очень сильно ужесточились требования к соблюдению закона о ПД, особенно в нише БФЛ. Проверки сайтов проходят постоянно. С каждым днем все больше и больше наших партнеров сталкиваются с подобными требованиями от Роскомнадзора. С начала 2026 года уже более 20 предписаний и это только у нас.

Чтобы не попасть в зону риска и не получить кучу лишних проблем подготовил для вас чек-лист по аудиту вашей сетевой инфраструктуры. Идите прям по пунктам и проблем не будет!

Подпишитесь на мой ТГ канал. Там много чего о маркетинге, AI и трафике.

Весь изложенный материал подготовил на личном опыте по сайтам и серверам партнеров, с которыми работаем уже более 3-5 лет. Есть прям ужасные кейсы где исправить ситуации никак нельзя, есть более позитивные кейсы где РКН дает 10 дней на устранение нарушений.

В общем, читайте внимательно и действуйте по инструкции. Так точно не попадете под нарушения закона.

1. Проверяем наличие на сайте политики обработки ПД и правил сайта (соглашение об использование веб-ресурса)

1.1. Если пересылаете персональные данные из БД сайта в другие БД (например, в Bitrix24 или любую другую CRM), внимательно ищем текст о передаче и хранении ПД пользователей.

2. Проверяем расположение "галочек" возле каждой формы на сайте о том, что пользователь дает разрешение на обработку ПД, о том что согласен получать рекламные материалы.

3. Если используете чат-боты, всплывающие квизы, SaaS продукты на сайте, убедитесь, что в этих формах подтягивается информация о сборе ПД.

4. Если у вас настроена онлайн-касса, проверяем галочку на момент оплаты / внесения платежных реквизитов.

5. Если используете публичную оферту на сайте, в жестком ключе определите в тексте оферты, использует ли оферта ПД клиентов или нет. Можно ли трактовать пункты оферты, как пункты регулирующие политику обработки ПД на сайте или нет.

Я рекомендую разделять документы на разные виды:

Это базовый минимум любого юридического сайта, который продает свои услуги онлайн.

6. Обязательно размещаем дисклеймер "о банкротстве", если оказываете такие услуги. Правильный текст, который пропускает РКН у меня в телеграм

Выводы по сайту: Сайт - это не просто текст и картинки, это База Данных с информацией о клиентах. Это инструмент передачи персональных данных в CRM, SMS и почтовые сервисы рассылок, в онлайн-кассу и другие сервисы.

Сейчас настало то время, когда документы сайта должны быть "идеальными". Иначе будет очень больно.

1. Персональные данные клиентов сайта должны храниться только на территории РФ.

1.1. Очень часто компании покупают веб-услуги у разработчиков, которые не соблюдают это требование.

Даже если у вас сайт в ру зоне, например, банкротология.рф, хостинг куплен на рег ру, это еще не значит, что сервер будет размещен именно в РФ. При оформлении хостинга, аренды VPS заказчик сам может выбрать страну размещения сервера.

Пример, сайт использует интеграцию с Open AI по API для настройки своего ИИ-консультанта на сайте. Open AI под санкциями, на РУ хостинг сделать интеграцию нельзя. Разработчики покупают хостинг в Германии или Испании. Все. При первой же проверке вы попались за нарушение, хотя сами даже и не догадывались об этом (VPN на сервере может спасти в таких случаях)

1.2. Как проверить? Обычно по IP сервера легко можно отследить его место расположение. Но это только проверка ресурсов, которые арендованы именно вами. А что с другими сервисами, куда вы пересылаете ПД?

2. Прямо сейчас проверьте ГЕО вашего хостинга / VPS / сервера. Если там не РФ, то сразу же меняйте настройку или арендуйте новый хостинг в РУ зоне.

1. Если на вашем сайте используется большое количество интеграций, которые подразумевают пересылку ПД клиентов, обязательно убедитесь, что вы не отправляете данные из РФ в другую страну!

2. Что это может быть? CRM, сервисы смс рассылок, сервисы голосовых рассылок, сервисы почтовых рассылок, BI конструкторы отчетов, ИИ-ассистенты (это прям 90% нарушений), SaaS сервисы (квизиты, виджеты, консультанты), чекеры дубликатов для CRM и т.д.

Если понимаете, что не можете отказаться от сервиса, используйте прокси (серверную прослойку). Но готовьтесь, что и до вашего прокси рано или поздно доберутся. Не делайте так, это лишь временная мера.

Лучше всего переходить на отечественные аналоги (если таких найти не можете, пишите мне в ТГ, я подскажу)

3. Как это проверить? Тут сложнее, но тоже можно. Проверьте IP вебхуков сервисов, если используете их. Проверьте IP доменов и серверов сервисов. Если в вашем сервисе домен .com, риск передачи данных не в РФ очень велик.

Например, сервис рассылок писем sendpulse, который до сих пор используют некоторые бизнесы в РФ, размещает свои серверы в Украине и Европе. Надо срочно менять.

Или еще, очень жесткий пример, использование Телеграм-ботов. У Телеграм нет своих Дата-Центров в России. Пишите ботом в ТГ всем новым клиентам? Собираете там ПД через анкетирование? Нарушение, товарищи.

1. До 1 сентября 2026 года все доменные имена должны быть зарегистрированы через госуслуги. Если вы не успеете, домен у вас отберут. А это значит, что СЕОшники, как мы, сразу же его выкупят и заберут ваш траст, копившийся годами. Оно вам надо?

2. Чтобы пройти регистрацию доменного имени на гос. услугах нужно, чтобы Владелец домена и Администратора домена (это две разных сущности) были "идеальными" в плане документов.

3. Что нужно проверить?

3.1. Карточку владельца домена на сайте регистратора (обычно это личные данные аккаунта). Если владелец юр. лицо - проверьте юр. адрес, вдруг вы его меняли. Если владелец физ. лицо - проверьте паспортные данные, вдруг у вас была смена фамилии или вы допустили ошибку.

3.2. Профиль администратора домена (это другая сущность). Тут все еще строже. Ведь администраторами могут быть "кто угодно" и данные могут отличаться от данных Владельца.

Например, очень часто доменные имена покупают и регистрируют сами фрилансеры в пользу заказчиков. И все эти домены зарегистрированы на бог знает кого и фиг знает когда... Подумайте, сможете ли вы найти паспорт этого самого Иванова Степана Ивановича, который делал вам сайт пять лет назад, чтобы сменить администратора? Если нет, то у вас большие проблемы!

Без подтверждения данных прошлого администратора, сменить на нового нельзя. Смена администратора проходит от 2-х месяцев, если паспортные данные вы потеряли, и это в лучшем случае.

4. Что будет если не успеть к 1 сентября? Домен улетит на рынок. Вы потеряете все, что в него вложили.

Это кошмар, но это реальность...

1. Все счетчики Google Analytics, Фейсбук и Инстаграм пиксели (продукты Meta - признанная на территории РФ террористической организацией) - являются передачей данных из РФ. Это жесткое нарушение. За это может прилететь и по УК РФ. Срочно убираем! С этим вообще шутить нельзя.

2. Яндекс Метрика - теперь должна быть ОБЯЗАТЕЛЬНО зарегистрирована в Роскомнадзоре (каждый счетчик).

3. Почему? Потому-что вы являетесь оператором персональных данных, собираете, обрабатываете и храните персональные данные пользователей интернета.

4. Вы спросите? Какие?! IP адрес пользователя и его вид браузера?

5. А я вам скажу! Ну так идите и задайте эти вопросы в РКН, я лишь констатирую факт.

Мы, буквально месяц назад, зарегистрировали более 600 аккаунтов метрики наших партнеров. Это был лютый ад, но мы справились. Если это делать постепенно, по мере открытия счетчиков, будет намного проще...

6. Как пройти регистрацию? На сайте РКН, там все легко и быстро.

Но не спешите! Первым делом приведите свой сайт и сервер в полный порядок, а уже потом идите регистрировать метрику в РКН. Ибо, когда надзорный орган проверяет метрику, он проверяет и весь ваш сайт.

Именно так мы и получили уже более 20 предписаний от РКН, только потому-что пошли регистрировать метрику, а попали на полный аудит всей инфраструктуры! И самое обидное, что попали по тем сайтам, которые даже и не делали, а просто пускали туда трафик.

ВАЖНО! К 1 сентября все ваши сайты должны быть в идеале. Потому-что при регистрации домена через госуслуги ваш сайт и сервер будет проверять РКН, по аналогии с метрикой!

Аудит нужен УЖЕ СЕЙЧАС. И это не шутки.

Вот в каком виде и в какой последовательности нужно прошерстить свою веб-инфраструктуру, чтобы к 1 сентября быть готовым на 100%:

1. Начинаем с Домена (там от 2-х месяцев смена администратора в случае проблем с документами).

2. Проверяем свой хостинг / VPS / сервер (нужна только РУ зона, если есть ошибка, то сначала меняем сервер, а уже потом сам сайт).

3. Проверяем сайт на документацию и законность (формы, галочки, документы).

4. Проверяем интеграции (виджеты, Saas продукты, веб-хуки, API подключения, пересылки, и т.д.). Смотрим, как принадлежность сервиса к РУ зоне, так и наличие документов по ПД в интерфейсе встроенного фрейма / кода.

5. Проверяем наличие зарубежных систем аналитики и сбора данных по сайту (тут прям сразу вырубаем все под корень).

6. Регистрируем метрику в РКН.

7. Если карточка владельца и администратора домена на сайте регистратора в норме, то на госуслугах регистрация пройдет автоматически.

Вы это сделали! Вы подстроили свой сайт к новым законам.

Вот только так вы получите готовый веб-ресурс без последствий и 10-ти дней на устранение неполадок. И ладно, если это квиз или лендинг, который можно поправить за 1-2 дня. А если это огромный сайт крупной юр. фирмы?

Понимаю, часть сайтов сделаны фрилансерами, часть сайтов куплено у компаний, которые уже закрылись. Мир digital-маркетинга очень нестабильный.

Пишите в личку, проведем аудит за 1-2 дня и все расскажем.

Знаете, что есть проблемы?

Тогда обращайтесь за услугой "Веб-юрист" - поможем все сделать быстро и без последствий.

В команде разработчики, серверные администраторы и юристы. Профессиональное комбо именно для таких ситуаций!

Подписывайтесь на мой ТГ, чтобы быть всегда в курсе событий в мире ИИ и маркетинга.

Удачи друзья!