Если у вас есть сайт для бизнеса — интернет-магазин, блог, лендинг или корпоративный портал — вы обязаны соблюдать несколько федеральных законов. Игнорирование этих норм грозит штрафами до 500 000 рублей, блокировкой сайта и даже уголовной ответственностью.
В этой статье я собрал все ключевые требования: от политики конфиденциальности до маркировки рекламы. Вы узнаете, какие страницы и документы должны быть на сайте, как правильно собирать данные пользователей, какие технические меры защиты обязательны и что делать, чтобы избежать претензий от Роскомнадзора и ФАС.
Правовые основы: какие законы регулируют работу сайта в России
В России нет единого закона «о сайтах». Вместо этого действует несколько нормативных актов, каждый из которых регулирует свою сферу. Чтобы сайт был законным, нужно учитывать все сразу.
Важно: незнание закона не освобождает от ответственности — штрафы могут достигать 500 000 рублей за одно нарушение.
Федеральный закон № 152-ФЗ «О персональных данных»
Это главный закон для любого сайта, который собирает данные пользователей. Персональными данными считаются не только ФИО и паспорт, но и email, телефон, IP-адрес, cookie, данные о местоположении. Если вы собираете любую из этих категорий, вы — оператор персональных данных. Обязанности оператора: уведомить Роскомнадзор об обработке, получить согласие пользователя, обеспечить безопасность данных, уничтожить их по требованию.
Понятие оператора персональных данных
Оператор — это любое лицо (организация или ИП), которое самостоятельно или совместно с другими организует обработку персональных данных. Даже если вы используете сторонний сервис рассылок, вы остаётесь оператором.
Уведомление об обработке ПДн
До начала сбора данных нужно подать уведомление в Роскомнадзор. Это можно сделать через портал госуслуг или личный кабинет РКН. Уведомление содержит информацию о целях сбора, категориях данных, сроках хранения.
Согласие на обработку: формы и сроки
Согласие должно быть конкретным, информированным и сознательным. Предустановленные галочки (pre-checked) незаконны — пользователь должен сам поставить отметку. Согласие может быть письменным или электронным, но в любом случае должно содержать: ФИО, адрес, цель обработки, перечень действий, срок действия.
Трансграничная передача данных
Если ваш сайт передаёт данные в другие страны (например, использует зарубежный хостинг или CRM), нужно убедиться, что страна получателя входит в список стран с адекватной защитой. В противном случае требуется отдельное согласие.
Федеральный закон № 54-ФЗ «О применении контрольно-кассовой техники»
Для сайтов, принимающих оплату от физических лиц, обязательна выдача чека через онлайн-кассу. Чек должен быть отправлен покупателю на email или в личный кабинет. Исключение — самозанятые (до 2025 года они могут не применять ККТ).
Обязанность выдачи чека при онлайн-оплате
Чек формируется в момент расчёта. Если оплата проходит через агрегатор (например, ЮKassa), агрегатор может выступать агентом и выдавать чек за вас.
Требования к кассовому чеку (QR-код, фискальные данные)
Чек должен содержать: наименование товара, цену, сумму, ставку НДС, признак расчёта (приход/возврат), фискальный признак, QR-код. Все эти данные передаются в ФНС.
Ответственность за невыдачу чека
Штраф для ИП — до 50 000 рублей, для юрлица — до 100 000 рублей. При повторном нарушении возможна блокировка расчётов.
Закон о рекламе (38-ФЗ) и маркировка рекламы
С 2022 года в России действует обязательная маркировка интернет-рекламы. Все рекламные объявления на сайте (баннеры, нативная реклама, посты блогеров) должны содержать пометку «реклама» и сведения о рекламодателе (erid).
Маркировка рекламы в интернете
Маркировка должна быть читаемой, контрастной, не скрываться. Для таргетированной рекламы в соцсетях erid обычно вставляется в ссылку. Для баннеров — в код или изображение.
Требования к рекламе в соцсетях и на сайтах
Если вы публикуете рекламный пост в своём блоге, он должен быть промаркирован. Исключение — собственная реклама (например, баннер своего же магазина на своём же сайте). Но если сайт зарегистрирован как СМИ, даже собственная реклама требует маркировки.
Ответственность за отсутствие маркировки
Штраф для юрлиц — до 500 000 рублей за одно объявление. ФАС активно мониторит интернет и штрафует нарушителей.
Обязательные страницы сайта: политика конфиденциальности и пользовательское соглашение
На любом сайте, который собирает данные пользователей, должны быть как минимум две страницы: политика конфиденциальности и пользовательское соглашение (оферта). Они должны быть доступны с любой страницы — обычно их размещают в футере и хедере.
Совет: политика конфиденциальности должна быть написана простым языком, но содержать все юридически значимые пункты. Используйте шаблоны с осторожностью — лучше заказать у юриста.
Политика конфиденциальности: структура и содержание
Этот документ описывает, какие данные вы собираете, зачем и как обрабатываете. Обязательные разделы:
- Оператор и его реквизиты (название, ИНН, ОГРН, адрес).
- Категории собираемых данных (ФИО, email, телефон, IP, cookie).
- Цели обработки (обратная связь, рассылка, аналитика).
- Правовые основания (согласие, договор, закон).
- Порядок обработки (автоматизированная, смешанная).
- Права субъекта (доступ, изменение, удаление).
- Сроки хранения и порядок уничтожения.
- Трансграничная передача (если есть).
- Контакты для обращений.
Оператор и его реквизиты
Укажите полное наименование организации, юридический адрес, ИНН, ОГРН. Для ИП — ФИО, ОГРНИП.
Категории собираемых данных
Перечислите все типы данных, которые собирает сайт: от очевидных (email) до неочевидных (IP, cookie, данные о поведении).
Цели обработки персональных данных
Каждая цель должна быть конкретной: «для отправки информационной рассылки», «для обработки заказа», «для улучшения работы сайта». Нельзя писать «в иных целях».
Права пользователя: доступ, изменение, удаление
Пользователь вправе запросить выписку о своих данных, потребовать их исправления или удаления. Опишите, как это сделать.
Сроки хранения и порядок уничтожения
Данные должны храниться не дольше, чем это необходимо для целей обработки. По достижении целей или по требованию пользователя данные уничтожаются.
Пользовательское соглашение (оферта) для интернет-магазина
Это договор между вами и покупателем. Документ должен содержать:
- Предмет договора и момент его заключения (акцепт).
- Цена, порядок оплаты и доставки.
- Условия возврата товара надлежащего и ненадлежащего качества.
- Ответственность сторон и разрешение споров.
- Реквизиты продавца.
Предмет договора и момент его заключения
Укажите, что вы продаёте (товары/услуги) и с какого момента договор считается заключённым. Обычно это момент нажатия кнопки «Оплатить».
Цена, порядок оплаты и доставки
Опишите способы оплаты, сроки доставки, зоны доставки. Если доставка платная, укажите стоимость.
Условия возврата товара надлежащего и ненадлежащего качества
По закону покупатель может вернуть товар надлежащего качества в течение 7 дней. Если продавец не предоставил информацию о порядке возврата, срок увеличивается до 3 месяцев.
Ответственность сторон и разрешение споров
Укажите подсудность (обычно по месту нахождения продавца) и порядок досудебного урегулирования.
Требования к сбору и обработке персональных данных на сайте
Сбор данных должен быть прозрачным и законным. Каждая форма на сайте — регистрация, подписка, обратная связь — должна соответствовать 152-ФЗ.
Частая ошибка: предустановленные галочки согласия (pre-checked) незаконны — пользователь должен сам поставить отметку.
Формы сбора данных: регистрация, подписка, обратная связь
На каждой форме должна быть ссылка на политику конфиденциальности и чекбокс согласия. Минимизируйте сбор данных: не просите телефон, если нужен только email. Пример: для подписки на новости достаточно email, не нужно требовать номер паспорта.
Требования к чекбоксу согласия
Чекбокс должен быть пустым по умолчанию. Текст рядом с ним должен чётко описывать, на что пользователь соглашается. Например: «Я даю согласие на обработку персональных данных в соответствии с политикой конфиденциальности».
Минимизация собираемых данных
Собирайте только те данные, которые необходимы для достижения цели. Если цель — отправка рассылки, достаточно email. Если цель — доставка товара, нужны ФИО, адрес, телефон.
Ссылка на политику конфиденциальности
Ссылка должна быть активной, вести на страницу с полным текстом политики. Желательно открывать в новой вкладке.
Обработка cookie и файлов отслеживания
Cookie делятся на технические (необходимые для работы сайта) и необязательные (маркетинговые, аналитические). На технические cookie согласие не требуется. На необязательные — нужно получать согласие через cookie-баннер.
Технические vs необязательные cookie
Технические: сессионные, аутентификации, корзина. Необязательные: Google Analytics, Яндекс.Метрика, ретаргетинг.
Cookie-баннер: дизайн и функционал
Баннер должен появляться при первом посещении. Он должен позволять выбрать категории cookie (все/только необходимые). Кнопка «Принять все» не должна быть единственной — пользователь должен иметь возможность отказаться.
Хранение записей о согласии
Вы обязаны хранить записи о том, когда и на что пользователь дал согласие. Это может быть лог в базе данных или файл.
Требования к рекламе и маркировке на сайте
Реклама в интернете должна быть промаркирована. Это касается как платных объявлений, так и нативной рекламы, постов блогеров, партнёрских ссылок.
Важно: отсутствие маркировки рекламы грозит штрафом до 500 000 рублей на юрлицо. ФАС активно мониторит интернет.
Маркировка рекламы в интернете: правила и исключения
Маркировка должна содержать пометку «реклама» и информацию о рекламодателе (erid). Исключения: собственная реклама на собственном сайте (если сайт не СМИ), объявления на собственных площадках (например, аккаунт в соцсети).
Требования к тексту маркировки
Текст «реклама» должен быть читаемым, контрастным, не скрываться. Для баннеров — в углу. Для текстовых объявлений — перед текстом.
Размещение erid для таргетированной рекламы
erid — это уникальный идентификатор, который присваивается рекламному объявлению. Его нужно вставлять в ссылку или в код баннера. Без erid реклама считается немаркированной.
Маркировка в соцсетях и на видеохостингах
В соцсетях маркировка ставится в описании поста или в самом посте. На YouTube — в описании видео.
Возрастная маркировка контента
Если на сайте есть контент 18+ (например, продажа алкоголя, эротика), на главной странице и страницах с таким контентом должен быть значок возрастного ограничения. Для детских товаров — 0+.
Категории возрастной маркировки
Основные категории: 0+, 6+, 12+, 16+, 18+. Категория определяется на основе содержания.
Размещение значка возрастного ограничения
Значок должен быть заметным, обычно в хедере или футере. Для страниц с контентом 18+ — на каждой такой странице.
Технические требования: безопасность и доступность сайта
Безопасность данных — не только юридическое, но и техническое требование. Сайт должен быть защищён от взлома и утечек.
Совет: отсутствие SSL-сертификата может быть расценено как нарушение требований к защите персональных данных.
SSL-сертификат и HTTPS
HTTPS обязателен для сайтов, собирающих персональные данные. Браузеры помечают сайты без HTTPS как небезопасные. Бесплатный SSL можно получить у Let’s Encrypt.
Как установить SSL-сертификат
Обратитесь к хостинг-провайдеру — многие предоставляют бесплатные сертификаты. Или установите вручную через панель управления.
Проверка корректной работы HTTPS
После установки проверьте, что все страницы открываются по HTTPS, нет смешанного контента (http-элементы на https-странице).
Защита от взлома и утечек данных
Регулярно обновляйте CMS, плагины, используйте антивирусы, файрволы. Делайте резервные копии. С сентября 2024 года уведомление об утечках в РКН обязательно в течение 24 часов.
Обновление ПО
ПО устаревшие версии CMS — частая причина взломов. Настройте автоматические обновления или проверяйте вручную.
Мониторинг безопасности
Используйте сервисы мониторинга (например, VirusTotal, Sucuri) для проверки сайта на вредоносный код.
Уведомление об утечках
В случае утечки данных вы обязаны уведомить РКН в течение 24 часов, а также сообщить пострадавшим пользователям.
Особые требования для интернет-магазинов и сайтов, принимающих оплату
Интернет-магазины подпадают под действие закона о дистанционной продаже (Постановление 2463) и 54-ФЗ.
Важно: для интернет-магазинов обязательно указание юридического адреса, ИНН, ОГРН. Эти данные должны быть в открытом доступе.
Правила дистанционной продажи (Постановление 2463)
Продавец обязан предоставить покупателю полную информацию о товаре, о себе, о порядке возврата. Сроки доставки должны быть указаны. Запрещена дистанционная продажа алкоголя, табака, лекарств (с ограничениями).
Информация о товаре и продавце
На странице товара должны быть: наименование, цена, характеристики, срок годности, гарантия, информация о продавце (название, адрес, ИНН).
Сроки доставки и ответственность за просрочку
Укажите сроки доставки. Если доставка задерживается, покупатель может потребовать неустойку.
Возврат товара надлежащего качества
Покупатель может вернуть товар в течение 7 дней с момента получения. Если продавец не предоставил информацию о порядке возврата, срок увеличивается до 3 месяцев.
Онлайн-касса и выдача чека
Для приёма оплаты от физических лиц необходима онлайн-касса. Чек отправляется покупателю на email или в личный кабинет. Исключение — самозанятые (до 2025 года).
Подключение онлайн-кассы
Выберите кассу, которая поддерживает интернет-эквайринг. Многие агрегаторы (ЮKassa, CloudPayments) предоставляют кассу как часть услуги.
Формирование и отправка чека
Чек формируется в момент оплаты. Отправляется на email или в личный кабинет. В чеке должны быть все обязательные реквизиты.
Штрафы за невыдачу чека
Штраф для ИП — до 50 000 рублей, для юрлица — до 100 000 рублей. При повторном нарушении — до 1 000 000 рублей.
Специальные требования для СМИ, блогов и новостных сайтов
Если ваш сайт распространяет массовую информацию, он может быть признан СМИ. Регистрация в Роскомнадзоре обязательна, если аудитория более 3000 человек в день или тираж более 1000 экземпляров.
Частая ошибка: блоги с большой аудиторией могут быть признаны СМИ и обязаны зарегистрироваться. Штрафы за отсутствие регистрации — до 500 000 рублей.
Регистрация СМИ и обязанности редакции
Порядок регистрации: подать заявление в РКН, оплатить пошлину, получить свидетельство. Обязанности: указывать выходные данные (название, учредитель, главный редактор, тираж), хранить материалы, модерировать комментарии.
Порядок регистрации СМИ
Заявление подаётся через портал госуслуг или лично. Срок рассмотрения — до 1 месяца.
Выходные данные
На каждой странице сайта должны быть: название СМИ, учредитель, главный редактор, тираж (для печатных), номер свидетельства.
Модерация комментариев
СМИ обязаны модерировать комментарии, удалять незаконные. Рекомендуется премодерация.
Требования к контенту и возрастная маркировка
Запрещён контент, пропагандирующий наркотики, суицид, экстремизм. Каждый материал должен иметь возрастную маркировку (16+, 18+).
Запрещённый контент
Перечень запрещённого контента определён законом: мат, порнография, призывы к насилию, экстремизм.
Возрастная маркировка материалов
Маркировка ставится в начале статьи или на странице. Для видео — в плеере.
Маркировка рекламных статей
Если статья является рекламной, она должна быть промаркирована как реклама.
Ответственность и штрафы за нарушения
За нарушение законодательства предусмотрены штрафы, блокировка сайта и уголовная ответственность.
Важно: с 1 сентября 2024 года введена обязанность уведомлять РКН об утечках персональных данных в течение 24 часов. За неисполнение — штраф до 1 млн рублей.
Штрафы за нарушение 152-ФЗ
| Тип нарушения | Должностные лица | ИП | Юридические лица |
|---|---|---|---|
| Обработка без согласия | до 20 000 руб. | до 20 000 руб. | до 100 000 руб. |
| Неуведомление РКН | до 10 000 руб. | до 20 000 руб. | до 50 000 руб. |
| Утечка данных | до 50 000 руб. | до 100 000 руб. | до 500 000 руб. |
| Повторное нарушение | до 100 000 руб. | до 500 000 руб. | до 1 000 000 руб. |
Штрафы за обработку без согласия
Размер штрафа зависит от статуса нарушителя. Для юрлиц — до 100 000 рублей.
Штрафы за неуведомление РКН
Если вы начали обработку без уведомления, штраф до 50 000 рублей.
Уголовная ответственность
За незаконный сбор и распространение данных возможна уголовная ответственность по ст. 272, 273 УК РФ.
Штрафы за нарушение рекламного законодательства
| Тип нарушения | Должностные лица | ИП | Юридические лица |
|---|---|---|---|
| Отсутствие маркировки рекламы | до 20 000 руб. | до 100 000 руб. | до 500 000 руб. |
| Спам-рассылки | до 20 000 руб. | до 20 000 руб. | до 100 000 руб. |
| Недостоверная реклама | до 20 000 руб. | до 100 000 руб. | до 500 000 руб. |
Маркировка рекламы
Отсутствие маркировки — одно из самых частых нарушений. Штраф до 500 000 рублей.
Спам-рассылки
Рассылка без согласия получателя — нарушение. Штраф до 100 000 рублей.
Недостоверная реклама
Реклама, содержащая ложные сведения, карается штрафом до 500 000 рублей.
Практические шаги: чек-лист по приведению сайта в соответствие с законом
Чтобы не запутаться, следуйте пошаговому плану. Он займёт 1-2 недели, но сэкономит десятки тысяч рублей штрафов.
Совет: начните с аудита — определите, какие данные собирает ваш сайт, и проверьте, есть ли все обязательные документы. Это займёт 1-2 дня, но сэкономит десятки тысяч рублей штрафов.
Аудит сайта на соответствие законодательству
Проверьте наличие:
- Политики конфиденциальности.
- Пользовательского соглашения (оферты).
- Cookie-баннера.
- SSL-сертификата.
- Форм согласия на обработку данных.
- Маркировки рекламы.
- Контактов и реквизитов.
Проверка документов
Убедитесь, что документы доступны с любой страницы, содержат все обязательные разделы.
Проверка технической защиты
Проверьте наличие HTTPS, обновление CMS, настройки безопасности.
Проверка рекламных материалов
Проверьте все рекламные объявления на сайте — есть ли маркировка и erid.
Внедрение изменений: план действий на неделю
- День 1-2: Аудит сайта. Составьте список недостающих элементов.
- День 3-4: Подготовка документов. Напишите или обновите политику конфиденциальности и пользовательское соглашение.
- День 5-6: Технические доработки. Установите SSL, настройте cookie-баннер, обновите формы.
- День 7: Тестирование и финальная проверка. Проверьте все страницы, убедитесь, что всё работает.
День 1-2: Аудит
Проверьте, какие данные собирает сайт, какие страницы есть, какие рекламные материалы используются.
День 3-4: Документы
Напишите или закажите у юриста политику конфиденциальности и пользовательское соглашение.
День 5-6: Технические изменения
Установите SSL, настройте cookie-баннер, обновите формы сбора данных.
День 7: Тестирование
Проверьте, что все ссылки работают, формы отправляются, cookie-баннер отображается.
Соблюдение законодательства — это не разовая акция, а постоянный процесс. Законы меняются, появляются новые требования. Регулярно проверяйте свой сайт на соответствие и обновляйте документы. Это поможет избежать штрафов и сохранить доверие пользователей.
Часто задаваемые вопросы
Нужна ли политика конфиденциальности, если сайт не собирает данные?
Если сайт не собирает никакие данные (даже cookie), политика не обязательна. Но в реальности большинство сайтов собирают хотя бы IP-адрес и cookie, поэтому политика нужна.
Можно ли использовать шаблон политики конфиденциальности из интернета?
Можно, но с осторожностью. Шаблон может не учитывать специфику вашего сайта. Лучше адаптировать его под себя или заказать у юриста.
Что будет, если не установить SSL-сертификат?
Сайт будет помечен браузерами как небезопасный. При проверке Роскомнадзор может расценить это как нарушение требований к защите данных.
Нужно ли регистрировать сайт как СМИ?
Только если аудитория более 3000 человек в день или тираж более 1000 экземпляров. Блоги с меньшей аудиторией регистрировать не нужно.
Как часто нужно обновлять политику конфиденциальности?
При каждом изменении законодательства или бизнес-процессов. Рекомендуется проверять раз в год.
Можно ли не ставить cookie-баннер, если сайт использует только технические cookie?
Да, если cookie действительно только технические (сессионные, аутентификации). Но если есть любые аналитические или маркетинговые cookie, баннер обязателен.
