Разбираемся, какие законы регулируют сайты в РФ, что обязательно должно быть на страницах, как избежать штрафов и блокировок. Статья для владельцев бизнеса, маркетологов, разработчиков и всех, кто хочет, чтобы сайт работал легально.
Введение: почему правовые требования к сайтам в России обязательны
Соблюдение законов — не опция, а необходимость. Игнорирование требований может привести к блокировке сайта, крупным штрафам и даже уголовной ответственности. В 2023–2024 годах регулирование стало жёстче: появились новые обязанности по маркировке рекламы, регистрации в РКН, обработке персональных данных.
Основные риски:
- Блокировка сайта по решению Роскомнадзора.
- Штрафы до 500 000 рублей за нарушение 152-ФЗ.
- Уголовная ответственность за незаконный сбор персональных данных (ст. 137 УК РФ).
- Административные санкции за отсутствие маркировки рекламы.
Важно: даже сайт-визитка без сбора данных обязан иметь контакты и юридическую информацию.
Основные законы, регулирующие сайты в РФ
Перечислим ключевые федеральные законы, которые нужно знать каждому владельцу сайта:
152-ФЗ «О персональных данных»
Регулирует сбор, хранение, обработку и защиту персональных данных пользователей. Если сайт собирает любую информацию о человеке (имя, email, телефон, IP-адрес), он становится оператором персональных данных и обязан соблюдать требования закона.
149-ФЗ «Об информации, информационных технологиях и о защите информации»
Устанавливает общие правила работы с информацией в интернете, включая обязанности организаторов распространения информации (ОРИ), требования к блогерам и новостным сайтам.
38-ФЗ «О рекламе»
Контролирует размещение рекламы на сайте: обязательная маркировка, указание рекламодателя, идентификатор erid. С 2023 года все данные о рекламе нужно передавать в Роскомнадзор.
54-ФЗ «О применении контрольно-кассовой техники»
Обязанность применять онлайн-кассы при приёме оплаты на сайте. Каждый чек должен быть отправлен покупателю в электронном виде.
Кому грозит ответственность
Ответственность за нарушения несут владельцы сайта, администраторы и даже разработчики. Разграничение зависит от роли:
Юридические лица
Компании, владеющие сайтом, отвечают за все нарушения в полном объёме. Штрафы для юрлиц — самые высокие.
Индивидуальные предприниматели
ИП несут ответственность как должностные лица, но штрафы для них ниже, чем для юрлиц. Однако при серьёзных нарушениях (например, утечка данных) ответственность может быть уголовной.
Физические лица (блогеры, владельцы личных сайтов)
Даже если сайт не приносит прибыль, он должен соответствовать законам. За сбор ПД без согласия — штраф до 300 000 рублей.
Обязательные элементы на каждом сайте
Независимо от типа сайта (блог, интернет-магазин, лендинг), на нём должны быть определённые элементы. Перечислим их.
| Элемент | Где размещается | Для чего нужен |
|---|---|---|
| Политика конфиденциальности | Подвал сайта (footer), отдельная страница | Информирует пользователей о сборе и обработке ПД |
| Согласие на обработку ПД | Форма регистрации, подписки, оформления заказа | Юридическое основание для обработки данных |
| Cookie-баннер | Всплывающее окно при первом посещении | Получение согласия на использование cookie |
| Контакты и реквизиты | Подвал сайта, страница «Контакты» | Идентификация владельца сайта |
| Копирайт | Подвал сайта | Указание правообладателя |
Важно: политика конфиденциальности должна быть доступна по прямой ссылке в подвале сайта (footer).
Политика конфиденциальности
Этот документ — база. Он разъясняет пользователю, кто обрабатывает его данные, какие именно данные собираются, с какой целью, как долго хранятся и как защищены.
Общие положения
Укажите полное наименование оператора (ваша компания или ИП), его ИНН, ОГРН, адрес. Опишите, что политика применяется ко всем данным, которые сайт получает от пользователей.
Состав собираемых данных
Перечислите, какие данные вы собираете: имя, email, телефон, IP-адрес, cookie, данные банковских карт (если есть оплата).
Цели обработки
Например: регистрация на сайте, оформление заказа, рассылка новостей, аналитика посещаемости.
Права пользователя
Пользователь имеет право: получить информацию о своих данных, потребовать их удаления, отозвать согласие.
Меры защиты
Опишите, какие технические меры вы применяете: SSL-сертификат, шифрование, антивирус, ограничение доступа.
Согласие на обработку персональных данных
Согласие должно быть конкретным, информированным и сознательным. Недостаточно просто поставить галочку — нужно, чтобы пользователь понимал, на что соглашается.
Форма получения согласия
Используйте чекбокс с текстом: «Я согласен на обработку персональных данных в соответствии с политикой конфиденциальности». Для подписки на рассылку — отдельное согласие.
Согласие на cookie
Cookie-баннер должен предлагать выбор: принять все, отклонить все, настроить. Согласие на маркетинговые cookie — обязательно.
Отзыв согласия
Предусмотрите механизм отзыва: ссылка в письмах рассылки, форма на сайте, email для обращений.
Cookie-баннер и управление cookie
Баннер должен появляться при первом посещении сайта и информировать о типах используемых cookie. Дайте пользователю возможность выбрать, какие cookie разрешить.
Типы cookie (необходимые, аналитические, маркетинговые)
Необходимые — для работы сайта (например, корзина). Аналитические — для сбора статистики (Яндекс.Метрика, Google Analytics). Маркетинговые — для таргетированной рекламы.
Кнопка «Принять все»
Должна быть заметной, но не единственной опцией.
Кнопка «Настроить»
Позволяет пользователю отключить ненужные типы cookie.
Юридическая информация и контакты
Укажите полные реквизиты организации или ИП. Для юрлиц: наименование, ИНН, ОГРН, юридический адрес. Для ИП: ФИО, ИНН, ОГРНИП. Телефон и email — обязательны.
Реквизиты организации
Разместите в подвале сайта или на странице «Контакты».
Адрес и телефон
Реальные, по которым можно связаться. Если сайт работает онлайн, укажите адрес для корреспонденции.
Email для обращений
Отдельный адрес для вопросов по обработке ПД (например, privacy@site.ru).
Требования к сайтам, собирающим персональные данные
Если сайт собирает персональные данные, он становится оператором ПД. Это накладывает дополнительные обязанности.
Частая ошибка: владельцы сайтов считают, что если они не собирают данные сознательно (например, только IP-адрес в логах), то 152-ФЗ не применяется. Это не так — IP-адрес считается персональными данными.
| Обязанность | Срок | Штраф за нарушение |
|---|---|---|
| Уведомление РКН | До начала обработки ПД | до 300 000 руб. |
| Разработка политики конфиденциальности | С момента начала обработки | до 100 000 руб. |
| Получение согласия | До сбора данных | до 150 000 руб. |
| Обеспечение защиты ПД | Постоянно | до 500 000 руб. |
Уведомление Роскомнадзора
До того как начать сбор ПД, нужно подать уведомление в РКН. Это можно сделать онлайн через портал «Госуслуги» или личный кабинет на сайте РКН.
Форма уведомления
Заполняется на сайте РКН: указываются цели обработки, категории данных, меры защиты, сроки хранения.
Срок подачи
Уведомление подаётся до начала обработки. Если сайт уже работает, нужно подать уведомление как можно скорее.
Внесение изменений
При изменении целей обработки или состава данных необходимо обновить уведомление.
Локальные акты оператора
Внутренние документы, которые регламентируют обработку ПД в компании.
Политика обработки персональных данных
Документ для внутреннего использования, более детальный, чем политика конфиденциальности.
Положение о защите персональных данных
Описывает организационные и технические меры защиты.
Журнал учета обращений
Фиксирует запросы пользователей на доступ, изменение, удаление данных.
Технические меры защиты
Оператор обязан принять меры, чтобы данные не были украдены или утеряны.
SSL/TLS
Обязательно для всех сайтов, передающих данные (формы, оплата). Сертификат шифрует соединение.
Шифрование данных
Базы данных с ПД должны быть зашифрованы. Используйте алгоритмы AES-256.
Система контроля доступа
Разграничьте доступ к данным: только те сотрудники, которым это нужно для работы.
Антивирусная защита
Установите антивирус на сервере и рабочих станциях, регулярно обновляйте базы.
Требования к интернет-магазинам и сайтам с онлайн-оплатой
Интернет-магазины — особая категория. Помимо общих требований, нужно соблюдать законы о защите прав потребителей и онлайн-кассах.
Совет: если вы принимаете оплату на сайте, обязательно подключите онлайн-кассу. Без неё вы рискуете получить штраф до 40 000 рублей (для ИП) или до 100 000 рублей (для юрлица).
Договор публичной оферты
Оферта — это предложение заключить договор. Для интернет-магазина это основной документ, регулирующий отношения с покупателем.
Существенные условия
Предмет договора (товар), цена, порядок оплаты, сроки доставки, порядок возврата, ответственность сторон.
Порядок акцепта
Акцепт — согласие покупателя с условиями оферты. Обычно это нажатие кнопки «Оплатить» или «Заказать». Укажите, что именно считается акцептом.
Возврат товара
Пропишите условия возврата: сроки (14 дней для большинства товаров), перечень товаров, не подлежащих возврату (например, нижнее бельё, лекарства).
Правила возврата товара
Отдельный документ или раздел оферты. Он должен быть доступен покупателю до оформления заказа.
Сроки возврата
По закону «О защите прав потребителей» — 14 дней с момента получения товара. Для некоторых товаров (например, технически сложных) — 7 дней.
Условия возврата
Товар должен быть в надлежащем виде, с сохранением упаковки и ярлыков. Если товар был в употреблении, магазин может отказать.
Образец заявления
Разместите на сайте форму заявления на возврат, чтобы покупатель мог скачать и заполнить.
Онлайн-кассы и чеки
С 2019 года все интернет-магазины обязаны применять онлайн-кассы. Чек отправляется покупателю на email или телефон.
Обязанность применять ККТ
Кассовый аппарат должен быть зарегистрирован в ФНС. Фискальный накопитель — соответствовать требованиям.
Формат фискальных документов
Чек должен содержать: наименование товара, цену, сумму, дату, фискальный признак, QR-код.
Передача данных в ФНС
Данные о каждой продаже передаются в налоговую через ОФД (оператора фискальных данных).
Требования к рекламе на сайте
Реклама на сайте должна быть промаркирована. С 2023 года действуют новые правила: каждое рекламное объявление должно содержать пометку «Реклама», указание на рекламодателя и идентификатор erid.
Важно: любая реклама в интернете должна содержать пометку «Реклама» и указание на рекламодателя.
Маркировка рекламы
Маркировка должна быть видна пользователю. Обычно её размещают в верхней части рекламного блока или рядом с ним.
Пометка «Реклама»
Текст «Реклама» должен быть читаемым, без попыток скрыть.
Указание рекламодателя
Например: «Рекламодатель ООО «Ромашка», ИНН 1234567890».
Идентификатор erid
Уникальный номер, который присваивается каждому рекламному объявлению. Его можно получить через личный кабинет РКН или ОРД (оператора рекламных данных).
Реестр рекламных данных
Все данные о рекламе (креативы, площадки, статистика) должны передаваться в РКН. Это обязанность рекламодателя или рекламораспространителя.
Что передавать
Изображение рекламного баннера, текст объявления, URL, даты показа, данные о рекламодателе.
Куда передавать
Через личный кабинет на сайте РКН или через оператора рекламных данных (например, Яндекс.Директ, myTarget).
Ответственность
За непередачу данных — штраф до 200 000 рублей.
Особые виды рекламы
Некоторые товары подлежат дополнительным ограничениям.
Реклама алкогольной продукции
Запрещена в интернете, за исключением собственных сайтов производителей и специализированных магазинов.
Реклама табака
Полностью запрещена в интернете.
Реклама БАДов и лекарств
Требуется указание противопоказаний и предупреждение о необходимости консультации с врачом.
Регистрация сайта в РКН и другие обязательства
В некоторых случаях сайт нужно регистрировать в Роскомнадзоре как СМИ или как организатора распространения информации (ОРИ).
Частая ошибка: владельцы сайтов с комментариями не знают, что их сайт может считаться организатором распространения информации. Если пользователи могут оставлять сообщения (комментарии, отзывы, личные сообщения), сайт обязан зарегистрироваться как ОРИ.
Регистрация в качестве СМИ
Если сайт распространяет новости и его посещаемость превышает 3 000 человек в сутки, он обязан зарегистрироваться как СМИ. Это касается блогов, новостных порталов, тематических сайтов.
Критерии обязательной регистрации
Посещаемость более 3 000 уникальных посетителей в сутки, регулярное обновление контента, наличие новостной направленности.
Процедура регистрации
Подать заявление в Роскомнадзор, оплатить госпошлину, получить свидетельство.
Права и обязанности СМИ
СМИ имеют право на аккредитацию, но обязаны соблюдать закон о СМИ (не распространять экстремистские материалы, указывать возрастные ограничения).
Регистрация как организатор распространения информации (ОРИ)
Если на сайте есть возможность обмена сообщениями (комментарии, форумы, чаты, личные сообщения), он считается ОРИ. Регистрация обязательна.
Критерии ОРИ
Возможность пользователей оставлять сообщения, которые видны другим пользователям (комментарии, форумы, чаты).
Обязанности
Хранить данные о сообщениях (включая IP-адреса) в течение 6 месяцев, предоставлять доступ к ним по запросу ФСБ.
Ответственность
За неисполнение — блокировка сайта и штраф до 1 000 000 рублей.
Требования к доменному имени и хостингу
Сайты, ориентированные на российскую аудиторию, должны быть зарегистрированы в зонах .ru, .рф, .su. Хостинг желательно выбирать в РФ, чтобы обеспечить локализацию данных.
Регистрация домена
Домен регистрируется через аккредитованного регистратора. Требуется предоставить паспортные данные (для физлиц) или реквизиты компании.
Выбор хостинга
Хостинг в РФ обеспечивает соблюдение требований о локализации ПД. Зарубежные хостинги могут быть недоступны для проверяющих органов.
Локализация данных
По 152-ФЗ персональные данные должны храниться на серверах, расположенных на территории РФ. Если хостинг за рубежом, нужно обеспечить дублирование данных на российском сервере.
Ответственность за нарушения: штрафы и блокировки
Нарушение законодательства о сайтах влечёт серьёзные санкции. Рассмотрим основные виды ответственности.
Важно: за повторное нарушение 152-ФЗ штраф может достигать 500 000 рублей.
| Нарушение | Штраф для ИП | Штраф для юрлица |
|---|---|---|
| Отсутствие политики конфиденциальности | до 10 000 руб. | до 100 000 руб. |
| Сбор ПД без согласия | до 20 000 руб. | до 150 000 руб. |
| Неуведомление РКН | до 10 000 руб. | до 300 000 руб. |
| Отсутствие маркировки рекламы | до 20 000 руб. | до 200 000 руб. |
| Неприменение онлайн-кассы | до 40 000 руб. | до 100 000 руб. |
Штрафы за нарушение законодательства о ПД
Статья 13.11 КоАП РФ предусматривает несколько составов.
Штрафы по ст. 13.11 КоАП РФ
За обработку ПД без согласия — до 150 000 руб. За неисполнение предписаний РКН — до 300 000 руб.
Штрафы за неисполнение предписаний РКН
Если РКН выявил нарушение и выдал предписание, его нужно исполнить в срок. За неисполнение — штраф до 500 000 руб.
Штрафы за нарушение закона о рекламе
Статья 14.3 КоАП РФ.
Штрафы по ст. 14.3 КоАП РФ
За отсутствие маркировки — до 200 000 руб. За недостоверную рекламу — до 500 000 руб.
Штрафы за нарушение маркировки
За неправильную маркировку (например, erid не указан) — до 100 000 руб.
Блокировка сайта и уголовная ответственность
РКН может заблокировать сайт за распространение запрещённой информации (экстремизм, призывы к насилию, наркотики). Уголовная ответственность по ст. 137 УК РФ — за незаконный сбор ПД.
Блокировка по решению РКН
Основания: экстремистские материалы, призывы к массовым беспорядкам, информация о наркотиках.
Уголовная ответственность
За сбор ПД без согласия, если это повлекло утечку данных или нарушение прав граждан — до 2 лет лишения свободы.
Практические рекомендации по приведению сайта в соответствие
Чтобы избежать штрафов и блокировок, следуйте пошаговому плану.
Совет: регулярно обновляйте документы и следите за изменениями в законодательстве.
Аудит сайта
Проверьте, какие элементы уже есть, а какие отсутствуют.
Проверка политики конфиденциальности
Убедитесь, что она размещена в подвале сайта, доступна по прямой ссылке, содержит все обязательные разделы.
Проверка согласий
Проверьте, что на всех формах сбора данных есть чекбокс согласия.
Проверка маркировки рекламы
Если на сайте есть реклама, проверьте наличие пометки «Реклама», указания рекламодателя и erid.
Разработка документов
Если документов нет, их нужно создать. Используйте проверенные шаблоны или обратитесь к юристу.
Шаблоны политик
Можно найти на сайтах юридических компаний или в конструкторах документов (например, «Политика конфиденциальности онлайн»).
Конструкторы документов
Сервисы типа «Doczilla» или «Конструктор документов» помогут быстро создать базовые документы.
Консультация юриста
Для сложных сайтов (интернет-магазины, маркетплейсы) лучше обратиться к специалисту.
Техническая реализация
После подготовки документов нужно внедрить их на сайте.
Cookie-баннер
Установите плагин для CMS (например, для WordPress — «GDPR Cookie Consent»). Настройте типы cookie.
SSL-сертификат
Установите сертификат (можно бесплатный от Let’s Encrypt). Проверьте, что все страницы открываются по HTTPS.
Форма согласия
Добавьте чекбокс на формы регистрации, подписки, оформления заказа.
Интеграция с РКН
Если сайт является ОРИ, настройте хранение данных и доступ для ФСБ.
Мониторинг изменений законодательства
Законы постоянно меняются. Чтобы быть в курсе, подпишитесь на новости РКН, ФАС и профильные телеграм-каналы.
Планируемые изменения
Ожидается регулирование ИИ, цифровых платформ, ужесточение требований к маркировке рекламы.
Источники информации
Сайты РКН, ФАС, Минцифры, юридические порталы (Гарант, КонсультантПлюс).
Часто задаваемые вопросы
Нужна ли политика конфиденциальности на сайте-визитке?
Да, даже если сайт не собирает данные. Политика конфиденциальности — обязательный элемент, даже если вы просто указываете контакты. Это требование 152-ФЗ.
Какой штраф за отсутствие cookie-баннера?
Штраф может быть до 100 000 рублей для юрлиц. Но чаще РКН сначала выносит предупреждение.
Обязательно ли регистрировать сайт как СМИ?
Только если посещаемость превышает 3 000 человек в сутки и сайт распространяет новости. Если сайт не новостной, регистрация не требуется.
Что такое erid и как его получить?
Erid — уникальный идентификатор рекламного объявления. Его можно получить через личный кабинет РКН или через ОРД (например, Яндекс.Директ).
Можно ли использовать зарубежный хостинг?
Можно, но это усложняет соблюдение закона о локализации ПД. Рекомендуется использовать хостинг в РФ.
Какие данные считаются персональными?
Любая информация, которая позволяет идентифицировать человека: имя, email, телефон, IP-адрес, cookie, данные банковской карты.
Что будет, если не маркировать рекламу?
Штраф до 200 000 рублей для юрлиц. При повторном нарушении — блокировка сайта.
Подробнее о технических требованиях к сайту читайте в нашей статье «Технические требования к сайту для успешного продвижения». А если хотите узнать, как оформить сайт правильно, посмотрите гайд «Требования к дизайну и юзабилити сайта: полный гайд».
