Закон о персональных данных: что ждет сайты и маркетинг в 2026 году

Сайт собирает персональные данные раньше, чем бизнес это вообще осознает

Самая опасная ошибка у бизнеса здесь довольно простая. Многие до сих пор думают, что персональные данные начинаются где-то далеко – в отделе кадров, в бухгалтерии или в большой корпоративной IT-системе. На практике все начинается намного раньше, и чаще всего именно с сайта, маркетинга и обычных digital-инструментов, которые кажутся чем-то совершенно бытовым.

Достаточно посмотреть на обычный сайт компании. Форма «Оставьте телефон», квиз, callback-виджет, онлайн-чат, подписка на рассылку, аналитика, метрика, cookie, передача лида в CRM, доступ агентства к заявкам, облачные сервисы и интеграции – все это уже история про обработку персональных данных. Не в теории, а в самой обычной рабочей практике, которая у многих запущена уже давно.

И вот тут начинается то, о чем многие вспоминают слишком поздно. Закон требует, чтобы обработка была законной, привязанной к конкретным целям, не избыточной по составу данных и защищенной организационными и техническими мерами. Это не какая-то бумажная формальность для юристов, а вполне прикладная обязанность оператора. Роскомнадзор отдельно рекомендует собирать только то, что реально нужно для цели, и по возможности раздельно хранить разные категории персональных данных.

Что вообще считается персональными данными в интернете

Когда говорят «персональные данные в интернете», многие по привычке вспоминают только ФИО, паспорт и что-то совсем формальное. Но у сайта и маркетинга зона сильно шире, и в реальной практике туда попадает гораздо больше информации, чем кажется на первый взгляд.

Для digital это обычно имя, телефон, email, IP-адрес, идентификатор пользователя, cookie, история посещений, сведения о действиях на сайте, источники переходов, данные из форм, квизов и заявок. Иногда сюда же добавляются геолокация, записи звонков и переписка в чатах, если все это собирается и используется в рамках работы бизнеса.

На портале Роскомнадзора в форме уведомления прямо предусмотрены, в том числе, сведения, которые собираются через метрические программы. В примерах записей реестра операторов тоже встречаются наборы данных пользователей сайта, собираемые через cookie и Яндекс Метрику: IP-адрес, идентификатор пользователя, история посещений, источники переходов, местоположение, дата и время сессий, сведения о действиях на сайте. Практический вывод здесь довольно прямой – аналитика сайта не живет в какой-то серой зоне, а является частью обработки, которую надо описывать и легализовывать.

То есть маркетинговая аналитика давно перестала быть просто обезличенными цифрами на красивом дашборде. Во многих сценариях это уже персональные данные или информация, которая связана с конкретным пользователем либо устройством. И делать вид, что это «просто статистика», сейчас уже довольно опасная привычка.

Что изменилось и что нас ждет в 2026 году

Если говорить коротко, главная новость 2026 года не в том, что появился какой-то новый базовый закон и все перевернулось. Главная новость в другом – ответственность стала заметно больнее, а подход регулятора к этим вопросам стал ощутимо жестче. То есть сам фундамент знакомый, но цена старых ошибок выросла очень сильно.

Базовый закон остался тем же, но штрафы уже совсем другие

152-ФЗ действует в актуальной редакции, но КоАП усилил ответственность за нарушения в сфере персональных данных. После изменений 2025 года общий состав нарушений законодательства о персональных данных для организаций стал стоить намного дороже: по части 1 статьи 13.11 КоАП РФ штраф составляет до 150–300 тысяч рублей, а при повторности уже до 300–500 тысяч рублей.

Появилась отдельная ответственность за неуведомление Роскомнадзора

С конца 2024 года в статье 13.11 КоАП РФ появились новые части, и с 2025 года уже действует отдельный штраф за неуведомление или несвоевременное уведомление Роскомнадзора о намерении обрабатывать персональные данные. Для юридических лиц это от 100 тысяч до 300 тысяч рублей, а за повторность – уже от 1 до 3 миллионов рублей. То есть история с уведомлением перестала быть чем-то второстепенным и перешла в разряд реальных денежных рисков.

Утечки и инциденты стали намного дороже

В той же статье 13.11 КоАП РФ закреплены крупные штрафы по составам, связанным с нарушениями обязанностей при обработке персональных данных и с утечками. Для юридических лиц по отдельным составам суммы доходят до миллионов рублей, а при повторности уже могут идти на десятки миллионов. Это уже не формат «неприятно, но переживем», а вполне реальная финансовая проблема для бизнеса.

Уведомления окончательно стали частью обычного комплаенса

На портале персональных данных Роскомнадзора в 2026 году по-прежнему работает электронная подача уведомлений, внесение изменений и проверка статуса. Формы утверждены приказом Роскомнадзора № 180, и это хорошо показывает текущую логику регулятора. Вопрос уведомления теперь выглядит не как «потом как-нибудь оформим», а как обычная обязательная процедура для значительной части операторов.

Если совсем по-человечески, 2026 год – это не новая эпоха закона. Это новая цена старой беспечности, шаблонов и надежды на то, что «и так прокатит».

На что смотрят Роскомнадзор и прокуратура у сайтов

Если сильно упростить, то регулятор обычно смотрит на четыре крупных блока. И проблема в том, что многие компании в лучшем случае закрывают один, а про остальные вспоминают уже после запроса или жалобы.

Блок 1. Есть ли у вас внятная правовая архитектура обработки

Здесь проверяют довольно базовые, но важные вещи. Есть ли политика в отношении обработки персональных данных, опубликована ли она на сайте, определены ли цели обработки, соотнесены ли эти цели с перечнем собираемых данных, есть ли правовые основания обработки, назначено ли ответственное лицо, существуют ли локальные акты и меры по статьям 18.1 и 19 закона.

В записях реестра Роскомнадзора как типовые меры прямо фигурируют утвержденное положение об обработке персональных данных, обязательства о неразглашении, назначение ответственного, публикация политики на сайте и локальные акты по вопросам обработки. То есть регулятор смотрит не только на красивый файл с названием «Политика», а на всю конструкцию целиком.

Блок 2. Уведомляли ли вы Роскомнадзор

Для многих сайтов и компаний это уже не факультативная тема, а обязательная часть картины. И теперь за игнорирование этого вопроса есть отдельный и вполне чувствительный штраф. Если компания собирает заявки, ведет CRM, использует метрику и работает с данными клиентов или потенциальных клиентов, вопрос «а точно ли вы не обязаны были уведомиться» становится очень неприятным.

Блок 3. Что на самом деле делает сайт

Здесь уже смотрят на практику. Проверяют формы и чекбоксы, тексты согласий, cookie-баннер, наличие ссылок на политику, состав обязательных полей, передачу данных в CRM, коллтрекинг и email-сервисы, работу метрики и пикселей, интеграции с подрядчиками, а также возможную трансграничную передачу при использовании иностранных сервисов.

В форме уведомления Роскомнадзора есть отдельные поля и для метрических программ, и для трансграничной передачи, и для местонахождения базы данных. Это хороший маркер того, что для регулятора все эти вопросы давно считаются обычной частью обработки, а не редким исключением для больших корпораций.

Блок 4. Соблюдаете ли вы принцип минимизации в реальности

Роскомнадзор рекомендует собирать только те данные, которые действительно нужны для заявленной цели. Если человек просто хочет скачать гайд, а вы просите у него телефон, email, должность, город, сайт компании, выручку, ИНН и дату рождения, разговор уже начинает идти не туда. Принцип минимизации прямо вытекает из закона и из рекомендаций регулятора, и на практике это одна из самых уязвимых точек у сайтов и маркетинга.

Ошибки сайтов и маркетинга, которые чаще всего приводят к проблемам

Если смотреть на реальную практику сайтов и digital-команд, набор ошибок там довольно типичный. Ничего экзотического обычно не происходит, и именно в этом вся ирония. Проблемы чаще всего возникают не из-за какого-то хитрого серого сценария, а из-за обычной халатности, спешки и шаблонного подхода.

Ошибка 1. На сайте есть форма, но нет нормальной юридической связки

На сайте стоит кнопка «Отправить», заявка уходит, лид попадает в CRM, но при этом нет отдельного согласия там, где оно действительно нужно, нет ссылки на политику, текст согласия слишком общий, цель обработки раскрыта плохо или не раскрыта вообще, а кому именно передаются данные, непонятно. Снаружи это выглядит как мелочь, но для проверки это уже довольно слабая позиция.

Ошибка 2. Политика есть, но она сделана для галочки

Это, наверное, одна из самых частых историй. Формально документ на сайте опубликован, но в нем не совпадают цели обработки с реальными процессами, не перечислены сервисы аналитики, не описаны категории субъектов, не раскрыты способы обработки, не отражены подрядчики и CRM, ничего толком не сказано про cookie и метрику. То есть политика как бы есть, но к реальной работе сайта она почти не имеет отношения.

Ошибка 3. Собирают больше данных, чем реально нужно

Это классический риск по принципу минимизации. Бизнес часто тащит в форму все подряд просто потому, что «вдруг пригодится», хотя Роскомнадзор отдельно рекомендует минимизировать перечень собираемых данных. Чем больше вы просите без нормального обоснования, тем хуже это выглядит со стороны закона и проверки.

Ошибка 4. Думают, что cookie и метрика – это не персональные данные

Эта идея до сих пор живет очень у многих. Но практика Роскомнадзора и сама форма уведомления показывают обратное: сведения, собираемые метрическими программами, выделены в отдельный блок, а в реестре операторов cookie и Яндекс Метрика описываются как часть обработки персональных данных пользователей сайта. Проще говоря, отмахнуться фразой «это просто аналитика» уже не получится.

Ошибка 5. Нет уведомления в Роскомнадзор, хотя обработка давно идет

С 2025 года это уже не просто формальная недоработка, про которую можно спорить до бесконечности. Это отдельный денежный риск, который может очень неприятно выстрелить, особенно если история дошла до повторности или если параллельно всплыли другие нарушения.

Ошибка 6. Подрядчики имеют доступ к лидам, но отношения толком не оформлены

Агентства, коллтрекинг, CRM-интеграторы, подрядчики по контекстной рекламе и аналитике часто реально видят заявки, историю пользователей и другую информацию. Но бизнес почему-то нередко ограничивается тем, что просто дает доступы и считает вопрос закрытым. На практике этого мало, и доступ подрядчика должен быть встроен в законную модель обработки и в систему мер защиты.

Ошибка 7. Подключены иностранные сервисы, но вопрос трансграничной передачи никто не проверял

Если данные уходят за пределы России или используются сервисы с зарубежной инфраструктурой, это уже отдельный блок риска. Роскомнадзор в реестре и в формах уведомлений прямо оперирует вопросами трансграничной передачи и местонахождения базы данных, и игнорировать это как будто ничего не происходит уже довольно опасно.

Ошибка 8. Ответ на запрос Роскомнадзора готовят как получится

Иногда бизнес сам ухудшает свою же позицию. Отвечает не на тот вопрос, признает лишнее, отправляет противоречивые документы, прикладывает неактуальную политику и тем самым показывает, что реальная практика у компании расходится с документами. То есть часть проблем возникает не только из-за самой обработки, но и из-за того, как компания потом пытается оправдаться.

Что показывает практика: чем обычно заканчиваются проверки и споры

В реальной жизни такие истории редко начинаются с мгновенного огромного штрафа на ровном месте. Обычно сценарий развивается более приземленно и местами даже предсказуемо. Сначала появляется жалоба субъекта, инцидент, публикация, утечка, конфликт с клиентом или материал проверки прокуратуры, после чего начинается уже официальный интерес к документам и процессам.

Дальше, как правило, запрашивают документы и объяснения. Потом находят несоответствия: нет уведомления, нет политики, нет понятного правового основания, идет избыточный сбор данных, публикуются лишние сведения или отсутствуют организационные меры защиты. После этого история уже может перейти в протокол, административное дело и параллельное предписание устранить нарушения.

Роскомнадзор и прокуратура действительно взаимодействуют между собой, и на региональных ресурсах Роскомнадзора есть сообщения о материалах прокурорских проверок, по результатам которых возбуждались административные дела в отношении владельцев сайтов и других операторов. Есть и судебные акты, где суды подтверждают ответственность за нарушение правил обработки и распространения персональных данных. То есть это не абстрактная теория из лекции, а вполне рабочая практика, которая реально существует.

Тут важно понимать одну вещь. Не каждая проверка заканчивается максимальным штрафом, и не каждая история сразу превращается в катастрофу. Но в 2026 году даже обычные составы уже стоят дорого, а повторность и инциденты могут очень быстро перевести ситуацию из неприятной в критичную.

Как правильно отвечать Роскомнадзору

Когда приходит запрос от Роскомнадзора, худшее, что можно сделать, – это начать отвечать в панике, хватая первые попавшиеся документы из старых папок. В такие моменты особенно важно не суетиться, потому что неаккуратный ответ иногда вредит сильнее, чем сам исходный пробел в документах.

Шаг 1. Зафиксировать предмет запроса

Сначала нужно понять, что именно спрашивает регулятор, за какой период, по какому основанию и какие документы он хочет получить. Без этого любой ответ превращается в угадайку, а угадывать в таких вопросах – занятие так себе.

Шаг 2. Сверить документы с реальной практикой

Не стоит отправлять «лучшее, что нашли». Нужно проверить, совпадает ли политика с реальными формами и процессами, есть ли уведомление и актуальны ли сведения в нем, оформлены ли отношения с подрядчиками, соответствуют ли заявленные цели обработки тому, что сайт реально собирает. Очень часто именно на этом этапе становится видно, где бумага живет отдельно, а практика отдельно.

Шаг 3. Не писать лишнего

Не надо превращать ответ в исповедь. Письмо должно быть точным, документально подтвержденным и непротиворечивым. Чем больше лишних эмоций, объяснений и творческих трактовок, тем больше шансов случайно ухудшить собственную позицию.

Шаг 4. Если есть пробелы, устранять их быстро, но без фокусов с датами

Частая ошибка здесь довольно типичная. Компания срочно переписывает документы задним числом, путает версии, меняет даты и в итоге создает себе уже новые риски. Исправлять пробелы нужно быстро, но аккуратно и без попытки переписать прошлое так, будто ничего не было.

Шаг 5. Отдельно проверить сам сайт

Потому что инспектору очень часто проще начать с того, что видно публично. Формы, политика, cookie-баннер, чекбоксы, ссылки, тексты согласий – все это лежит на поверхности и быстро показывает, насколько документы совпадают с реальной жизнью сайта.

Что сделать уже сейчас, чтобы снизить риски

Если у бизнеса есть сайт и хоть какой-то маркетинг, минимальная гигиена в этой теме уже давно нужна. Не потому что это модно или кто-то пугает штрафами, а потому что в 2026 году слишком много процессов завязано на сбор и передачу данных, чтобы продолжать делать вид, будто это где-то не про вас.

1. Провести инвентаризацию всех точек сбора данных

Нужно составить нормальную карту: формы на сайте, квизы, чаты, callback, коллтрекинг, CRM, email-сервисы, Яндекс Метрика, рекламные кабинеты, пиксели, подрядчики. Пока у компании нет такой карты, она почти всегда не до конца понимает, что именно уже собирает и кому это потом уходит.

2. Проверить, что у каждой точки есть цель и правовое основание

Цель должна быть конкретной и рабочей. Не что-то в духе «для улучшения всего на свете», а понятные вещи вроде обработки обращения, обратной связи, аналитики посещаемости, заключения и исполнения договора, рассылки при наличии согласия. Закон требует именно конкретных и законных целей, а не красивых универсальных формулировок.

3. Проверить состав полей

Лишнее лучше убирать сразу. Не надо собирать то, без чего можно спокойно обойтись, особенно если потом вы еще и не сможете нормально объяснить, зачем вообще это было нужно.

4. Перепроверить политику на сайте

В политике должны отражаться реальные процессы, а не копипаста из интернета пятилетней давности. Если у вас есть аналитика, cookie, сервисы, подрядчики, категории данных и конкретные цели обработки, все это должно быть описано прямо и внятно.

5. Проверить уведомление в Роскомнадзор

Нужно понять, подавалось ли оно вообще, актуальны ли сведения, отражены ли в нем метрика, категории данных, цели обработки, трансграничная передача, место нахождения базы данных и изменения в процессах. Подать уведомление и обновить сведения можно через портал персональных данных Роскомнадзора, и откладывать это «на потом» уже довольно рискованно.

6. Разобраться с подрядчиками

У агентства, интегратора, коллтрекинга, CRM-провайдера и других лиц, которым передаются данные, не должно быть серой зоны. Если подрядчик получает доступ к лидам и действиям пользователей, это надо оформлять и учитывать как часть законной обработки, а не как что-то само собой разумеющееся.

7. Проверить меры по статьям 18.1 и 19

Нужно посмотреть, назначено ли ответственное лицо, есть ли локальные акты, разграничение доступа, обязательства о неразглашении, организационные и технические меры защиты. Типовые меры такого рода отражаются и в реестре Роскомнадзора как стандартные ожидания от оператора, так что это не какая-то редкая экзотика для крупных компаний.

8. Отдельно проверить метрику и cookie-баннер

Это один из самых недооцененных рисков у маркетинга. Многие до сих пор считают, что тут можно жить по старым шаблонам и особо ни о чем не думать, хотя именно на этой зоне сейчас довольно часто всплывают неприятные вопросы.

9. Подготовить пакет документов на случай запроса

Чтобы потом не собирать все ночью после письма от регулятора и не отправлять в спешке то, что первым попалось под руку. Такой пакет лучше собрать заранее и периодически обновлять, чем каждый раз изображать экстренную импровизацию.

Отдельно про Яндекс Метрику и сайты

Маркетологи часто смотрят на Яндекс Метрику как на чисто технический инструмент. Просто счетчик, просто аналитика, просто удобно смотреть, откуда пришел трафик и что люди делают на сайте. Но с точки зрения персональных данных это уже часть обработки информации о пользователях сайта, и относиться к ней как к чему-то нейтральному уже не получится.

Роскомнадзор в своей форме уведомления прямо выделяет сведения, собираемые посредством метрических программ, а в реестре операторов есть примеры, где cookie и Яндекс Метрика описываются как источник IP-адресов, идентификаторов пользователей, истории посещений, источников переходов и действий на сайте. Поэтому фраза «у нас только Метрика, мы же ничего не собираем» в 2026 году звучит уже довольно опасно и сильно оторвано от реальности.

Практический вывод тут очень простой. Если у вас есть метрика, она должна быть отражена в фактической карте обработки, в политике, при необходимости в уведомлении и в пользовательской логике сайта. Игнорировать ее как будто это всего лишь безобидный технический модуль – плохая идея.

Заключение

Если говорить совсем коротко, 152-ФЗ давно касается не только юристов, кадровиков и больших корпораций. Он уже давно живет внутри маркетинга, сайтов, аналитики, лидогенерации, CRM и всех тех процессов, которые у бизнеса работают каждый день в фоновом режиме.

В 2026 году опасность не в том, что закон вдруг неожиданно появился. Опасность в том, что штрафы стали выше, неуведомление Роскомнадзора теперь отдельно наказывается, метрика, cookie, формы и интеграции уже нельзя считать серой зоной, регулятор и прокуратура смотрят не только на бумагу, но и на реальную цифровую практику, а старые шаблоны документов больше не спасают так, как раньше.

Поэтому с этой темой лучше разобраться сейчас, пока это можно сделать спокойно и без лишней суеты. Потому что знакомиться с 152-ФЗ уже во время проверки – это, мягко говоря, не самый приятный способ обучения.

Бонус: короткий чек-лист для раздатки

Чек-лист: сайт и персональные данные в 2026 году

1. Все формы на сайте проинвентаризированы.
2. По каждой форме понятна цель обработки.
3. На сайте нет лишних полей.
4. Опубликована актуальная политика обработки персональных данных.
5. Тексты согласий не шаблонные и привязаны к целям.
6. Учтены cookie и Яндекс Метрика.
7. Проверены CRM, коллтрекинг, email-сервисы и подрядчики.
8. Проверено уведомление в Роскомнадзор и актуальность сведений.
9. Проверены зарубежные сервисы и возможная трансграничная передача данных. Сюда могут попадать Google Analytics, Google Tag Manager, reCAPTCHA, интеграции с API ChatGPT и другими зарубежными AI-сервисами, почта на Gmail, формы и таблицы Google, зарубежные CDN, облачные хранилища, зарубежные CRM и сервисы email-рассылок.
10. Подготовлен пакет документов на случай запроса или проверки.

Материал статьи носит информационный характер и не заменяет индивидуальную юридическую оценку. Конкретные обязанности оператора и состав документов зависят от бизнес-процессов, категорий данных, используемых сервисов, структуры сайта и способов передачи данных.

Если нужно с чего-то начать без лишней боли, пример политики конфиденциальности можно бесплатно сделать на нашем ресурсе, который разработала команда БИЗ.Дельники – genportal.ru. Это не решает все вопросы по персональным данным автоматически, но как отправная точка вполне может сэкономить время.