В конце апреля по деловым чатам прокатилась волна тревоги: «Роскомнадзор запустил бота, который автоматически сканирует сайты в зонах .ru, .рф и .su и рассылает штрафные предписания». Компании из Волгограда и Калмыкии уже получили такие письма с требованием исправить нарушения в обработке персональных данных за десять дней, иначе штраф до 90 000 рублей, а за само нарушение — до 15 миллионов.
Пресс-служба Роскомнадзора оперативно ответила: это фейк. Фейковая рассылка от мошенников, которые подделали документы ведомства. Все официальные письма РКН и его территориальных органов содержат электронную подпись в формате .sig — её подлинность проверяется на Госуслугах. Официальная почта ведомства имеет вид name@rkn.gov.ru, и никакой другой.
Выдохнули? Рано.
Новость — фейк. Проверки — нет
Вот в чём ирония ситуации: мошенники придумали то, что уже давно существует в реальности. РКН проверяет сайты компаний систематически, методично, без предупреждений. Это называется «проведение контрольных мероприятий без контакта с проверяемым лицом», и такое право у регулятора есть давно.
Автоматизированные инструменты у РКН тоже имеются. Мы в Бридж Групп ещё два года назад на одном из вебинаров показывали реальную статистику по отдельному региону: из 107 сайтов, которые РКН прошёл с проверкой, нормативным требованиям соответствовали четыре. Четыре из ста семи.
Так что «новость» о боте — это не страшилка из будущего. Это описание настоящего, слегка приукрашенное мошенниками для убедительности.
Что именно проверяет РКН на вашем сайте
У регулятора есть чёткий чек-лист. Проверяющий (человек или программа) смотрит на конкретные вещи:
Во-первых, наличие Политики обработки персональных данных и её соответствие закону. Не просто файл с правильным названием, а реальный документ, который описывает все процессы компании, а не только то, что происходит на сайте.
Во-вторых, совпадение целей обработки в Политике и в уведомлении, поданном в реестр операторов РКН. Классическая ловушка: в уведомлении написано «соблюдение трудового законодательства», в Политике на сайте — только про сайт, а по ОКВЭДам у компании явно есть клиенты — физические лица. Это не совпадение. И это предписание.
В-третьих, формы сбора данных. Есть ли согласие на обработку, правильно ли оно оформлено, нет ли «избыточного» сбора данных, когда просят заполнить поля, которые для заявленных целей не нужны.
В-четвёртых, зарубежные сервисы на сайте. Google Analytics, Google Формы, карты — всё это передаёт данные пользователей на серверы за пределами России. Штраф за нарушение «закона о приземлении» (п. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных») — до 6 млн рублей. За трансграничную передачу данных в «недружественные» страны, не обеспечивающие адекватную защиту персональных данных — отдельное нарушение, и США в этом списке есть. Компании часто говорят нам: «У нас только Яндекс.Метрика». При экспресс-аудите обнаруживается сразу несколько продуктов Google (карты, формы, аналитика), которые кто-то поставил пару лет назад и давно забыл.
Что сейчас происходит
Если коротко: цена ошибки изменилась.
Требование уведомить Роскомнадзор о начале обработки персональных данных существует с 2006 года. Просто штраф за его отсутствие составлял до 5 000 рублей — никто особо и не торопился. С 30 мая 2025 года тот же штраф до 300 000 рублей на компанию. По ч. 1 ст. 13.11 КоАП РФ до 300 000 за «стандартные» нарушения: неправильные формы согласий, избыточный сбор данных, несоответствие документов. За утечки — отдельные составы, суммы существенно выше.
Математика простая: соблюдать требования стало дешевле, чем нарушать.
Отдельно стоит сказать про уведомления, которые многие компании спешно подали до 30 мая, пока сайт РКН «лежал» под нагрузкой. По нашей практике, 98% таких уведомлений заполнены с ошибками. Неправильно указанные цели обработки, несовпадение с реальными процессами, несоответствие Политике на сайте. За недостоверное уведомление — штраф по той же статье, те же 300 000 рублей. Так что «отчитался и забыл» здесь не работает.
Кстати, может оказаться, что уведомление вы подали, но фактически оно так и не было принято РКН из-за большой нагрузки. Проверьте, а есть ли по вам уведомление в реестре операторов вообще? Некоторые наши клиенты очень удивились, когда уведомлений не обнаружили, хотя подавали.
Фото сотрудников в разделе «О нас» — это тоже нарушение?
Да, если нет согласия. Фото — это персональные данные. Точнее, биометрические персональные данные, обработка которых требует письменного согласия сотрудника. Это не придирка регулятора, это прямое требование ч. 1 ст. 11 Закона № 152-ФЗ. В разделе «Команда» или «О нас» у большинства компаний такие согласия не оформлены просто потому что никто об этом не думал.
Именно поэтому в нашей практике 97% сайтов не проходят даже экспресс-аудит.
Что делать
Не ждать, когда придёт настоящее предписание — не фейковое.
Первый шаг — аудит. Не точечная правка одного документа, а системная проверка: сайт, процессы обработки данных, пакет документов, уведомление в РКН, используемые сервисы и программы. Это позволяет увидеть реальную картину, а не ту, которую хочется видеть.
Второй шаг — актуализация документов. Политика обработки персональных данных, согласия, уведомление об использовании cookies. Всё это должно отражать реальные процессы компании, а не быть скопированным откуда-то шаблоном.
Третий шаг — исправление технической части сайта. Убрать или легализовать зарубежные сервисы, проверить формы сбора данных, оформить согласия сотрудников на публикацию фотографий.
Бридж Групп проводит аудиты в сфере персональных данных — экспресс и полные. Помогаем разобраться с процессами, составить корректный пакет документов, подать правильное уведомление. Работаем в том числе с компаниями с иностранным присутствием: есть опыт объяснения специфики российских требований зарубежным партнёрам на английском языке.
Итог
Новость про фейковый бот оказалась полезной. Не потому что напугала, а потому что напомнила: проверки сайтов идут. Штрафы выросли. И статистика, увы, безжалостная — четыре сайта из ста семи в норме. Вопрос только в том, входит ли ваш в эти четыре.
Комплексная проверка процессов обработки ПДн и корпоративной документации
С выдачей юридически значимого заключения и готового плана устранения нарушений в партнёрстве с лицензированным оператором ФСТЭК
FAQ
Как понять, что письмо от РКН — настоящее? +
Все официальные письма Роскомнадзора и его территориальных органов содержат электронную подпись в формате .sig. Её подлинность и срок действия проверяются на портале Госуслуг. Почтовый адрес отправителя должен быть в формате name@rkn.gov.ru.
Что проверяет Роскомнадзор на сайте компании? +
Наличие и содержание Политики обработки персональных данных, соответствие Политики поданному уведомлению в реестр операторов, корректность форм согласий, использование зарубежных сервисов (Google Analytics, Google Формы и другие), наличие согласий сотрудников на публикацию фото.
Какой штраф грозит за нарушения на сайте? +
По ч. 1 ст. 13.11 КоАП РФ — до 300 000 рублей (с 30 мая 2025 года). За нарушение «закона о приземлении» (использование зарубежных сервисов для сбора данных граждан РФ) — до 6 млн рублей. За нарушение правил трансграничной передачи данных — до 300 000 рублей.
Нужно ли переподавать уведомление в РКН, если уже подавал раньше? +
Если уведомление подавалось в спешке до 30 мая 2025 года — скорее всего, да. По нашей практике, 98% уведомлений в реестре содержат ошибки. Некорректное уведомление — самостоятельное основание для штрафа.
С чего начать приведение дел в порядок? +
С аудита: сайт, документы, процессы обработки данных, используемые сервисы. Только после этого — правки и регистрация. Иначе получается «уведомление об ошибках», а не о реальных процессах.
