Владельцы бизнеса привыкли думать, что главные риски в работе с персональными данными скрываются в масштабных IT-системах и CRM, где накапливаются массивы клиентских профилей.
Однако в реальности все обстоит иначе: сегодня контролирующие органы все чаще обращают внимание на «первый экран» сайта — те самые формы подписки, баннеры и cookie-файлы, которые видит посетитель сразу при заходе. Ошибки здесь стоят дорого: штрафы достигают миллионов рублей, а репутационные издержки еще выше.
До 2030 года действует мораторий на проверки Роскомнадзора, и часто владельцы бизнеса считают, что можно не торопиться с исправлениями сайта и внутренних документов. Однако, даже когда действует мораторий, РКН может проверить сайт без взаимодействия с оператором. Сейчас РКН использует автоматизированные системы для проверки сайтов, поэтому количество подобных проверок увеличилось.
Так, проверка сайта может проходить без уведомления оператора, поэтому важно подготовить документы на сайте и проверить их на соответствие 152-ФЗ.
Политика обработки ПДн
Политика не является правовым основанием для обработки ПДн по смыслу ст. 6 152-ФЗ. При этом на каждой странице сайта, где происходит сбор ПДн, оператор обязан обеспечить наличие ссылки на Политику конфиденциальности (в силу ч. 2 ст. 18.1 152-ФЗ).
Совет: рекомендуем размещать ссылки на Политику и под каждой формой сбора, и в футере сайта.
В соответствии с п. 2 ч. 1 ст. 18.1 152-ФЗ в Политике конфиденциальности должны быть отражены для каждой цели обработки персональных данных:

категории и перечень обрабатываемых персональных данных,
категории субъектов, персональные данные которых обрабатываются,
способы, сроки их обработки и хранения,
порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований,
а также процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Важно, чтобы политика была доступна на каждой странице сайта, где происходит сбор ПДн. Обычно политика размещена в футере сайта, также можно разместить гиперссылку на политику рядом с формами сбора ПДн.
Если сайт предполагает регистрацию, и ПДн пользователя собираются до начала регистрации, важно, чтобы политика была доступна свободно, без регистрации, например.
Ошибки бизнеса:

Политика скопирована у другого оператора и не отражает реальную деятельность.
Документ размещен только в личном кабинете, но не в открытом доступе.
Политика устарела. Например, указаны старые реквизиты компании и процессы, которых нет.

Почему cookie — ПДн
На сайте должен быть cookie-баннер, это является согласием на обработку cookies.
Файлы cookie относятся к персональным данным исходя из толкования ч. 1 ст. 3 ФЗ–152, потому что определяют субъекта, который заходит на сайт и совершает определенные действия. Cookie запоминают эти действия, составляя портрет пользователя, отделяя его от других.
РКН рекомендует размещать cookie-баннер на сайте, т.к. отсутствие баннера может быть признано нарушением, как, например, прямо пишет РКН в результатах проверки: «Осуществление сбора метрических данных в отсутствие информирования пользователей об использовании файлов-cookies и согласия пользователя».
В судебных решениях cookies упоминаются как ПДн, т.е. судебная практика подтверждает это толкование:

Решение Таганского районного суда города Москвы от 15.10.2024 г. по делу № 12-559/2024
Постановление Мирового судьи судебного участка № 422 Таганского района г. Москвы по делу № 5-0034/422/2025
Постановление Мирового судьи судебного участка № 374 Таганского района г. Москвы по делу № 5-1179/422/2023
Постановление Мирового судьи судебного участка № 374 Таганского района г. Москвы по делу № 5-1178/422/2023
Решение Таганского районного суда г. Москвы от 19.12.2018 по делу № 02–4261/2018
Определение Московского городского суда от 10.11.2016 по делу № 33–38783/2016
Постановление Мирового судьи судебного участка № 422 Таганского района г. Москвы по делу № 5–1297/422/2022;
Постановление Мирового судьи судебного участка № 422 Таганского района г. Москвы по делу № 5–1134/422/2022
Постановление Мирового судьи судебного участка № 422 Таганского района г. Москвы по делу № 05–1343/422/2022

Стандартная формулировка:
«На нашем сайте используются cookie–файлы, в том числе сервисов веб–аналитики. Используя сайт, вы соглашаетесь на обработку персональных данных при помощи cookie–файлов. Подробнее об обработке персональных данных вы можете узнать в Политике конфиденциальности».
Ссылка на политику должна быть кликабельной.
Как оформить баннер правильно:

Баннер должен быть виден сразу при заходе на сайт;
Ссылка на политику должна быть кликабельной.

Локализация
Согласно ч. 5 ст. 18 152-ФЗ, оператор обязан обеспечить запись, систематизацию, накопление, хранение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.
Иными словами, если оператор собирает персональные данные россиян, сервер для их первичного хранения должен находиться в России.
Рекомендуем использовать российские аналоги для аналитики поведения пользователей. Однако в недавних ответах на запросы РКН отмечалось, что не запрещается использование GA при условии уведомления о трансграничной передаче и получении согласия пользователя.
Важно: сервер GA находится в США. Эта страна не относится к странам, обеспечивающим адекватную защиту ПДн.
Это значит, что при подаче уведомления о трансграничной передаче необходим особый порядок проведения оценки: оператор обязан проанализировать правовую базу страны на предмет наличия правовых норм, и подождать 10 рабочих дней после подачи уведомления. Роскомнадзор может ограничить или запретить передачу.
Как это связано с cookie
Если cookie собираются с помощью зарубежных сервисов аналитики, например, Google Analytics и других, то данные пользователей первично собираются на серверах за пределами РФ. Это и есть нарушение требования о локализации.
Ответственность
За нарушение локализации предусмотрены большие санкции:

Административный штраф до 6 млн рублей за первичное нарушение (ч. 8 ст. 13.11 КоАП РФ),
До 18 млн рублей — за повторное нарушение (ч. 9 ст. 13.11 КоАП РФ).

Как определить, что происходит трансграничная передача
Субъекты ПДн в ИСПДн
Ситуация: Предоставление доступа к ИСПДн иностранным лицам. Даже если основная база данных находится в России, передача персональных данных сотрудникам иностранной компании или государственным органам другой страны для обработки, контроля или аналитики считается трансграничной. Здесь также требуется уведомление РКН и анализ правовой базы принимающей страны на предмет адекватной защиты ПДн.
Организация командирования и обучения работников
Ситуация: Оформление билетов, бронирование мест проживания для отправки в командировку и обучения работников.
Если оператор использует иностранные онлайн-сервисы для бронирования билетов, отелей или учебных платформ, персональные данные работников автоматически передаются за границу. В таких случаях необходимо обеспечить согласие сотрудников на трансграничную передачу.
Посетители сайта
Ситуация: Использование на сайте зарубежных метрических программ, например, Google Analytics.
Данные о посетителях сайта (поведение, клики, геолокация) первично собираются на серверах за пределами РФ. Оператор обязан уведомить РКН, указать в СОПД наличие трансграничной передачи ПДн пользователей.
Формы на сайте
Каждая форма обратной связи, подписки или заявки на сайте должна содержать:

Ссылку на политику конфиденциальности;
Отдельное согласие на обработку персональных данных.

Например, для формы обратной связи может быть предусмотрен такой текст: «Отправляя письмо на электронный адрес, я даю согласие на обработку персональных данных. Также подтверждаю, что ознакомлен с политикой обработки персональных данных.»
Для формы подписки на email-рассылку нужно добавить чек-бокс, который нажимает пользователь, соглашаясь получать рекламные рассылки на электронную почту. Это важно, потому что заранее проставлять галочку в согласии на рекламу нельзя.
Ответственность за нарушения
Незаконная обработка персональных данных (в т.ч. cookie без согласия)
ч. 1 ст. 13.11 КоАП РФ:

для граждан — от 10 000 до 15 000 рублей;
для должностных лиц — от 50 000 до 100 000 рублей;
для юридических лиц — от 150 000 до 300 000 рублей.

Нарушение требований к опубликованию политики обработки персональных данных
ч. 3 ст. 13.11 КоАП РФ:

для граждан — от 1 500 до 3 000 рублей;
для должностных лиц — от 6 000 до 12 000 рублей;
для индивидуальных предпринимателей — от 10 000 до 20 000 рублей;
для юридических лиц — от 30 000 до 60 000 рублей.

Нарушение требования о локализации персональных данных 
ч. 8 ст. 13.11 КоАП РФ:

для граждан — от 30 000 до 50 000 рублей;
для должностных лиц — от 100 000 до 200 000 рублей;
для юридических лиц — от 1 млн до 6 млн рублей.

Нарушение требования о локализации персональных данных (повторное)
ч. 9 ст. 13.11 КоАП РФ:

для граждан — от 50 000 до 100 000 рублей;
для должностных лиц — от 500 000 до 800 000 рублей;
для юридических лиц — от 6 млн до 18 млн рублей.

Что сделать, чтобы минимизировать риски
Аудит сайта

Проверить все формы и наличие обязательных согласий;
Убедиться в наличии кликабельных ссылок на политику.

Обновление документов

Актуализировать политику конфиденциальности;
Внести реальные цели и перечень обрабатываемых ПДн.

Техническая доработка

Создать или скорректировать чек-боксы согласий для рекламных рассылок;
Убрать баннер из футера и разместить его в зоне видимости пользователя;
Обеспечить свободный доступ к политике до регистрации или заполнения форм.

Внутренний контроль

Назначить ответственного за обработку и публикацию документов (часто это юрист или комплаенс-специалист);
Обновлять политику и согласия при изменении процессов обработки.

Локализация и трансграничная передача

Проверить, где физически хранятся данные, собираемые сайтом;
Отказаться от зарубежных сервисов аналитики и CRM, если данные пользователей изначально уходят за границу;
В документах отразить порядок трансграничной передачи и наличие согласия пользователей, если необходимо
Подать уведомление о трансграничной передаче в РКН.

Важно: согласно позиции РКН, хранить ПДн за пределами РФ нельзя, т.е. база данных с ПДн пользователей, клиентов или иных субъектов ПДн должна находиться в России.
Заключение
Ошибки на сайте — это вопрос стратегической устойчивости бизнеса.
Проверка персональных данных начинается не с серверов и не с массивов клиентских профилей, а с того, что видит посетитель при первом заходе: баннер, форма и политика. Именно здесь компании получают первые предписания и штрафы.
Добавим к этому еще один фактор — локализацию персональных данных. Даже идеально оформленный сайт рискует оказаться в зоне блокировки, если данные первично собираются за пределами РФ (например, через Google Analytics).
Простые шаги — корректный cookie-баннер, актуальная политика, грамотно оформленные формы и контроль локализации — позволяют закрыть до 80% рисков и демонстрируют клиентам ответственное отношение к их данным.
Для бизнеса это означает не только снижение юридических угроз, но и рост доверия со стороны клиентов и партнеров, а также гарантированную возможность работать на российском рынке без риска блокировки.