Мы проверили 7 077 сайтов малого бизнеса на закон о персональных данных. Полностью чистых — 1,4%
Амина Хасамбековна
Из 7 077 сайтов малого бизнеса, которые мы прогнали через автоматическую проверку на 152-ФЗ, полностью чистыми оказались… 102. Один и четыре десятых процента. Остальные 98,6% нарушают закон о персональных данных прямо сейчас — чаще всего даже не догадываясь об этом. Рассказываю, что мы нашли, сколько это стоит при проверке Роскомнадзора и как за один вечер убрать самые опасные нарушения.
Как мы считали
Мы — небольшой сервис Чисто152, проверяем сайты на соответствие закону «О персональных данных». Для исследования взяли 7 077 сайтов российского малого бизнеса: турбазы, глэмпинги, гостевые дома, небольшие магазины и компании услуг. Каждый сайт автоматически проверил наш сканер, а по 500 случайным сайтам мы прошлись детально: 15 проверок, до 10 страниц на сайт, включая запрос к официальному реестру операторов Роскомнадзора.
Никого не называем и не стыдим — все данные обезличены. Цель — показать масштаб.
Что нарушают чаще всего
Cookie собираются до вашего согласия — каждый второй сайт. Зашли на сайт — и Яндекс.Метрика с Google Analytics уже поставили вам идентификаторы, хотя никакого «Принять» вы не нажимали. По закону cookie с идентификаторами — это персональные данные, и собирать их можно только после согласия. Штраф — до 300 000 рублей.
Формы без галочки согласия — 43% сайтов. «Оставьте телефон, мы перезвоним» — а чекбокса «согласен на обработку персональных данных» нет. Это обработка ПДн без согласия — самая дорогая из типовых ошибок: до 700 000 рублей для юрлица.
Политика конфиденциальности — для галочки. У каждого пятого сайта политики нет вообще. А там, где есть, в большинстве случаев она неполная: скачанный из интернета шаблон без обязательных разделов — целей обработки, сроков хранения, прав клиента. В сумме проблемы с политикой — у 78% сайтов. Роскомнадзор при проверке смотрит именно на содержание документа.
Cookie-баннер, у которого нельзя нажать «Нет». Почти половина баннеров дают одну кнопку — «Принять». Юристы называют это «навязанным согласием»: выбор без выбора согласием не считается.
Данные утекают за границу — незаметно для владельца. Две трети сайтов подгружают шрифты Google, reCAPTCHA, зарубежные CDN. Каждый визит — и IP-адрес посетителя уходит на иностранный сервер. А если форма заказа шлёт данные на зарубежную платформу — это уже нарушение требования о локализации, и тут штрафы до 6 000 000 рублей.
«Да кому мы нужны» — самое дорогое заблуждение
С 30 мая 2025 года действует новая редакция закона: штрафы выросли, а за утечку данных появились оборотные — до 3% годовой выручки при повторном нарушении. Роскомнадзору для внеплановой проверки не нужно приходить в офис: сайт проверяется удалённо, а жалобу может подать любой недовольный клиент — этого достаточно.
В среднем на сайте из нашей выборки — 5 нарушений. По совокупности статей типичный «букет» тянет на сумму больше миллиона рублей. При этом большинство проблем чинится за вечер: добавить чекбокс в форму, поставить нормальный cookie-баннер, опубликовать полную политику.
Что проверить у себя прямо сейчас
Формы на сайте: есть ли чекбокс согласия и ссылка на политику рядом с каждой. Политика: опубликована ли и есть ли в ней обязательные разделы. Cookie-баннер: появляется ли до загрузки счётчиков и есть ли кнопка «Отклонить». Уведомление РКН: подано ли (проверяется по ИНН на pd.rkn.gov.ru, подача бесплатна). Куда уходят данные: нет ли на сайте Google-шрифтов, reCAPTCHA и форм, отправляющих данные на зарубежные сервисы.
Проверить всё это автоматически можно бесплатно на chisto152.ru — тот же сканер, которым собрана статистика этого исследования.
Материал носит информационный характер и не является юридической консультацией. Суммы штрафов — верхние границы санкций ст. 13.11 КоАП РФ в редакции, действующей с 30.05.2025. Вопросы по методологии — с удовольствием отвечу в комментариях.