Что проверяет РКН

Роскомнадзор проверяет то, как сайт собирает, публикует и передаёт персональные данные, а также как информирует пользователя об аналитике, cookie и сторонних сервисах. Для сайта риск возникает уже тогда, когда есть формы, счётчики, внешние скрипты, страницы сотрудников, отзывы с именами, онлайн-чаты, карты, капча и другие элементы, которые могут затрагивать персональные данные. По 152-ФЗ согласие должно быть конкретным, предметным, информированным, сознательным и однозначным, а также оформляться отдельно от иных документов, которые подтверждает пользователь.

Под персональными данными может подразумеваться всё, что прямо или косвенно позволяет идентифицировать человека, а это слишком широкий спектр, чтобы оставить без внимания любую мелочь.

Что проверяет наш сервис

Мы проверяем сайт по практическому чек-листу, который основан на официальных требованиях и на реальных типовых претензиях к сайтам.

1. Политика обработки персональных данных

Проверяем, есть ли на сайте публичная страница политики, доступна ли она с основных страниц и похожа ли она на реальный документ, а не на формальный шаблон. Также оцениваем, раскрывает ли политика цели обработки, категории данных, категории субъектов, действия с данными, использование сторонних сервисов, аналитику, cookie и иные значимые сценарии обработки. Именно такие сведения обычно фигурируют и в реестре операторов ПДн РКН.

2. Формы сбора данных

Если на сайте есть форма обратной связи, заявка, подписка, запись, заказ звонка, регистрация или любая другая форма, мы проверяем, есть ли в ней отдельное действие согласия на обработку ПД, а не только текст в стиле «нажимая кнопку, вы соглашаетесь». Для строгой проверки важен именно отдельный и подтверждаемый элемент согласия, потому что закон требует отдельного и однозначного волеизъявления.

3. Cookie, аналитика и метрические сервисы

Проверяем, есть ли на первом входе заметное уведомление о cookie и аналитике, запускаются ли трекеры до действия пользователя, а также используются ли на сайте Яндекс Метрика, Google Analytics, пиксели, рекламные теги и другие средства трекинга. Для нас важен не только текст notice, но и фактическое поведение страницы: когда именно начинают грузиться трекеры. Яндекс в своих условиях отдельно указывает, что владелец сайта обязан предоставлять посетителям информацию об обработке данных при использовании сервиса и, если это требует законодательство, получать соответствующие согласия.

4. Внешние сервисы и третьи лица

Проверяем, какие сторонние домены подключаются на сайте: шрифты, карты, reCAPTCHA, чаты, рекламные виджеты, аналитика, CDN, внешние формы и прочие сервисы. Дальше смотрим, отражено ли их использование в документах сайта и не возникает ли риск передачи данных третьим лицам или за пределы России без достаточного раскрытия. Особенно это важно для иностранных сервисов и сервисов, которые могут получать IP-адрес, cookie, идентификаторы устройств и поведение пользователя.

5. Публикация сотрудников, экспертов и других людей на сайте

Если на сайте есть страницы «Команда», «Сотрудники», «Эксперты», «Преподаватели», «Врачи», «О компании» или похожие разделы, мы отмечаем это как отдельную зону риска. Для публикации персональных данных, разрешённых субъектом для распространения, действует отдельный режим, и одного общего текста политики может быть недостаточно. Поэтому мы отдельно проверяем, есть ли признаки того, что публикация таких профилей действительно покрыта документами сайта.

6. Контакты оператора и общая прозрачность обработки

Проверяем, есть ли на сайте страница контактов или сведения об операторе: адрес, email, телефон, реквизиты, способы связи по вопросам персональных данных. Это важно не только для удобства пользователя, но и для общей прозрачности обработки данных. В реестре РКН и в образцах согласий/описаний обработки такие сведения обычно увязаны с целями обработки, категориями субъектов и перечнем действий с данными.

Что ещё часто становится поводом для претензий

По практическим публикациям юристов и специалистов по разработке сайтов, к частым зонам претензий относятся: отсутствие отдельного согласия в формах, неполная политика, использование Метрики и других трекеров без достаточного уведомления, публикация сотрудников и фото без явного покрытия документами, а также использование внешних иностранных сервисов без ясного раскрытия. В публичных разборах кейсов 2025–2026 годов именно эти сценарии чаще всего всплывают как основные риски для малого и среднего бизнеса.