Контекст
Что изменилось в 2025 году
С 2025 года проверка сайта перестала быть рекомендацией.
30 мая 2025 — ФЗ-420 от 30.11.2024 (накопительно с ФЗ-589 от 12.12.2023)
Штрафы по ст. 13.11 КоАП выросли в 3–10 раз. Обработка без согласия (ч. 2): было 30–150 тыс., стало 300–700 тыс. (повышение по ФЗ-589). Введена новая ч. 10 за неуведомление РКН: 100–300 тыс. (ФЗ-420). Введены ч. 11–18 за утечки: до 15 млн и оборотные штрафы. Скидка 50% при быстрой оплате — отменена полностью.
1 июля 2025 — Автосканер РКН
РКН запустил автоматический сканер сайтов. Проверяет без жалоб и уведомлений: формы, чекбоксы, политику, трекеры, карточку в реестре. 3+ расхождений между сайтом и реестром — основание для внеплановой проверки.
Приказ Минцифры №720 от 17.08.2023
Установил индикаторы риска для проверки: 3 и более расхождений между реестром операторов РКН и содержимым сайта (политика конфиденциальности) — автоматический триггер. РКН использует роботов для парсинга сайтов и сравнения с реестром.
Охват
Что проверяем по 152-ФЗ
Аудит по 152-ФЗ: 8 разделов, более 60 пунктов. Каждый раздел — отдельная тема проверки РКН.
I. Локализация и хостинг
IP-адрес сайта должен указывать на серверы в РФ. SaaS-платформа (Tilda, Bitrix), CRM и рассыльщик — первичное хранение в России. Проверяем через dig, whois и анализ DNS-записей. Касается именно собственной базы оператора (хостинг сайта, CRM, email-рассылка, Google Forms-сборы) — для встроенных скриптов аналитики и шрифтов квалификация другая (см. блок VII).
ч. 8 ст. 13.11: до 6 млн (первичное), до 18 млн (повторное)
II. Реестр операторов РКН
Организация должна состоять в реестре. Цели обработки, категории субъектов, спецкатегория ПД, трансграничная передача — всё должно совпадать с фактическим функционалом сайта. 3+ расхождений — триггер внеплановой проверки (Приказ Минцифры №720).
ч. 10 ст. 13.11: 100 000–300 000 руб. за неуведомление РКН
III. Политика конфиденциальности
Политика должна существовать как отдельный документ, быть доступна с любой страницы. Содержать: реквизиты оператора, разделение целей обработки, перечень ПД, правовые основания, сроки хранения, порядок уничтожения, перечень третьих лиц, права субъекта ПД.
ч. 3 ст. 13.11: 30 000–60 000 руб. за неопубликование/дефект политики
IV. Спецкатегория ПД — медицина
Данные о здоровье — спецкатегория (ст. 10 152-ФЗ). Дефект документа (нет упоминания в политике) — до 60 000 руб.. Дефект процесса (фото до/после, поле «опишите симптомы», отзывы с диагнозами без письменного согласия) — до 700 000 руб.. Штрафы отличаются на порядок.
ч. 2 ст. 13.11: 300 000–700 000 руб. (обработка спецкатегории без согласия)
V. Формы сбора данных
Чекбокс согласия под каждой формой, не предзаполненный. Отправка невозможна без галочки. Текст конкретный (оператор, цель, срок). Ссылка на политику. С 01.09.2025 (ФЗ-156) согласие — отдельный документ, не вшитый в оферту. Раздельные чекбоксы для записи и маркетинга.
ч. 2 ст. 13.11: до 700 000 руб. за обработку без согласия
VI. Cookie, метрики, трекеры
Cookie-баннер с равнозначными кнопками «Принять» и «Отклонить» (требование добровольности по ст. 9 152-ФЗ). «Настроить категории» — рекомендуемая, но не обязательная. Аналитика заблокирована до согласия. Яндекс.Метрика и Google Analytics указаны как третьи лица в политике. Пиксели соцсетей описаны.
ч. 1 ст. 13.11: 150 000–300 000 руб. за нарушение принципов обработки
VII. Трансграничная передача
Google Fonts, Google Tag Manager, Cloudflare, reCAPTCHA — при загрузке передают IP/cookie/User-Agent посетителя на серверы за рубеж. Региональные управления РКН (Нижний 2023, Тюмень 2025, Курган 2025) квалифицируют это как трансграничную передачу без уведомления (ст. 12 152-ФЗ). Решение: self-hosted шрифты, Яндекс.Метрика вместо GA, российские капчи и карты.
ч. 1 ст. 13.11: 150 000–300 000 руб. (через ст. 12 152-ФЗ)
VIII. Мессенджеры и коммуникации
Кнопки WhatsApp/Telegram: пациент может написать симптомы в иностранный мессенджер — трансграничная передача спецкатегории. Онлайн-чат (Jivo, Envybox) — где хранятся данные? Коллтрекинг — описан ли как третье лицо?
Трансграничная передача спецкатегории ПД — серверы Meta*
Штрафы
Штрафы по ст. 13.11 КоАП для юрлиц
Актуальная редакция с учётом 420-ФЗ от 30.11.2024 (в силе с 30.05.2025) и 589-ФЗ от 12.12.2023. Суммы для юридических лиц.
| Часть | За что | Штраф |
|---|---|---|
| ч. 1 | Обработка, несовместимая с целями сбора | 150 000–300 000 руб. |
| ч. 1.1 | Повторное нарушение по ч. 1 | 300 000–500 000 руб. |
| ч. 2 | Обработка без письменного согласия (спецкатегория) | 300 000–700 000 руб. |
| ч. 2.1 | Повторное нарушение по ч. 2 | 1–1,5 млн |
| ч. 3 | Неопубликование политики ПД | 30 000–60 000 руб. |
| ч. 4 | Непредоставление субъекту информации о его ПД | 40 000–80 000 руб. |
| ч. 5 | Невыполнение требования об уточнении/удалении | 50 000–90 000 руб. |
| ч. 6 | Нарушение условий хранения носителей ПД | 50 000–100 000 руб. |
| ч. 1 | Трансграничная передача без уведомления РКН (Google Fonts, Analytics, reCAPTCHA, CDN, виджеты мессенджеров) — через ст. 12 152-ФЗ | 150 000–300 000 руб. |
| ч. 8 | Нарушение локализации — хостинг сайта/CRM/email-рассылки/Google Forms-сборы за рубежом (собственная база оператора) | 1–6 млн |
| ч. 9 | Повторное нарушение по ч. 8 | 6–18 млн |
| ч. 10 | Неуведомление РКН о намерении осуществлять обработку (отсутствие/неполнота записи в реестре операторов по ст. 22 152-ФЗ) | 100 000–300 000 руб. |
| ч. 11 | Неуведомление РКН об утечке (24/72 часа) | 1–3 млн |
| ч. 12–14 | Утечка данных (в зависимости от масштаба) | 3–15 млн |
| ч. 15 | Повторная утечка — оборотный штраф | 1–3% выручки (от 20 млн) |
| ч. 16 | Утечка спецкатегории ПД (медданные) | 10–15 млн |
| ч. 17 | Утечка биометрических ПД | 15–20 млн |
| ч. 18 | Повторная утечка спецкатегории/биометрии — оборотный | 1–3% выручки (от 25 млн) |
Правило поглощения (ч. 5–6 ст. 4.4 КоАП)
При одной проверке штрафы по разным частям ст. 13.11 не суммируются. Применяется санкция по наиболее тяжкому составу. Несколько нарушений по одной части — один протокол, один штраф. Исключение — отдельные жалобы пациентов: каждая жалоба — отдельный штраф.
Практика
Типичные нарушения клиник
По нашим аудитам: у 9 из 10 клиник более 5 расхождений между карточкой РКН и реальной обработкой на сайте. Порог для внеплановой проверки — 3.
Карточка РКН не соответствует сайтуВ карточке «без передачи по сети Интернет» — а на сайте онлайн-формы. Нет цели «маркетинг» — а стоит 3–5 трекеров. Нет спецкатегории ПД — а клиника обрабатывает медданные.
Неучтённые трекерыМаркетологи подключили сквозную аналитику (Google Analytics, Roistat, VK Pixel), но в политике конфиденциальности это не отражено, а в реестре РКН нет трансграничной передачи.
Согласие вшито в договорС 01.09.2025 (ФЗ-156) совмещение согласия на обработку ПДн с офертой или заявкой — нарушение. Согласие должно быть отдельным документом.
Фото до/после без согласия пациентаГалерея работ с фото зубов — распространение сведений о здоровье (спецкатегория ПД). Без письменного согласия пациента на распространение — ч. 2 ст. 13.11 (до 700 000 руб.).
Политика скачана у интернет-магазинаШаблонный документ без упоминания 323-ФЗ, врачебной тайны, спецкатегории. Чужие домены в тексте. Цели в политике не совпадают с формами на сайте.
Google Fonts и Analytics без уведомления РКНПри загрузке страницы IP и cookie-идентификаторы посетителя автоматически уходят на серверы Google в США. Без уведомления РКН о трансграничной передаче (ст. 12 152-ФЗ) — нарушение, ч. 1 ст. 13.11 КоАП (150–300 тыс). Региональные управления РКН (Нижний 2023, Тюмень 2025, Курган 2025) уже рассылают предписания по этому составу.
Проверим ваш сайт по 152-ФЗ
Полный аудит по 132 пунктам: код, формы, трекеры, политика, реестр РКН.
Отчёт с конкретными нарушениями и приоритетами исправления.