MC Group
ВЕБ СТУДИЯ

Персональные данные в 2025: новые штрафы, требования, ответственность

11 мин. чтения
Как сайт получит штраф за персональные данные в 2025? Новые требования, размеры штрафов, локализация, согласие — что нужно знать бизнесу.
Как сайт получит штраф за персональные данные в 2025? Новые требования, размеры штрафов, локализация, согласие — что нужно знать бизнесу.

Персональные данные вашего сайта требуют четырех мер: сохранение только на российских серверах, полученное согласие клиентов, уведомление Роскомнадзора, работающий cookie-баннер. За пропуски — штрафы до 500 млн ₽. Требования на 2025 год неуклонны.

Критические риски и размеры штрафов

Штрафы за утечки персональных данных

Штрафы за утечку зависят от количества скомпрометированных субъектов и категории данных.

  • При утечке 1 000–10 000 субъектов юрлица платят 3–5 млн ₽,
  • при 10 000–100 000 субъектов — 5–10 млн ₽.
  • Утечка более 100 000 субъектов обойдётся в 10–15 млн ₽.

Специальные категории данных (здоровье, религия, судимость) штрафуются отдельно: 10–15 млн ₽ за первую утечку. Биометрические данные — самые дорогие: 15–20 млн ₽ за первый случай.
При повторной утечке применяется оборотный штраф: 1–3% от годовой выручки, но минимум 20 млн ₽ и максимум 500 млн ₽. Для банков процент считается от собственных средств.

Штраф за обработку без цели (новое с 30 мая 2025)

Если данные обрабатываются без необходимой и указанной цели, первое нарушение обойдётся в 150–300 тыс. ₽, повторное — 300–500 тыс. ₽. Это часто случается, когда операторы собирают данные "для общих целей" или хранят их без конкретного обоснования.

Штрафы за нарушение согласия

Отсутствие согласия на обработку карается штрафом 300–700 тыс. ₽ при первом нарушении, повторно — 1–1,5 млн ₽. С 1 сентября 2025 года согласие должно быть отдельным документом, не встроено в политику конфиденциальности.

Штраф за неуведомление РКН

Если оператор не подал уведомление о начале обработки персональных данных до их сбора, штраф составит 100–300 тыс. ₽ для юрлиц. При повторном нарушении — до 500 тыс. ₽. Это касается почти всех организаций, кроме исключений (обработка только для внутреннего пользования без передачи третьим лицам).

Штрафы за локализацию данных

С 1 июля 2025 года запрещён первичный сбор персональных данных граждан РФ на иностранных серверах. Первое нарушение карается штрафом до 6 млн ₽, повторное — до 18 млн ₽. Это коснулось Google Analytics, Google Forms, иностранных облачных хранилищ и других сервисов. Важный момент: Локализация — это первичная запись данных на российских серверах. После этого трансграничная передача возможна при соблюдении требований закона (согласие субъекта + уведомление РКН).

Штраф за отсутствие реквизитов на сайте (для интернет-магазин, сайт услуг)

По закону о защите прав потребителей в подвале каждого сайта должны быть реквизиты организации. За отсутствие штраф для должностных лиц — от 500 до 1 000 тыс. ₽, для юрлиц — от 5 до 10 тыс. ₽ (статья 14.8 КоАП РФ).

Штраф за cookie-баннер

Если баннер отсутствует или содержит "тёмные паттерны" (кнопка отказа спрятана, менее заметна, флажки проставлены по умолчанию), штраф — до 700 тыс. ₽. При повторном нарушении — до 1,5 млн ₽.

Штраф за просрочку ответа субъекту

С 2025 года срок ответа на запрос субъекта (доступ, удаление, уточнение данных) сокращён до 10 рабочих дней. При просрочке штраф — до 100 тыс. ₽. Максимум можно продлить до 15 рабочих дней при мотивированном уведомлении.

Очень важно: хранение данных при cookie и требования к нему

Кто принял cookie: Если пользователь согласился на cookie, данные хранятся согласно сроку, указанному в политике конфиденциальности. Стандартный срок — 3 года от последнего визита. Роскомнадзор может затребовать эти данные в любой момент для проверки соответствия требованиям.

Кто отклонил cookie: Если пользователь нажал "Отклонить", технические cookie (необходимые для работы сайта) могут храниться 3 года, но маркетинговые и аналитические — должны быть удалены сразу после отказа. Это критический момент: многие операторы хранят данные о отказе неправильно, что грозит штрафом. Данные об отказе и принятии cookie (логи согласия) обязательно документируются с меткой времени и IP.

Логирование согласия: При каждом согласии или отказе на cookie система должна записать:

  • Дату и время (до секунды)
  • IP-адрес пользователя
  • Тип согласия (принял/отклонил)
  • Версию политики, с которой согласился пользователь

Роскомнадзор требует эти логи при проверке. Их нельзя удалять в течение 3 лет, даже если сами cookie удалены.

Согласие на обработку ПД: новые требования с 1 сентября 2025

Обязательные элементы согласия

С 1 сентября 2025 года согласие должно быть отдельным документом с чётко указанными реквизитами. В нём обязательно должны быть: фамилия, имя, отчество субъекта; адрес субъекта;

  • полное наименование оператора; конкретная цель обработки (не просто "улучшение сервиса", а "обработка заказа", "отправка рассылки", "аналитика"); 
  • перечень конкретных данных (ФИО, телефон, email, IP, cookie и т.д.);
  • перечень действий с данными (сбор, запись, обобщение, автоматизированная обработка и т.д.);
  • срок действия согласия; способ отзыва (ссылка, кнопка, email и т.д.).

Практика с чекбоксами

На сайте должно быть минимум два отдельных чекбокса: один на согласие с обработкой персональных данных, второй — на маркетинг и рассылку (если применимо). Оба чекбокса не должны быть проставлены по умолчанию — пользователь сам ставит галочку. Чекбоксы должны быть расположены так, чтобы согласие было сознательным.

Форма согласия для разных категорий данных

Для обычных категорий данных: электронная форма с логированием (чекбокс, кнопка, галочка). Система автоматически записывает момент согласия, IP, версию политики. Для специальных категорий данных (здоровье, религия, судимость) и для профилирования с юридическими последствиями: требуется письменная форма, в том числе электронная с усиленной электронной подписью (КЭП). Обычной электронной подписи недостаточно для этих категорий.

Для биометрических данных: отдельное письменное согласие с указанием конкретной цели использования (не просто "биометрия", а "распознавание лица для входа в кабинет" или "проверка личности при получении заказа").

Штрафы за нарушения: До 700 тыс. ₽ при первом нарушении, до 1,5 млн ₽ при повторном.

Cookie-баннер: практика с 30 мая 2025

Как должен выглядеть баннер

Баннер должен появиться при первом заходе пользователя на сайт и содержать равноправные кнопки "Согласиться" и "Отклонить" одинаковой заметности. Кнопка отказа не может быть спрятана в углу, менее яркой или труднодоступной (это "тёмный паттерн").

Галочки и функциональные cookie

Все флажки не должны быть проставлены по умолчанию, кроме технических cookie (абсолютно необходимые для работы сайта: безопасность, загрузка страниц). Маркетинговые, аналитические и прочие не проставляются. Пользователь сам решает, какие cookie ему разрешить.

Разновидности cookie и срок их хранения

Технические cookie (session ID, балансировка нагрузки) — хранятся столько, сколько нужно для сеанса, обычно несколько часов. Функциональные cookie (сохранение языка, предпочтения) — до 1 года. Аналитические — в России только Яндекс.Метрика, хранение до 3 лет (Google Analytics - запрещен в РФ на момент написания статьи). Маркетинговые (ретаргетинг, рекламные сетиcookie) — требуют явного согласия, хранение до 1 года.

Логирование согласия на cookie

При каждом согласии или отказе запишите: дату, время (до секунды), IP-адрес, версию политики, тип согласия. Это обязательно. Логи хранятся 3 года, Роскомнадзор затребует их при проверке.

Что произойдет при отказе

Если пользователь нажал "Отклонить", маркетинговые и аналитические cookie должны быть удалены сразу. Технические остаются. Данные об отказе остаются в логах 3 года для подтверждения соответствия требованиям закона. Много операторов нарушают это, продолжая собирать данные после отказа — это штраф до 700 тыс. ₽.

Локализация и трансграничная передача данных

Что запрещено

С 1 июля 2025 года запрещён первичный сбор персональных данных граждан РФ на иностранных серверах без обработки в России. Это означает, что даже если данные потом передаются в иностранные системы, они должны сначала попасть на российский сервер.

Де-факто запрещённые сервисы:

  • Google Analytics (замена: Яндекс.Метрика)
  • Google Forms (замена: Яндекс.Форма или российские аналоги)
  • Google reCAPTCHA (замена: собственное решение или российские сервисы)
  • Dropbox, OneDrive для хранения персональных данных
  • WhatsApp как деловой инструмент (запрещён как сервис Meta)
  • Иностранные облачные хранилища без российского отделения

Как правильно передавать данные за границу

  • Этап 1: Первичная локализация — данные попадают на российский сервер.
  • Этап 2: Роскомнадзор уведомляется о трансграничной передаче.
  • Этап 3: Получено согласие субъекта на передачу данных за границу (не просто согласие на обработку, а отдельное — на передачу в конкретную страну).
  • Этап 4: Только после этого данные могут быть переданы. Штраф за нарушение: До 6 млн ₽ при первом нарушении, до 18 млн ₽ при повторном.

Уголовная ответственность по статье 272.1 УК РФ

Когда применяется статья 272.1

Статья 272.1 УК РФ действует с 11 декабря 2024 года и применяется только при незаконном получении данных (взлом, неправомерный доступ, хищение системы, подкуп сотрудника) с последующими незаконными действиями — передача третьим лицам, продажа, использование в мошеннических целях.

Критический момент: законно владеющий оператор

Если оператор законно владеет данными, но нарушает правила их обработки (не согласие субъекта, неправильное хранение, просрочка ответа и т.д.), статья 272.1 не применяется. Ответственность наступает по КоАП РФ (штрафы, предписания).

Это очень важно понимать: уголовная ответственность — только за преступление (взлом и т.д.), не за нарушение требований закона.

Размеры наказания

  • Базовый состав (ч. 1): До 300 тыс. ₽ штрафа или до 2 лет лишения свободы.
  • При крупном ущербе (ч. 2): До 500 тыс. ₽ или до 3 лет лишения свободы.
  •  Организованной группой, корыстная заинтересованность или особо крупный ущерб (ч. 3): До 1 млн ₽ или до 6 лет лишения свободы.
  • Трансграничная передача без согласия (ч. 4): До 8 лет. Тяжкие последствия или организованная группа профессионалов (ч. 5): До 10 лет.

Сроки, которые критичны

При выявлении утечки

С момента обнаружения утечки (не самой утечки, а момента, когда оператор заметил, что данные скомпрометированы):

  • 24 часа (календарных, не рабочих) — первичное уведомление Роскомнадзора с информацией об объёме, типе данных, предположительной причине
  • 72 часа (календарных) — детальный отчёт РКН с результатами расследования, мерами по устранению уязвимости, уведомлением затронутых субъектов
  • Уведомление субъектов: Должно быть отправлено "без необоснованной задержки", фактически одновременно с РКН.
  • Уведомление включает: описание утечки, типы данных, возможные последствия, рекомендации по защите (смена пароля и т.д.), контакт оператора для дополнительной информации.

Ответ на запросы субъектов

  • 10 рабочих дней — основной срок ответа на запрос субъекта (доступ к данным, удаление, уточнение).
  • 15 рабочих дней — максимально при мотивированном продлении. За просрочку штраф до 100 тыс. ₽.

Уведомление РКН о начале обработки

До начала сбора первого персонального данного субъекта (первого клиента, сотрудника и т.д.). Если уведомление не подано, штраф 100–300 тыс. ₽.

Обязательные документы и процедуры

Чек-лист: что должно быть в организации

Перед началом работы:

  • Подано уведомление в Роскомнадзор через электронную форму на сайте РКН (rkn.gov.ru) 
  • Разработана Политика обработки персональных данных (локальный акт)
  • Издан приказ о назначении ответственного лица (может быть руководитель)
  • Юрист/специалист по ПД проверил все документы

На сайте:

  • Политика конфиденциальности (отдельная страница, актуальная на ноябрь 2025)
  • Пользовательское соглашение (если есть регистрация/аккаунты)
  • Реквизиты организации в подвале: полное наименование, ИНН, ОГРН, адрес, телефон, email
  • Cookie-баннер с равноправными кнопками
  • Отдельное согласие на обработку ПД (два чекбокса: на обработку данных + на маркетинг)
  • Письменные согласия для спецкатегорий (здоровье, биометрия)

В системе:

  • Журнал учёта обработки ПД (для автоматизированной обработки): кто, когда, какие данные, зачем
  • Логи согласия на cookie (с меткой времени, IP, версией политики)
  • Процедура реагирования на утечку (24 часа на РКН, 72 часа на отчёт)
  • Процедура ответа на запросы субъектов (10 рабочих дней)
  • Правила хранения данных об уничтожении (3 года)
  • Процедура архивирования и удаления старых данных

Техническая безопасность

  • Используйте HTTPS (SSL-сертификат), размещайте данные на российском хостинге (или первичная обработка в РФ).
  • Замените Google Analytics на Яндекс.Метрику.
  • Удалите Google Forms, рекапча, иностранные облачные хранилища.
  • Установите антивирусы, шифрование, системы контроля доступа.
  • Ограничьте доступ к базам данных (не все сотрудники должны видеть все данные). Регулярно меняйте пароли (минимум раз в 3 месяца).

Уничтожение данных: очень важные мелочи

Когда данные должны быть удалены

Данные удаляются при достижении целей обработки (завершён заказ, проект, договор), при окончании срока хранения (например, 3 года для cookie после последнего визита), при отзыве согласия (если нет других оснований для обработки), при выявлении незаконности обработки.

Документооборот уничтожения

Для ручной обработки: составляется акт об уничтожении (кто уничтожал, когда, какие данные, способ уничтожения — сжигание, измельчение, переформатирование и т.д.). Акт подписывают минимум двое (для контроля). Для автоматизированной обработки: выход из журнала регистрации обработки ПД (система сама записывает, что удалила).

Хранение документов об уничтожении

Акты об уничтожении, логи удаления данных, все доказательства удаления хранятся 3 года с момента удаления. Роскомнадзор затребует их при проверке: "Докажите, что вы удалили старые cookie, логи клиентов, контакты архивных заказов". Если не сохранили, это нарушение.

Частые ошибки, которые приводят к штрафам

Ошибка 1: Согласие встроено в Политику конфиденциальности

С 1 сентября 2025 это нарушение. Согласие должно быть отдельным документом с чекбоксами. Штраф до 700 тыс. ₽. Исправление: создать отдельную форму согласия перед регистрацией/оформлением заказа.

Ошибка 2: Google Analytics до сих пор активен

С 1 июля 2025 это штраф до 6 млн ₽. Замените на Яндекс.Метрику или российский аналог. Проверьте все формы (контактные формы, Google Forms), удалите их или замените.

Ошибка 3: Cookie-баннер со "скрытой" кнопкой отказа

Если кнопка "Отклонить" спрятана в углу, менее яркая, или флажки проставлены по умолчанию, это "тёмный паттерн". Штраф до 700 тыс. ₽. Исправление: равноправные кнопки, одинакового размера и цвета, флажки не проставлены.

Ошибка 4: Нет реквизитов в подвале сайта

Штраф до 10 тыс. ₽ для юрлиц (кажется небольшим, но это отягчающее обстоятельство к другим штрафам). Исправление: добавить в footer: название, ИНН, ОГРН, адрес, контакты.

Ошибка 5: Нет уведомления в РКН

Если не подано до начала обработки, штраф 100–300 тыс. ₽. Исправление: зайти на rkn.gov.ru, заполнить форму уведомления, отправить.

Ошибка 6: Продолжение сбора данных после отказа cookie

Если пользователь нажал "Отклонить", а система продолжает собирать маркетинговые cookie, это нарушение. Штраф до 700 тыс. ₽. Исправление: добавить проверку согласия в код сайта, маркетинговые cookie загружаются только после "Согласиться".

Ошибка 7: Просрочка ответа на запрос субъекта

Срок 10 рабочих дней (с 2025). Штраф до 100 тыс. ₽. Исправление: настроить CRM, чтобы запросы попадали в очередь с автоматическим напоминанием за 2 дня до дедлайна.

Ошибка 8: Хранение cookie после отказа

Если пользователь отказался, а данные хранятся 3 года "для статистики", это нарушение. Маркетинговые cookie удаляются сразу после отказа. Техническое хранение логов согласия — да, но на 3 года. Разница критична.

Практические советы и лайфхаки

Как быстро привести сайт в порядок

  • День 1: Замените Google Analytics на Яндекс.Метрику (можно оставить оба пока, но ПД обрабатывайте только в Яндексе).
  • День 2: Проверьте cookie-баннер через браузер (есть ли кнопка отказа? Видна ли она? Не проставлены ли флажки?).
  • День 3: Создайте отдельную форму согласия с двумя чекбоксами. 
  • День 4: Добавьте реквизиты в подвал сайта. День 5: Подайте уведомление в РКН (если не подано).
  • День 6: Добавьте логирование согласия на cookie (IP, время, версия политики).
  • День 7: Составьте акт об уничтожении старых данных (клиентов, которые не заходили год+).

Что потребует Роскомнадзор при проверке

При проверке (плановой или по жалобе) РКН запросит:

  1. Уведомление о начале обработки (с датой подачи). 
  2. Политику обработки ПД (актуальная на момент проверки).
  3. Согласия субъектов (примеры, даты получения, IP).
  4. Логи cookie (для каждого посетителя — согласие или отказ, время, IP, версия политики).
  5. Журнал обработки (что, кому, когда передавалось).
  6. Процедуру реагирования на утечку (готовые шаблоны писем в РКН, затронутым субъектам).
  7. Акты об уничтожении данных (за последние 3 года).
  8. Технические логи (откуда собираются данные, на каких серверах хранятся, кто имеет доступ).

Как документировать согласие

Каждое согласие на обработку ПД (особенно на спецкатегории) лучше сохранять в формате:

  • Дата и время (точно)
  • IP-адрес пользователя
  • Email или ФИО (если известно)
  • Версия Политики, с которой согласился (номер версии, дата публикации)
  • Тип согласия (обработка данных / маркетинг / спецкатегория и т.д.)
  • Способ отзыва (ссылка, телефон, email)

Кто в обязательном порядке должен соблюдать требования

Все юрлица с сотрудниками — автоматически попадают под требования (обработка данных сотрудников). ИП, собирающие данные клиентов или сотрудников. Самозанятые с базой клиентов (даже несколько сотен контактов). Владельцы сайтов с формами обратной связи (регистрация, заказ, подписка и т.д.). Интернет-магазины (адреса доставки, номера карт — это данные). Социальные сети, мессенджеры для B2B. Работодатели при найме сотрудников (резюме, контакты, документы). Арендаторы нежилых помещений (если собирают данные клиентов для предпринимательской деятельности).

Исключения (не попадают под требования): Обработка данных только для внутреннего пользования без передачи третьим лицам и без трансграничной передачи. Например, внутренняя CRM-система компании, которая не передаёт данные аналитикам, маркетологам, партнёрам — может иметь некоторые облегчения (но всё равно требуется согласие, уведомление РКН и политика).

Итоговые критические действия

  1. Замените Google Analytics на Яндекс.Метрику — это де-факто требование с 1 июля 2025.
  2. Переработайте согласие на обработку ПД — сделайте его отдельным документом с двумя чекбоксами (не проставлены по умолчанию). Срок истекает 1 сентября 2025, но лучше сделать сейчас.
  3. Проверьте cookie-баннер — обновите кнопки (равноправные "Согласиться" и "Отклонить"), убедитесь, что нет автоматически проставленных флажков. Добавьте логирование: дата, время, IP, версия политики.
  4. Локализуйте данные — первичная запись на российских серверах. Проверьте, что все формы отправляют данные на ваш сервер, а не напрямую в иностранные системы.
  5. Подайте (проверьте) уведомление в РКН — зайдите на rkn.gov.ru, убедитесь, что уведомление подано. Штраф за отсутствие — 100–300 тыс. ₽.
  6. Разработайте процедуру реагирования на утечку — шаблоны писем в РКН (24 часа), затронутым субъектам (одновременно), документирование расследования (72 часа).
  7. Составьте акты об уничтожении данных — найдите все архивные данные (клиентов, которые не обновляли профиль год+), подготовьте документацию об их удалении, подпишите акты.

Вопросы, которые часто задают после прочтения

У меня простой блог без форм и продаж. Вроде нечего скрывать?

Даже простой блог собирает персональные данные. Счётчик посещаемости (Яндекс.Метрика, любой другой) записывает IP-адреса — это персональные данные. Значит, вы автоматически оператор ПД.

Финансовый риск: Штраф за неуведомление РКН — 100-300 тыс. рублей. Если данные на зарубежном сервере — 6 млн рублей.

Что делать: Поручите юристу подготовить политику конфиденциальности и отправить уведомление в РКН. IT-отделу — установить cookie-баннер. Бюджет: 15 тыс. рублей. Экономия: 6 млн рублей штрафа.

Я на конструкторе (Wix, Tilda). Это их ответственность?

Нет. Ответственность несёте вы, собственник сайта. Конструктор может автоматически подключить Google Analytics, Google Forms, WhatsApp-виджет — это зарубежные сервисы. С 1 июля 2025 это нарушение локализации.

Финансовый риск: Штраф 6 млн рублей за первое нарушение, 18 млн при повторном.

Что делать: Напишите в поддержку конструктора: "Отключите все зарубежные сервисы (Google Analytics, Forms, WhatsApp). Подключите русские аналоги (Яндекс.Метрику, Яндекс.Формы)". Это бесплатно. Экономия: 6-18 млн рублей.

У меня кнопки соцсетей (VK, Instagram). Это просто кнопки?

Каждая кнопка передаёт данные на сервер соцсети. Instagram, Facebook, TikTok — это зарубежные серверы. С 1 июля 2025 — нарушение.

Финансовый риск: 6 млн рублей за каждую запрещённую интеграцию.

Что делать: Удалите все кнопки Instagram, Facebook, TikTok, YouTube. Оставьте только русские: VK, Mail.RU, Яндекс.Поделиться. Поручите IT-отделу — 2-4 часа работы. Бюджет: 5 тыс. рублей. Экономия: 6-18 млн штрафа.

Как защититься минимальными усилиями?

ВАРИАНТ 1: Разовая защита (30-50 тыс. рублей)
Один аудит — все нарушения выявлены и устранены. Забываете о законе на 2-3 года.
Риск: Если закон снова изменится или вы расширите сайт, нужен новый аудит. Штраф при взломе: Если взломают и утекут данные — 20-25 млн рублей (риск ваш).
Выбор: Если сайт статичный и вы не планируете развитие — этого достаточно.

ВАРИАНТ 2: Ежеквартальная проверка (от 30 тыс. каждые 3 месяца)
Специалист каждый квартал проверяет код, интеграции, новые нарушения. Вы в тренде изменений закона. Преимущество: Постоянная защита, новые требования ловятся сразу.
Риск при взломе: Всё равно 20-25 млн, но вы хотя бы документально докажете, что соблюдали закон (штраф может быть меньше).
Выбор: Если сайт растёт и вы добавляете новые функции часто — лучший вариант.

ВАРИАНТ 3: Ежемесячный мониторинг (от 17 тыс. каждый месяц)
Автоматический скан кода, уведомления о новых интеграциях, отчёты. Максимальная безопасность.
Риск: Только взлом данных (но вы застрахованы документально).
Выбор: Если сайт — ваш основной бизнес и на нём критичные данные клиентов (email, телефоны, платежи).

ВАРИАНТ 4: Полный отказ
Удалите все формы обратной связи, отключите Яндекс.Метрику, уберите cookie-баннер. Остаются только статичные страницы и текст.
Преимущество: Нулевой риск штрафа.
Недостаток: Нет статистики, почта и телефон в открытом виде, возможен СПАМ.
Выбор: Если это корпоративный сайт только для информации, а продажи идут через другие каналы.


Для большинства B2B-компаний оптимально: разовая защита 30-50 тыс. + ежеквартальная проверка 5-10 тыс. Это ~70 тыс. в год против штрафа в 6-25 млн рублей. Если у вас сайт с формами и клиентскими данными — не экономьте на мониторинге.

Чем можно заменить зарубежные сервисы для соответсия закону в РФ?

АНАЛИТИКА САЙТА
Google Analytics → Яндекс.Метрика
Альтернативы: Roistat (платно, ~3000₽/мес), Alytics.ru, Top.Mail.ru

ФОРМЫ И ОБРАТНАЯ СВЯЗЬ
Google Forms → Яндекс.Формы (бесплатно) или Тинькофф Формы
Альтернативы: Битрикс24 Формы, amoCRM Формы, FormDesigner.ru
Typeform → Яндекс.Формы, Анкетолог (anketolog.ru)

МЕССЕНДЖЕРЫ И ЧАТ-БОТЫ
WhatsApp Business → VK Messenger для бизнеса
Альтернативы: Telegram Business (пока разрешён), Сбер Чат, Яндекс.Мессенджер

КАПЧА
Google reCAPTCHA → Яндекс SmartCaptcha (бесплатно)

КАРТЫ
Google Maps → Яндекс.Карты API (бесплатно до 25 тыс. запросов/день)
Альтернативы: 2ГИС API, OpenStreetMap (с локальным хостингом)

EMAIL-РАССЫЛКИ
Mailchimp, SendGrid → UniSender (российский), SendPulse (российский)
Альтернативы: DashaMail, GetResponse RU, Mindbox

ВИДЕО
YouTube embed → VK Видео (бесплатно), Rutube (российская платформа)
Альтернативы: Яндекс.Видео, загрузка видео напрямую на сервер

КНОПКИ "ПОДЕЛИТЬСЯ"
AddThis, ShareThis → Яндекс.Поделиться (бесплатно)
Альтернативы: Pluso.ru, собственные кнопки для VK/OK/Telegram

ОБЛАЧНЫЕ ХРАНИЛИЩА
Google Drive, Dropbox, OneDrive → Яндекс.Диск для бизнеса
Альтернативы: Cloud.Mail.ru Бизнес, Сбер Диск, VK Cloud

ПОИСКОВЫЕ ВИДЖЕТЫ
Google Custom Search → Яндекс.Поиск по сайту (бесплатно)

TAG MANAGER
Google Tag Manager → Яндекс.Метрика Tag Manager (встроено в Метрику)
Альтернатива: Roistat Tag Manager

CDN И ХОСТИНГ ИЗОБРАЖЕНИЙ
Cloudflare, Amazon CloudFront → Яндекс.Облако CDN, VK Cloud CDN
Альтернативы: Cloud.ru, Selectel CDN

ЗАЩИТА ОТ DDOS
Cloudflare → Яндекс.Облако DDoS Protection, VK Cloud Protection
Альтернативы: Qrator, StormWall (российские)

КОНТЕКСТНАЯ РЕКЛАМА
Google Ads → Яндекс.Директ
Альтернативы: VK Реклама, myTarget (Mail.ru)

PUSH-УВЕДОМЛЕНИЯ
OneSignal, Firebase → Unisender Push (российский), SendPulse Web Push


Если сервис из США, ЕС, Великобритании — заменяйте на российский. Если российского аналога нет — загружайте локально на свой сервер (работает для шрифтов, скриптов, библиотек).

Стоимость перехода: большинство российских сервисов бесплатны или дешевле зарубежных. Полный переход занимает 1-3 дня работы разработчика (~15-30 тыс. рублей). Экономия: от 6 до 25 млн рублей штрафа.

У меня сайт с формой обратной связи. Что обязательно?

1. Уведомление РКН
Подать до начала сбора данных через личный кабинет оператора ПДн на сайте РКН (rkn.gov.ru)
Штраф за отсутствие: 100–300 тыс. ₽

2. Политика конфиденциальности
Опубликовать на сайте (обычно в подвале) — кто вы, какие данные собираете, зачем, как храните
Штраф за отсутствие: 30–60 тыс. ₽ (юрлица)

3. Cookie-баннер
Всплывающее окно при первом заходе с кнопками "Принять" / "Отклонить" (равноправные, одинакового размера)
Штраф за отсутствие: 300–700 тыс. ₽

4. Логирование согласия
Фиксация: кто, когда (дата/время), с какого IP принял политику. Хранить 3 года
Штраф за отсутствие: 300–700 тыс. ₽

5. Согласие на обработку ПД
Чекбокс рядом с формой "Согласен на обработку персональных данных" (НЕ проставлен по умолчанию)
Штраф за отсутствие: 300–700 тыс. ₽

6. Локализация данных
Форма должна отправлять данные только на российский сервер (не Google Forms, не зарубежные CRM)
Штраф за нарушение: 6 млн ₽ (первое), 18 млн ₽ (повторное)

7. Google Fonts — НАРУШЕНИЕ
Если на сайте подключены Google Fonts (fonts.googleapis.com) — это передача IP пользователя на сервер Google (США). Запрещено с 1 июля 2025
Замена: Загрузить шрифты локально на свой сервер или использовать системные шрифты (Arial, Verdana)
Штраф за Google Fonts: 6 млн ₽ (первое), 18 млн ₽ (повторное)

8. Уведомление при взломе
Если сайт взломали и украли данные — уведомить РКН в течение 24 часов
Штраф за неуведомление: 300–500 тыс. ₽ + штраф за утечку (3–25 млн ₽)
Следующая статья

Как скорость сайта съедает рекламный бюджет: потери до 40%

Медленный сайт превращает до 40% рекламного бюджета в потери. Каждая секунда задержки снижает конверсию на 7%. Узнайте, как ускорение окупается за 4 месяца.
Медленный сайт превращает до 40% рекламного бюджета в потери. Каждая секунда задержки снижает конверсию на 7%. Узнайте, как ускорение окупается за 4 месяца.