Почему в 2026 году сайт без правильных документов — это риск для бизнеса

Многие до сих пор уверены, что достаточно просто разместить «политику конфиденциальности» где-то в подвале сайта. На практике этого уже давно недостаточно. Сейчас проверяют не только наличие документов, но и то, как именно реализованы формы, чекбоксы согласия, cookie-баннеры, хранение данных и сама логика обработки персональных данных.

Минимальный набор, который сегодня должен быть практически на каждом сайте:
— политика обработки персональных данных;
— отдельное согласие на обработку ПДн;
— корректно реализованные формы с явным подтверждением согласия;
— cookie-баннер;
— уведомление Роскомнадзора о работе с персональными данными.

Если на сайте есть продажа товаров, платные услуги, онлайн-оплата, запись или оформление заказа, дополнительно потребуется публичная оферта. Причем согласие на обработку персональных данных больше нельзя «прятать» внутрь оферты или объединять в один документ.

Отдельное внимание сейчас уделяется именно интерфейсу сайта. Галочки согласия не могут быть проставлены заранее. Пользователь должен самостоятельно подтвердить согласие, а система должна фиксировать факт этого действия: дату, время, IP и источник отправки формы. Формулировки вроде «отправляя заявку, вы автоматически соглашаетесь...» уже считаются проблемными.

Еще одна зона риска — cookie. Многие сайты до сих пор показывают баннер «Мы используем cookie» без возможности выбора. Но по актуальным требованиям пользователь должен иметь возможность принять или отклонить необязательные cookie, а аналитика и рекламные системы не должны полноценно запускаться до получения согласия.

Отдельная тема — хранение данных. Для сайтов, работающих с гражданами РФ, персональные данные должны храниться на серверах, расположенных в России. И это касается не только CRM, но и некоторых внешних сервисов, форм и интеграций.

На практике сейчас проблема чаще не в отсутствии документов, а в том, что сайт делался несколько лет назад, а требования законодательства за это время изменились. Поэтому даже визуально современный сайт может юридически быть оформлен с нарушениями.

Мы регулярно сталкиваемся с ситуацией, когда у компании:
— есть политика конфиденциальности, но она устарела;
— формы не соответствуют требованиям;
— нет отдельного согласия на рекламу;
— cookie-баннер реализован формально;
— документы не соответствуют текущей редакции закона.

Поэтому сегодня проверка сайта на соответствие требованиям по персональным данным — это уже такая же базовая техническая задача, как SSL-сертификат, резервные копии или защита от взлома.