К 1 сентября для многих владельцев сайтов главный риск будет не в дизайне, скорости загрузки или очередном обновлении CMS. Слабое место чаще прячется в юридической основе сайта: кто указан администратором домена, можно ли подтвердить эти данные, как сайт собирает персональные данные, есть ли политика и согласия, не висит ли в подвале старая оферта от проекта пятилетней давности. Новые требования к сайтам в России бьют именно по этой зоне: бизнесу нужно доказать, что сайт принадлежит понятному владельцу, а данные пользователей не собираются в туманный ящик без правил.
Сразу разделим важное. Требования к сайту не сводятся к одному закону и одной кнопке у регистратора. Есть доменный слой для .ru и .рф, есть 152-ФЗ о персональных данных, есть требования к информации на сайте организации, а у отдельных отраслей добавляются свои правила. Если смешать все в один список, получится пугающая, но бесполезная памятка. Бизнесу нужен другой подход: понять, где именно он рискует штрафом, блокировкой процесса продаж или потерей контроля над доменом.
Новые требования к сайтам: что реально меняется для бизнеса
Главная идея реформы проста: сайт в российской доменной зоне не должен быть анонимной витриной, за которой невозможно найти владельца. Для доменов .ru и .рф администратор должен быть идентифицируемым, а сведения у регистратора должны совпадать с реальностью. Если домен оформлен на бывшего сотрудника, подрядчика, старую компанию или физлицо, которое уже не управляет бизнесом, это перестает быть технической мелочью.
Для бизнеса это означает три практических вопроса. Кто фактически администрирует домен и может подтвердить свои данные у регистратора? Совпадают ли домен, сайт, оферта, политика персональных данных и реквизиты компании? Понятно ли пользователю, кому он оставляет имя, телефон, email, адрес доставки, платежные или другие сведения?
Здесь появляется первая ловушка. Компания может считать, что у нее все в порядке, потому что домен оплачен на год вперед. Но оплата не равна юридическому контролю. Если регистратор запросит подтверждение данных, а доступ к личному кабинету у старого веб-мастера, документы утеряны, телефон администратора не работает, процесс может затянуться. В худшем сценарии сайт останется живым только формально: бизнес не сможет быстро продлить домен, сменить DNS, подтвердить права или перенести управление.
Для чего вводятся новые требования? Официальная логика понятна: снизить анонимность владельцев сайтов, упростить расследование мошенничества, повысить ответственность за публикации, рекламу, сбор данных и работу онлайн-сервисов. Достигнут ли правила цели полностью, зависит от исполнения. Недобросовестные игроки могут уходить в иностранные зоны, зеркала и цепочки посредников. Но для обычного бизнеса эффект будет заметным: серые доменные схемы станут менее удобными, а бардак в документах дороже.
Требования к сайту организации: что проверить до 1 сентября
Требования к сайтам организаций можно условно разделить на базовые и отраслевые. Базовые касаются почти всех: реквизиты владельца, контакты, политика обработки персональных данных, согласия для форм, понятные условия покупки или оказания услуг. Отраслевые зависят от того, чем занимается компания. У образовательных организаций всплывают требования к структуре официального сайта и приказ 1493, у медицинских клиник — сведения о лицензии, врачах и услугах, у финансовых сервисов — раскрытие условий, рисков и ограничений.
До 1 сентября бизнесу стоит проверить домен, кабинет регистратора, реквизиты на сайте, политику обработки персональных данных, формы заявок, оферту, правила оплаты и возврата, а также все подключенные сервисы: аналитику, виджеты, CRM, платежные формы и рассылки. Если сайт относится к регулируемой отрасли, поверх базовой проверки нужны специальные требования к официальному сайту организации.
Последний пункт особенно важен для SEO-ядра, но не всем бизнесам он нужен в одинаковом виде. Запросы вроде требования к сайту образовательной организации, требования к структуре сайта образовательной организации или приказ 1493 требования к структуре сайта относятся не к каждому интернет-магазину. Их нельзя механически переносить на кафе, салон красоты или B2B-сервис. Но если компания работает в образовании, медицине, финансах, страховании, туризме или другой регулируемой сфере, общая проверка сайта будет только первым уровнем.
Требования к сайту и персональные данные: где чаще всего штрафуют
Персональные данные начинаются не с паспорта. Для сайта достаточно имени и телефона в форме заявки, email для рассылки, адреса доставки, ID пользователя в личном кабинете или cookie-идентификатора, если по нему можно связать действия с конкретным человеком. Поэтому небольшой сайт-визитка с формой обратной связи тоже может быть оператором персональных данных.
На практике риск возникает в простых местах. Пользователь оставил телефон, заявка ушла в Telegram менеджеру, потом в CRM, потом в таблицу для маркетолога, а через месяц подрядчик выгрузил базу для рекламы. Документы на сайте описывают только форму обратной связи, но не рассылку, CRM, рекламные аудитории и передачу подрядчику. При жалобе или утечке бизнесу придется объяснять не красивую политику, а реальный маршрут данных.
Brokerlist уже разбирал, где малый бизнес чаще всего получает нарушение закона о персональных данных из-за форм, рассылок, CRM и таблиц. В новых требованиях к сайту эта тема становится центральной: домен можно подтвердить один раз, а персональные данные живут каждый день.
Минимальный набор для сайта с формами выглядит так:
- политика обработки персональных данных с реквизитами оператора, целями, категориями данных, сроками и порядком отзыва согласия;
- отдельные согласия под разные цели: заявка, рассылка, рекламные коммуникации, регистрация в личном кабинете;
- галочки без предустановленного согласия, если пользователь сам должен выразить волю;
- уведомление Роскомнадзора об обработке персональных данных, если нет законного исключения;
- хранение первичной базы граждан РФ с учетом требования локализации;
- договоры и поручения обработки с подрядчиками, которые получают доступ к данным;
- технические меры: HTTPS, роли в CRM, двухфакторная защита, журнал доступов, удаление старых аккаунтов.
Отдельная зона — авторизация через иностранные сервисы. Если сайт использует вход через Google или другой внешний идентификатор, стоит проверить, не попадает ли сценарий под действующие ограничения для российских сайтов. Подробнее этот риск разобран в материале про штрафы за авторизацию через Google, и он хорошо показывает общую тенденцию: государство постепенно хочет видеть не только владельца сайта, но и понятный контур регистрации пользователей.
Что будет, если требования к сайту не выполнить
Последствия различаются по слою нарушения. С доменом риск один: регистратор может запросить подтверждение данных, ограничить операции или довести ситуацию до прекращения делегирования, если сведения недостоверны и администратор не реагирует. Для бизнеса это болезненно даже без классического штрафа. Сайт пропадает из выдачи, рекламные кампании ведут в пустоту, почта на домене может перестать работать, клиенты видят ошибку вместо магазина.
С персональными данными риск другой: жалоба пользователя, проверка Роскомнадзора, штраф по КоАП, предписание исправить документы и процессы, репутационный ущерб после утечки. Для интернет-магазина или сервиса с личным кабинетом это уже не бумажная проблема. Утечка базы превращается в звонки клиентам, спам, мошеннические рассылки и недоверие к бренду. Если вы хотите понять пользовательскую сторону этой истории, полезно посмотреть инструкцию о том, как проверить, не утекли ли ваши данные в сеть: именно такие сценарии потом возвращаются к бизнесу жалобами.
Третий слой — требования к информации на сайте. Если у продавца нет понятных условий возврата, реквизитов, цены, правил доставки и контактов, спор с клиентом почти всегда станет сложнее. В регулируемых отраслях нехватка обязательных сведений может ударить по лицензии, проверке или аккредитации.
Готовы ли регистраторы и где появятся очереди
Крупные регистраторы обычно готовы лучше, чем рынок в целом: у них есть личные кабинеты, процедуры проверки данных, поддержка юридических лиц, иногда интеграции с государственными способами идентификации. Узкое место чаще не у регистратора, а у владельца сайта. Особенно если домен покупали давно, на личную почту сотрудника, через студию разработки или в пакете с хостингом.
Очереди ближе к 1 сентября вероятны не потому, что все домены внезапно перестанут работать в один день. Нагрузка может возникнуть в процессах, где нужна ручная проверка:
- подтверждение данных юридического лица, если реквизиты менялись после регистрации домена;
- восстановление доступа к кабинету регистратора, когда старый email или телефон потерян;
- переоформление домена с физлица, сотрудника или подрядчика на компанию;
- проверка документов для иностранных владельцев или сложных корпоративных структур;
- перенос домена между регистраторами, если текущий провайдер не помогает быстро решить вопрос;
- массовая правка сайтов, где одна веб-студия ведет десятки клиентов и все просыпаются одновременно.
Для владельца сайта задержка означает не только нервную переписку с поддержкой. Она может сорвать запуск рекламы, продление домена, переезд на новый сервер, выпуск SSL-сертификата, смену почтового сервиса или восстановление после сбоя. Поэтому безопасный срок — не последняя неделя августа, а заранее выделенное окно на проверку домена, документов и персональных данных.
Сколько стоят новые требования к сайту для бизнеса
Расходы будут смешанными. Часть работ разовая: проверить домен, обновить документы, привести формы к нормальному виду, настроить согласия, закрыть старые доступы. Но персональные данные и доменная гигиена не заканчиваются одной правкой. При запуске новой формы, рассылки, CRM, платежного сервиса или личного кабинета проверку придется повторять.
| Тип сайта | Что обычно нужно сделать | Разовые расходы | Регулярные расходы |
|---|---|---|---|
| Сайт-визитка с формой | Проверить домен, реквизиты, политику, согласие в форме, HTTPS, доступы к заявкам | Обычно от 10-30 тыс. рублей, если документы и сайт простые | Небольшие: домен, хостинг, поддержка формы, периодическая проверка документов |
| Корпоративный сайт организации | Обновить сведения о компании, документы, cookie-баннер, аналитику, CRM, договоры с подрядчиками | Примерно 30-100 тыс. рублей в зависимости от числа форм и подрядчиков | Поддержка юриста или аутсорса при изменении процессов и сервисов |
| Интернет-магазин | Проверить оферту, оплату, доставку, возвраты, согласия, рассылки, личные кабинеты, платежные сервисы | Часто 70-200 тыс. рублей, если нужно править сайт, CRM и документы | Регулярный комплаенс при новых акциях, рассылках, интеграциях и изменении логистики |
| Сервис с личным кабинетом | Описать регистрацию, роли, хранение данных, безопасность, логи, инциденты, передачу подрядчикам | От 150 тыс. рублей и выше, если нужна техническая и юридическая доработка | Постоянный контроль доступа, аудит безопасности, обновление документов и процессов |
Оценки условные: у аккуратного сайта на современной CMS расходы могут быть ниже, у старого проекта с самописной формой, несколькими CRM и подрядчиками — выше. Главное не пытаться купить один шаблон политики и считать задачу закрытой. Документ должен описывать реальный сайт, иначе при споре он быстро превращается в декоративную страницу.
Не проще ли переехать из .ru и .рф в другую зону
Переезд в .com, .site, .online или другую доменную зону может снизить именно доменный риск, связанный с российскими правилами .ru и .рф. Но он не отменяет требования к сайту, если бизнес работает с российскими пользователями, продает товары в России, собирает персональные данные граждан РФ и ведет здесь деятельность. 152-ФЗ, требования к рекламе, потребительские правила, налоги и отраслевые нормы не исчезают из-за смены доменной зоны.
У переезда есть и коммерческая цена. Российский пользователь часто доверяет .ru больше, чем случайному международному домену. Поисковая видимость может просесть при неправильной миграции. Старые ссылки, рекламные объявления, визитки, email-адреса и брендовые запросы придется перенастраивать. Если домен уже много лет в индексе и на нем держится поток заявок, резкий переезд может стоить дороже, чем нормальная идентификация администратора и приведение сайта в порядок.
Есть и обратный риск: компания уедет из .ru, но оставит старый домен без контроля. Его могут перехватить после истечения регистрации, и тогда бренд получит фишинговую копию, потерю почты или конфликт с клиентами. Поэтому разумная стратегия для большинства компаний — не бегство, а наведение порядка: подтвердить права на домен, закрепить его за юридически правильным владельцем, настроить продление и оставить резервный домен как защитный актив.
Нужны ли бизнесу сайт и дополнительные люди
Соцсети, маркетплейсы и мессенджеры действительно закрывают часть задач. Но собственный сайт остается базовой точкой контроля: на нем можно разместить документы, условия, каталог, формы, новости, инструкции, посадочные страницы для рекламы и юридически значимую информацию. Страница бренда в соцсети принадлежит не бизнесу полностью, а платформе. Правила, охваты, блокировки и форматы там меняются без участия владельца.
Новые требования не убьют сайты как класс. Скорее они отсеют проекты, где сайт годами жил как забытая визитка без ответственного владельца. Малый бизнес может обходиться без штатного юриста и администратора безопасности, но кто-то должен регулярно отвечать за четыре роли: домен, сайт, документы и данные. Это может быть внутренний сотрудник плюс аутсорс, веб-студия плюс юрист или внешний специалист по персональным данным.
Для компании с большим количеством заявок, рассылок и личным кабинетом аутсорса раз в год мало. Нужен человек, который понимает, что новая форма квиза, новый чат-бот или новая CRM меняют схему обработки данных. В финансовых и цифровых сервисах похожая логика уже стала нормой: чем прозрачнее становится инфраструктура, тем дороже обходится не сама технология, а неучтенный цифровой след. О таком сдвиге Brokerlist писал в материале про цифровой рубль и прозрачность расчетов.
Самопроверка готовности сайта к 1 сентября
Мини-аудит для владельца сайта. Откройте пункты, которые совпадают с вашей ситуацией. Если три и больше ответа вызывают сомнения, лучше не ждать конца августа.
Домен .ru или .рф оформлен не на компанию
Проверьте, кто указан администратором у регистратора. Если это сотрудник, бывший партнер или веб-студия, подготовьте переоформление и документы заранее.
Форма заявки работает без явного согласия
Проверьте форму как обычный пользователь. Если заявка отправляется без ссылки на политику и понятного согласия, это слабое место по персональным данным.
Политика на сайте не описывает CRM, рассылку и подрядчиков
Документ должен совпадать с реальным маршрутом данных. Если заявки уходят в CRM, почту, мессенджер, рекламный кабинет или подрядчику, это нужно отразить в процессах и документах.
В кабинете регистратора старый email или телефон
Сначала восстановите доступ и обновите контакты. Иначе подтверждение данных может упереться не в закон, а в невозможность получить письмо или код.
Сайт работает в регулируемой отрасли
Для образования, медицины, финансов, страхования и некоторых услуг проверьте отраслевые требования отдельно. Общей политики персональных данных там недостаточно.
Что делать бизнесу сейчас
Начать лучше с инвентаризации, а не с покупки шаблонов. Выпишите домены, регистраторов, владельцев кабинетов, хостинг, CMS, формы, CRM, рассылки, платежи, аналитику, виджеты и подрядчиков. На одной странице станет видно, где требования к сайту уже закрыты, а где все держится на памяти одного человека.
Дальше порядок действий такой:
- Подтвердить доступ к домену и актуальность данных администратора.
- Сверить реквизиты на сайте с реальными документами компании или ИП.
- Проверить все формы и цели сбора персональных данных.
- Обновить политику, согласия, оферту и условия продаж.
- Разобрать доступы в CRM, CMS, почте, аналитике и рекламных кабинетах.
- Зафиксировать ответственного за домен, сайт и персональные данные.
- Поставить напоминания на продление домена, пересмотр документов и проверку подрядчиков.
Если сайт приносит заявки, он уже часть бизнеса, а не приложение к визитке. Новые требования к сайтам лишь делают это видимым: домен, документы и данные должны управляться так же аккуратно, как расчетный счет или касса.
FAQ: новые требования к сайтам
Новые требования к сайтам касаются только доменов .ru и .рф?
Доменная идентификация в первую очередь касается российских доменных зон .ru и .рф. Но требования к персональным данным, информации о продавце, рекламе, оферте и отраслевым раскрытиям зависят не только от зоны домена. Если бизнес работает с российскими пользователями и собирает их данные, переезд на другой домен сам по себе не решает проблему.
Может ли бизнес потерять домен из-за старых данных?
Риск есть, если сведения администратора недостоверны, подтвердить их невозможно, а запросы регистратора игнорируются. Чаще проблема начинается мягче: нельзя быстро сменить DNS, продлить домен, восстановить доступ или переоформить права. Но для бизнеса даже такая задержка может остановить продажи.
Нужно ли всем сайтам делать уведомление Роскомнадзора?
Не всем, но многие сайты с формами, регистрацией, рассылками и клиентскими базами должны проверить эту обязанность. Ошибка здесь стоит дороже, чем раньше: штрафы за нарушения в сфере персональных данных выросли, а утечки и жалобы стали заметнее.
Требования к сайту образовательной организации относятся к обычному бизнесу?
Нет, не напрямую. Запросы про требования к сайту образовательной организации, структуру официального сайта и приказ 1493 относятся к образовательным организациям и их специальным правилам раскрытия информации. Обычному интернет-магазину эти нормы не нужны, но ему нужны свои документы: реквизиты, оферта, персональные данные, условия оплаты, доставки и возврата.
Станет ли владение сайтом дороже?
Да, если раньше сайт поддерживали только технически и не тратили деньги на документы, доступы и персональные данные. Но для простого сайта-визитки расходы обычно умеренные. Дороже всего обходятся старые проекты с несколькими формами, CRM, рассылками, личными кабинетами и неразобранными подрядчиками.
Можно ли заменить сайт страницей в соцсети?
Для части микробизнеса соцсети могут быть основным каналом продаж. Но они не заменяют сайт полностью: документы, оферта, каталог, SEO-трафик, брендовый поиск, посадочные страницы и контроль над клиентским маршрутом удобнее держать на собственной площадке. Соцсеть может заблокировать страницу или изменить правила, а домен и сайт при грамотном управлении остаются активом бизнеса.
Будут ли очереди ближе к 1 сентября?
Скорее всего, нагрузка вырастет там, где нужна ручная проверка: восстановление доступа, переоформление домена, подтверждение данных юрлица, проверка иностранных владельцев, массовые обращения к веб-студиям и регистраторам. Чем сложнее история домена, тем раньше стоит начинать.
Какие расходы будут регулярными?
Регулярными останутся продление домена и хостинга, техническая поддержка, обновление документов при изменении форм, сервисов и подрядчиков, проверка доступов, аудит безопасности и работа с инцидентами. Разовая чистка помогает стартовать, но не заменяет постоянный контроль.
