Роскомнадзор проверяет сайты клиник и штрафует в 2026: что именно ищут и как не нарушить закон

Что поменялось в 2025–2026 и почему клиники чаще «в зоне риска»

Ещё пару лет назад многие жили по простой логике: «ну у нас же обычный сайт, кому мы нужны». И эта логика иногда даже работала — пока штрафы были “неприятными”, но не критичными, а тема персональных данных оставалась чем-то из разряда «юрист пусть разберётся».

В 2025–2026 реальность стала другой, и тут важно понять не “страшилки”, а механику.

Первое. С 30 мая 2025 года в КоАП появились более жёсткие составы, которые бьют не по абстрактным “гигантам рынка”, а по обычным компаниям с формами на сайте. Самый показательный пример — уведомления. Раньше многие вообще не воспринимали уведомление в РКН как “обязательную часть инфраструктуры”. Сейчас это стало прямой точкой риска: если уведомления нет — для организаций и ИП предусмотрены штрафы 100–300 тыс ₽. А если случился инцидент и не уведомили об утечке — это уже диапазон 1–3 млн ₽. Смысл простой: раньше можно было “не замечать”, теперь не замечать становится дорого.

Второе. Сайты клиник по своей природе стали сложнее. Почти никто не ведёт сайт “в вакууме”. Маркетолог подключает аналитику, таргетолог ставит пиксели, подрядчик добавляет виджет записи, коллтрекинг, чат, онлайн-оплату, сервис отзывов… В итоге сайт превращается в конструктор из внешних сервисов. Каждый из них может получать данные пользователя — иногда явно (заявка), иногда тихо (cookies, идентификаторы, события аналитики). И проблема не в том, что “сервисы плохие”, а в том, что клиника часто не понимает, что у неё фактически происходит обработка данных сразу в нескольких местах.

Третье. У клиник есть особенность, которая в онлайне играет против них: медицинский контекст. Даже если вы собираете “всего лишь имя и телефон”, на практике это нередко привязано к тому, что человек обращается за медицинской помощью. Для регулятора и для рисков утечки это существенно: репутационный удар и возможные последствия для пациента обычно выше, чем у бизнеса, который продаёт, условно, мебель.

Четвёртое. Стала более заметной тема локализации данных и “куда уезжает заявка”. Многие до сих пор живут на SaaS-инструментах, где трудно сходу понять, где именно хранится база и где проходит первичная запись данных. А требования в 152-ФЗ о локализации при сборе через интернет никуда не делись, плюс с 2025 года усилился акцент на первичном размещении данных в российской базе. То есть теперь вопрос “а где у вас хранится база заявок?” перестал быть философским. Он стал прикладным.

И в итоге клиника чаще оказывается “в зоне риска” не потому, что её начали специально преследовать, а потому что у неё почти всегда есть базовые триггеры: сайт собирает заявки, на нём стоят внешние скрипты, а документы и процессы за этим не успевают.

Что Роскомнадзор обычно изучает на сайте клиники в первую очередь

Если убрать юридические формулировки, у РКН логика простая: «покажите, что вы управляете тем, как собираете и используете данные людей». И на сайте это проверяется довольно приземлённо — через информацию, которая видна сразу.

Начинается всё почти всегда с форм обратной связи. Потому что форма — это точка, где данные “впервые попадают к вам”. И тут типовая ошибка клиник выглядит так: форма живёт по принципу “давайте соберём всё, вдруг пригодится”. В одном поле — имя, во втором — телефон, в третьем — “что беспокоит”, в четвёртом — “удобное время”, в пятом — “дата рождения”. Кажется, что так удобнее врачу и администратору. Но с точки зрения комплаенса это как взять маленькую сумку и набить туда кирпичи: вы увеличили объём ответственности, а выгода спорная. Особенно опасны поля, которые превращают заявку в медицинскую информацию прямо на сайте — потому что это уже совсем другой уровень чувствительности.

Дальше РКН почти всегда смотрит, насколько “бумажная часть” совпадает с фактической. У многих клиник политика и согласие выглядят одинаково: короткий шаблон на полстраницы, где написано “не передаём третьим лицам”, “обрабатываем в соответствии с законом” и “можете отозвать согласие”. А потом вы открываете сайт и видите: чат подключён, коллтрекинг подключён, онлайн-запись подключена, заявки падают в внешнюю CRM или сервис записи. И получается разрыв: документ говорит, что у вас всё стерильно, а реальность показывает, что данные путешествуют по цепочке подрядчиков. Вот этот разрыв — самый частый “крючок”.

Следующий слой — cookies и аналитика. Это то, что маркетологи любят добавлять незаметно и быстро: поставили счётчик, пиксель, ретаргетинг, и сайт начал “подмигивать” рекламным системам. Для бизнеса это нормально, но для комплаенса важно, чтобы пользователь был уведомлён понятным языком, чтобы существовали правила использования cookies, и чтобы механика не выглядела как «мы всё включили, а дальше сами виноваты». В реальной жизни именно cookies часто становятся маркером того, насколько компания вообще контролирует свой сайт: если тут бардак, значит, вероятно, бардак и в остальном.

И наконец, виджеты и подрядчики. На сайтах клиник их всегда много, потому что так “быстрее и дешевле”: чат, обратный звонок, запись, отзывы, коллтрекинг, онлайн-оплата. У каждого виджета обычно есть свой кабинет и свои маршруты данных. И вот тут появляется самая неприятная для клиники штука: клиника остаётся оператором, даже если виджет поставил подрядчик. Если заявки ушли “в чужую систему” и никто не может уверенно объяснить, кто имеет доступ, где хранится база и как удаляются данные — это выглядит как отсутствие управляемости.

Если суммировать, то Роскомнадзор чаще всего “нащупывает” на сайте клиники четыре вещи:

1. формы сбора заявок с лишними и чувствительными полями;
2. документы, которые не соответствуют фактическим сервисам и передачам;
3. cookies/аналитику, которые включены, но юридически и UX-логически не оформлены;
4. цепочку подрядчиков/виджетов, где непонятно, кто за что отвечает и где реально лежат данные.

Хорошая новость здесь в том, что большинство проблем лечится не “страшными юридическими ритуалами”, а обычным здравым смыслом: минимизировать сбор, синхронизировать документы с реальностью, навести порядок в скриптах и понять маршрут заявки.

Самые опасные “составы” для сайта клиники: коротко и по делу

Уведомление о начале обработки

Если у вас есть формы/заявки, вы, как правило, являетесь оператором ПДн и должны уведомить Роскомнадзор (если не попадаете в исключения). За отсутствие уведомления для организаций и ИП — 100–300 тыс ₽.

Утечки: 24 часа и 72 часа

Если случился инцидент, действует простая связка:

• 24 часа — сообщить об утечке в Роскомнадзор;
• 72 часа — предоставить результаты внутреннего расследования.

Локализация данных при сборе через интернет

Ключевая формулировка: при сборе ПДн через интернет оператор обязан обеспечить запись/накопление/хранение данных граждан РФ с использованием БД на территории РФ (ст. 18, ч. 5 152-ФЗ). А с 1 июля 2025 вступили в силу изменения, усиливающие запрет на использование иностранных БД именно на этапе сбора (первичного размещения).

Три сценария, по которым клиники чаще всего нарушают

1. «У нас простая форма», но на сайте стоят аналитика/пиксели/чат, а cookies не оформлены.
2. «Документы есть», но они не отражают фактические сервисы и передачу данных.
3. «Подрядчик поставил виджет», заявки уходят в чужой кабинет/облако, а вы это даже не мониторите.

Чек-лист на 1–2 дня: привести сайт в порядок без паралича

Шаг 1. Инвентаризация: что собираем и куда уходит

Составьте список: формы, поля, скрипты, виджеты, куда падают заявки (почта/CRM/таблица/кабинет сервиса).

Шаг 2. Урезать формы до “минимума под цель”

Сильная практика: каждое поле должно отвечать на вопрос «зачем оно нужно прямо сейчас».

Шаг 3. Синхронизировать документы с реальностью

Политика/согласия должны соответствовать фактической обработке и вашим сервисам.

Шаг 4. Проверить уведомление в Роскомнадзор

Уведомление должно быть либо подано, либо вы должны чётко понимать, по какому основанию у вас исключение.

Шаг 5. Прогнать “путь заявки”

Отправьте тестовую заявку и зафиксируйте: где она оказалась, кто видит, где хранится, как удаляется.

Вопросы-ответы

Если на сайте клиники есть формы записи, это персональные данные?

Да: имя/телефон/email в заявке — это персональные данные, и их сбор почти всегда означает обработку.

Какой штраф за отсутствие уведомления в РКН?

Для организаций и ИП — 100 000–300 000 ₽.

Какие сроки уведомления об утечке?

В течение 24 часов сообщить об утечке и в течение 72 часов передать результаты внутреннего расследования.

Что такое “локализация данных”?

Это требование хранить и первично обрабатывать данные граждан РФ в базах данных на территории РФ при сборе через интернет.

Почему опасны чат/коллтрекинг/виджеты?

Потому что они часто отправляют заявки во внешние системы, а в документах это не отражено, и клиника остаётся оператором.

FAQ

Нужно ли уведомление в Роскомнадзор, если клиника собирает заявки с сайта? Чаще всего — да, если вы не подпадаете под исключения. Плюс выросла ответственность за отсутствие уведомления.

Если сайт на зарубежном сервисе — это сразу нарушение?

Риск зависит от того, где происходит первичный сбор и хранение данных россиян. По ст. 18 ч. 5 152-ФЗ при сборе через интернет нужна БД на территории РФ.

Что делать, если случилась утечка?

Собрать фактуру, ограничить доступ/распространение, уведомить РКН в 24 часа и направить результаты расследования в 72 часа.

Какие два пункта “дороже всего” по штрафам?

Уведомления и инциденты: 100–300 тыс ₽ за отсутствие уведомления о начале обработки и 1–3 млн ₽ за неуведомление об утечке.

Как закрыть вопрос системно и не убить конверсию

Плохая стратегия — «закрыть всё галочками и баннерами так, чтобы пациенты сбежали». Хорошая — сделать комплаенс частью нормального UX: короткие формы, понятные документы, контролируемые сервисы и прозрачный маршрут заявки.

Если вы обновляете сайт и хотите, чтобы он был одновременно “продающим” и аккуратным по персональным данным, проще всего работает подход “единым контуром”: сайт + формы + документы + контроль сервисов.

Когда мы разрабатывали сервис CLINILINK.RU, то руководствовались принципом одного окна и максимальной защищенности, чтобы клиники могли за 1 день развернуть профессиональный сайт в Яндекс.Облаках по всем требованиям законодательства.