За последние два года правила игры в российском маркетинге переписали почти полностью. Я работаю с рекламой каждый день и вижу одну и ту же картину: бизнес запускает кампанию по старой привычке — и попадает на штраф, о котором даже не подозревал. Незнание новых требований больше не считается «смягчающим обстоятельством». Сегодня это прямой путь к санкциям, ограничению доступа к сайту и, в худшем случае, к уголовному делу.

Я собрал в этом гайде всё, что рекламодателю, агентству и блогеру нужно держать в голове в 2026 году: маркировку, 3%-й сбор на интернет-рекламу, новую редакцию 152-ФЗ и пошаговый алгоритм действий при проверке. Без воды, с конкретными статьями законов и реальными суммами штрафов.

Сразу честно оговорюсь: я маркетолог, а не юрист. Эта статья — практический разбор, а не юридическая консультация. Нормы меняются и уточняются буквально каждый квартал, поэтому по спорным и крупным ситуациям я всегда советую проверяться у профильного специалиста. Но базовую картину — то, что нужно понимать и применять прямо сейчас, — я дам полностью.

Маркетинг под надзором: налоги, персональные данные и маркировка рекламы

Содержание статьи показать

Обзор новых регуляторных требований к рекламе в 2026 году

Если коротко: государство выстроило сплошную систему учёта рекламы и персональных данных. Раньше можно было работать «как все» и надеяться, что не заметят. Теперь не заметить вас стало технически сложно. Я выделяю три фронта, на которых штрафуют чаще всего, плюс отдельную историю с реестром блогеров.

Почему регулятор закрутил гайки именно сейчас

Чтобы понимать логику новых правил, полезно знать предысторию. Объём утечек персональных данных в России за последние годы измерялся сотнями миллионов записей о гражданах. Реакция законодателя не заставила себя ждать: за короткий срок переписали и закон о персональных данных, и Кодекс об административных правонарушениях, и Уголовный кодекс. Параллельно государство захотело видеть весь рынок интернет-рекламы — кто, кому и за какие деньги её продаёт. Так появилась маркировка и единый реестр. Я воспринимаю это как смену эпохи: рынок выводят из «серой зоны» в полностью прозрачную и контролируемую плоскость.

Три заблуждения, которые приводят к штрафам

Прежде чем разбирать требования по отдельности, развею три мифа, которые я слышу постоянно:

  • «Маленьких не проверяют». Проверяют. Сверка в ЕРИР автоматическая, а жалобу на любого может подать конкурент или клиент.
  • «Это реклама, только если я заплатил за неё деньгами». Нет. Бартер, обмен услугами и продвижение собственного продукта тоже могут считаться рекламой.
  • «Нет сайта — значит, персональные данные меня не касаются». Касаются. Достаточно вести базу клиентов в таблице или мессенджере — вы уже обрабатываете данные.

Все три заблуждения объединяет одно: ощущение, что «правила — это про кого-то большого». В 2026 году такое ощущение обходится особенно дорого.

Маркировка интернет-рекламы

Маркировка действует с 2022 года, но именно к 2026-му она превратилась в реальную угрозу для кошелька. Суть простая: каждый рекламный креатив в интернете должен нести пометку «Реклама», данные рекламодателя и уникальный цифровой идентификатор — токен erid. Сведения о размещении уходят в государственную базу — Единый реестр интернет-рекламы (ЕРИР) — через оператора рекламных данных (ОРД). Контролируют этот процесс сразу три ведомства: Роскомнадзор, ФАС и налоговая служба.

Главное изменение 2026 года — автоматизация. Если раньше нарушения находили в основном вручную, по жалобам, то теперь ЕРИР сопоставляет данные участников рынка в реальном времени. Любое расхождение в суммах актов между заказчиком и исполнителем или отсутствие статистики по зарегистрированному токену система подсвечивает как потенциальное нарушение. Проще говоря, машина сама ищет тех, кто что-то сделал не так. И это в корне меняет подход: надеяться «на авось» больше нельзя, потому что сверка идёт постоянно и без участия человека.

3%-й сбор на интернет-рекламу

С 1 апреля 2025 года вступила в силу новая статья 18.2 закона «О рекламе». По ней распространители рекламы, операторы рекламных систем и посредники между ними ежеквартально отчисляют в федеральный бюджет 3% дохода от распространения интернет-рекламы. Основание — Федеральный закон № 479-ФЗ от 26.12.2024, а механизм уплаты детализирован постановлением Правительства № 1224 от 15.08.2025. Это не налог в строгом смысле — юридически корректнее называть эти 3% обязательными отчислениями, — но платить их обязаны почти все, кто зарабатывает на онлайн-продвижении. Собранные средства, к слову, направляют на поддержку российского ПО и цифровых технологий.

Новая редакция 152-ФЗ о персональных данных

Самые жёсткие перемены произошли именно здесь. С 30 мая 2025 года заработал Закон № 420-ФЗ, который поднял штрафы за нарушения в работе с персональными данными в среднем в десять раз, уравнял ответственность ИП и юрлиц и ввёл уголовную статью. Параллельно расширили само понятие оператора: теперь это любой, кто собирает хоть какие-то данные — клиентов, сотрудников, посетителей сайта. Если у вас есть форма заявки или база рассылки, поздравляю: вы оператор персональных данных со всеми вытекающими обязанностями.

Реестр блогеров

С 1 ноября 2024 года по закону № 303-ФЗ владельцы страниц и каналов с аудиторией больше 10 000 подписчиков обязаны зарегистрироваться в реестре Роскомнадзора. Касается это российских платформ — например, ВКонтакте, Одноклассников, Telegram, — и распространяется в том числе на аккаунты компаний, ИП и самозанятых. На регистрацию даётся 10 дней с момента, как счётчик перевалил за 10 000. Без записи в реестре нельзя размещать рекламу и собирать донаты, а другим пользователям — делать репосты со страницы. Более того, площадка может ограничить доступ к такой странице, пока владелец не подаст сведения о себе.

Что и когда вступило в силу: краткая хронология

Чтобы не путаться в датах, держу под рукой короткую шкалу ключевых изменений:

  • 1 ноября 2024 — заработал реестр блогеров: страницы и каналы свыше 10 000 подписчиков нужно регистрировать в Роскомнадзоре (303-ФЗ).
  • 11 декабря 2024 — в Уголовном кодексе появилась статья 272.1 об ответственности за незаконный оборот персональных данных.
  • 1 апреля 2025 — введён 3%-й сбор на интернет-рекламу (новая статья 18.2 закона «О рекламе», 479-ФЗ).
  • 30 мая 2025 — заработали повышенные штрафы за нарушения 152-ФЗ и оборотные штрафы за утечки (420-ФЗ).
  • 15 августа 2025 — постановление Правительства № 1224 детализировало механизм уплаты 3%-го сбора.
  • 1 сентября 2025 — согласие на обработку данных стало обязательно оформлять отдельным документом (статья 9 152-ФЗ).
  • 2026 год — этап полномасштабного применения всех норм и автоматической сверки данных в ЕРИР.

Если разложить всё по этой шкале, видно главное: за полтора года рынок прошёл путь от точечных требований к сплошному контролю. И дальше, судя по всему, будет только строже.

Вывод, который я делаю для себя и клиентов: 2026 год — это период активного применения всех новых норм. Контроль перестал быть выборочным. И в такой ситуации осведомлённость превращается из «полезно знать» в прямое конкурентное преимущество — пока одни платят штрафы, другие спокойно работают.

Как новые правила влияют на стоимость и размещение рекламы

Регулирование — это не просто бумажная волокита. Оно напрямую меняет экономику рекламы: то, сколько вы платите и где вообще можете размещаться. Разберу обе стороны.

Реклама подорожала — и будет дорожать дальше

Те самые 3% отчислений считаются не от прибыли, а от выручки за размещение рекламы — по правилам бухучёта. Платёжный период — квартал, крайний срок уплаты — пятое число третьего месяца квартала, следующего за отчётным. Важно понимать механику: сбор проходит по всей цепочке. Площадка закладывает его в свою цену, агентство — в свою, и в итоге расходы оседают на рекламодателе. Я уже вижу, как ставки на размещение поползли вверх именно из-за этого.

Платить отчисления должны:

  • Рекламораспространители — блогеры, владельцы сайтов и пабликов.
  • Операторы рекламных систем — крупные платформы вроде Яндекс.Директа и VK Рекламы.
  • Посредники — агентства и фрилансеры, которые действуют в интересах рекламодателя.
  • Рекламодатели, заключившие договор на распространение рекламы с иностранным лицом, — в этом случае удержать и перечислить сбор должен сам рекламодатель.

Есть и исключения. От обязанности по закону освобождены, в частности, средства массовой информации, информационные агентства и печатные издания с государственным финансированием. Но для подавляющего большинства бизнеса и блогеров послаблений нет — отчисления касаются практически каждого, кто получает доход с онлайн-продвижения.

Как законно уменьшить базу: разаллокация

Здесь есть рабочий приём, который я всем рекомендую. Сбор начисляется только на доход от размещения рекламы. Если в акте смешать размещение с другими услугами — например, с разработкой креативов, — налоговая база раздуется. Поэтому суммы нужно разделять. Основанием для начислений служат закрывающие документы, которые вы загружаете в ЕРИР в процессе маркировки, а сам сбор рассчитывает Роскомнадзор на основе переданных вами данных.

Простой пример. Есть акт на 120 000 рублей: 90 000 — размещение рекламы, 30 000 — производство креативов. Если в ЕРИР передать только рекламные 90 000, сбор составит 3% от этой суммы — 2 700 рублей. А если по невнимательности отправить все 120 000, сбор начислят с полной суммы, и он вырастет до 3 600 рублей. На одном акте разница невелика, но на годовом обороте агентства она превращается в ощутимые деньги. Поэтому я всегда настаиваю, чтобы в актах и отчётности размещение и прочие услуги шли отдельными строками.

Что это значит для малого бизнеса и самозанятых

Часто слышу: «Я самозанятый, продвигаю свои услуги — меня это вообще касается?» Касается. Обязанности по маркировке и сбору не зависят от масштаба: ИП, самозанятый и крупная компания живут по одним правилам. Разница лишь в суммах штрафов и в том, что у малого бизнеса обычно нет юриста в штате, который всё это держит под контролем.

Но именно для небольших игроков есть и хорошие новости. Во-первых, если вы продвигаетесь только через крупные системы вроде Яндекс.Директа или VK Рекламы, маркировка и значительная часть отчётности ложатся на плечи площадки. Во-вторых, бесплатные ОРД снимают вопрос стоимости. В-третьих, при аккуратном ведении актов 3%-й сбор для небольших бюджетов — это вполне посильные суммы. Главное — не игнорировать требования, считая, что «маленьких не трогают». Автоматическая сверка в ЕРИР не разбирает, большой вы бизнес или нет.

Где теперь можно размещаться

Свобода выбора площадок тоже сузилась. Перед закупкой рекламы у блогера с аудиторией свыше 10 000 подписчиков я всегда проверяю, есть ли он в реестре Роскомнадзора. Нет записи в реестре — нет легальной рекламы: ответственность ляжет в том числе на вас как на заказчика. Это новый обязательный пункт проверки контрагента, наравне с проверкой реквизитов.

Отдельный момент — зарубежные площадки. Даже реклама в зарубежной социальной сети, если она направлена на российскую аудиторию, попадает под требования о маркировке. Роскомнадзор отслеживает такие размещения, и аргумент «это же не российская площадка» в споре с регулятором не работает. Я видел, как селлеры считали посты у блогеров на зарубежных площадках «вне закона» и не маркировали их — а потом получали запросы от ФАС по каждому эпизоду.

Маркировка добавляет работы и времени

Каждый креатив теперь нужно зарегистрировать, получить erid и ежемесячно отчитываться. Это операционная нагрузка, которую тоже стоит закладывать в смету и в сроки запуска. Хорошая новость в том, что крупные системы — Яндекс.Директ, Яндекс.Бизнес, VK Реклама — маркируют объявления автоматически через собственные ОРД. От вас требуется лишь указать в кабинете ИНН и атрибуты договоров. А вот ручные размещения — посты в Telegram, посевы, прямые интеграции — придётся проводить через ОРД самостоятельно. Данные в ЕРИР, к слову, хранятся три года (раньше было пять — срок сократили законом от 07.04.2025 № 72-ФЗ), и доступ к ним имеют ФАС и налоговая.

152-ФЗ в 2026: что изменилось и что нужно срочно поправить

Если из всей статьи вы запомните только один раздел, пусть это будет этот. По моему опыту, именно персональные данные стали для бизнеса самой дорогой зоной риска. Штрафы тут на порядок выше рекламных, а сверху появилась уголовная ответственность.

Что поменялось по сути

Закон № 420-ФЗ, действующий с 30 мая 2025 года, сделал три принципиальные вещи. Во-первых, поднял штрафы в среднем в десять раз. Во-вторых, уравнял ИП и ООО — раньше предпринимателям делали «скидку», теперь её нет. В-третьих, вывел утечку данных в отдельный состав и добавил уголовную статью. Раньше за многое штрафовали по общей норме «нарушение режима обработки», и суммы были, мягко говоря, символическими. Сегодня всё иначе.

Параллельно расширили круг операторов. Сегодня оператором персональных данных считается любая организация, ИП или самозанятый, который собирает или обрабатывает хоть какие-то данные — клиентов, сотрудников, пользователей сайта или приложения. Под персональными данными понимается всё, что позволяет идентифицировать человека: ФИО, контакты, паспортные данные, IP-адрес, биометрия, история покупок. Иными словами, если у вас есть форма заявки на сайте или база рассылки — вы оператор.

Что нужно поправить срочно

Вот конкретный список того, что я проверяю в первую очередь:

  1. Согласие — отдельным документом. С 1 сентября 2025 года согласие на обработку персональных данных нельзя «вшивать» в договор или пользовательское соглашение (статья 9 152-ФЗ). Оно должно быть самостоятельным, информированным, добровольным и отзываемым. В нём прямо указываются цели обработки. Раньше галочку можно было встроить в общий текст — теперь нет.
  2. Уведомление в Роскомнадзор. О намерении обрабатывать данные оператор обязан уведомить РКН. Это базовый шаг, который многие до сих пор пропускают, а зря — именно с него начинается проверка.
  3. Политика обработки персональных данных. Должна быть опубликована и доступна с любой страницы, где вы собираете данные.
  4. Локализация. Данные граждан России хранятся и обрабатываются на серверах, расположенных в РФ. Это требование существует не первый год, но к нему сейчас приковано особое внимание.
  5. Cookie-уведомление. Если сайт собирает данные через cookie — нужно корректное уведомление и согласие.
  6. Раздельные согласия на форме. Согласие на обработку данных и согласие на рекламную рассылку — это разные вещи. Галочки должны быть отдельными и не проставленными заранее.
  7. Срок хранения согласий. Храните их минимум три года, а при спорах — до момента их разрешения.
  8. Трансграничная передача. Если вы передаёте данные за пределы РФ — например, пользуетесь иностранными сервисами, — для этого требуется отдельное уведомление и соблюдение особого порядка.

Как выглядит корректная форма на практике

Чтобы это не осталось абстракцией, покажу на примере обычной заявки на сайте. Под полями имени и телефона должны быть как минимум две отдельные, не проставленные заранее галочки. Первая — согласие на обработку персональных данных со ссылкой на политику и указанием целей. Вторая — согласие на получение рекламных сообщений. Объединять их в одну строку «Нажимая кнопку, вы соглашаетесь со всем» больше нельзя. И помните: даже если человек сам отправил данные через форму, использовать их без законного основания вы не вправе.

Уголовная ответственность: самое неприятное

С 11 декабря 2024 года в Уголовном кодексе появилась статья 272.1. Она наказывает за незаконное использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, доступ к которым получен незаконным путём. Важная деталь: преступлением становится сам факт работы с украденными данными — даже если конкретное лицо лично ничего не взламывало. Если статья 272 наказывает за несанкционированный доступ, то 272.1 делает преступлением уже использование и распространение незаконно полученных сведений.

Санкции по статье 272.1 УК: штраф от 300 до 400 тысяч рублей, принудительные работы или лишение свободы на срок до четырёх лет. Если речь о специальных или биометрических данных — наказание строже, вплоть до лишения свободы на длительный срок. Для руководителей это уже не абстракция: следствие устанавливает, кто именно принимал решения.

Отдельная история — биометрия

Биометрические данные стоят особняком, и я выношу их в отдельный блок не случайно. Это сведения о физиологических особенностях человека, по которым можно установить личность: изображение лица, голос, отпечатки и так далее (статья 11 152-ФЗ). Регулирование здесь трёхуровневое: базовый 152-ФЗ, специальный закон о Единой биометрической системе (ФЗ от 29.12.2022 № 572-ФЗ) и обновлённый КоАП с оборотными штрафами, которые для бизнеса могут достигать сотен миллионов рублей.

Для маркетинга вывод практический: если ваш сервис, приложение или акция как-либо собирает биометрию — например, распознавание лица для входа или фотоконкурс с обработкой изображений, — это зона повышенного риска. Согласие на обработку биометрии должно быть отдельным и особенно тщательным, а саму обработку лучше не затевать без консультации со специалистом. По моему опыту, в большинстве маркетинговых задач биометрия попросту не нужна — и самое разумное решение её не собирать вовсе.

Маркировка рекламы: кто обязан, как делать правильно

Маркировка — самая частая причина штрафов из всех, что я вижу. И самая обидная, потому что избежать её легко: достаточно один раз настроить процесс. Разберу по шагам, как это делается правильно.

Из чего состоит маркировка

Промаркированный креатив содержит три обязательных элемента:

  • пометку «Реклама»;
  • наименование рекламодателя (или ссылку на его сайт, где есть реквизиты);
  • цифровой идентификатор — токен erid.

Рекламным креативом может быть текст, картинка, видеоролик или их сочетание. И на этом дело не заканчивается: после публикации нужно подать в Роскомнадзор отчёт о результатах кампании, договорах и актах — не напрямую, а через ОРД. Так выглядит, например, корректный пост в Telegram-канале: текст предложения, ссылка, а в конце — строка с пометкой «Реклама», наименованием или ИНН рекламодателя и идентификатором erid.

Кто обязан маркировать

Под требование попадают все участники цепочки: рекламодатель, рекламораспространитель, агентства и посредники. Сюда же относится и самореклама — когда вы продвигаете собственный продукт без внешнего заказчика. Чаще всего к ответственности привлекают именно распространителя, поскольку наказуемо само распространение рекламы без маркировки. Но и рекламодатель может получить штраф — особенно если по договору не зафиксировано, кто отвечает за маркировку. Поэтому я всегда прописываю в договоре отдельным пунктом, кто берёт на себя техническую работу в ОРД и подачу отчётов. Эта одна строчка в договоре снимает массу будущих споров.

Как промаркировать рекламу: пошагово

  1. Зарегистрируйте креатив в ОРД и получите erid.
  2. Опубликуйте материал с видимой пометкой «Реклама», данными рекламодателя и токеном.
  3. ОРД передаёт сведения о размещении в ЕРИР (как правило, в течение 10 дней).
  4. По итогам месяца подайте отчёт о результатах — в течение 30 дней после его окончания.

Операторов рекламных данных на 2026 год аккредитовано несколько. Для ИП, самозанятых и микробизнеса я обычно советую ОРД от VK — там регистрация и получение erid бесплатны для всех ролей: и рекламодателя, и распространителя, и агентства. А если вы льёте трафик через Яндекс.Директ или VK Рекламу, система маркирует объявления сама — нужно лишь заполнить данные в кабинете. Это самый спокойный путь для тех, кто не хочет возиться с ОРД вручную.

Реклама или нет: серая зона

Один из самых частых вопросов — что вообще считать рекламой. Чёткое продвижение товара за деньги — однозначно реклама. А вот авторский обзор, который вы написали по своей инициативе и без оплаты, или органический информационный пост — уже спорная территория, где многое зависит от деталей. Я придерживаюсь простого правила: если сомневаюсь, реклама перед мной или нет, — маркирую. Цена ошибки в сторону «перестраховался» равна нулю, а в обратную сторону измеряется сотнями тысяч рублей. По по-настоящему пограничным случаям лучше один раз свериться со специалистом, чем потом объясняться с ФАС.

Где чаще всего ошибаются

Несколько типичных промахов, которые приводят к штрафу:

  • Один креатив — один erid. Если вы публикуете один и тот же пост в Telegram, во ВКонтакте и на сайте — это три разных креатива и три разных токена.
  • Нечитаемая маркировка. Если пометку поставили слишком мелко или незаметно, ФАС посчитает информацию отсутствующей и оштрафует так же, как за полное отсутствие. «erid где-то внизу мелким шрифтом» легко превращается в «erid отсутствует».
  • Получили токен, но забыли проставить пометку. Бывает, что креатив зарегистрировали в ЕРИР, а саму отметку при публикации не добавили. Это всё равно нарушение.
  • Понадеялись, что площадка «вне закона». Реклама в зарубежной социальной сети, ориентированная на россиян, тоже мониторится и тоже требует маркировки.
  • Не разделили роли в договоре. Когда не записано, кто маркирует, под удар попадают обе стороны.

Кто именно штрафует, зависит от характера нарушения. Роскомнадзор накажет, если вы не получили токен и не зафиксировали рекламу в ЕРИР. ФАС — если опубликовали креатив без пометки «Реклама» и данных о рекламодателе. А поскольку штрафуют за каждый креатив отдельно и суммы складываются, при серии нарушений итог может оказаться весьма внушительным.

Частые вопросы по маркировке

Собрал вопросы, которые мне задают чаще всего:

  • Нужно ли маркировать сторис? Да. Сторис с рекламой — такой же креатив, и ему нужен свой erid и пометка.
  • А репост рекламного поста? Репост — это тоже распространение рекламы, и маркировка при нём должна сохраняться. Просто так «перекинуть» чужую рекламу без идентификатора — риск.
  • Email-рассылка — это реклама? Рекламные письма тоже могут подпадать под маркировку, особенно если вы продвигаете сторонние товары. По рассылкам о собственных продуктах по своей базе есть нюансы, поэтому спорные случаи я советую уточнять отдельно.
  • Оплата не деньгами, а бартером — нужно ли маркировать? Да. Форма оплаты значения не имеет: если это реклама, её нужно промаркировать.
  • Рекламируюсь у блогера, а он не в реестре — что мне грозит? Тогда размещение под вопросом, и риск ложится в том числе на вас. Проверяйте реестр до оплаты.

Общий принцип, который экономит нервы: сомневаешься — маркируй и фиксируй договорённости письменно. Это почти всегда дешевле, чем потом доказывать свою правоту.

Работа с персональными данными клиентов: минимальный compliance

Хорошая новость: чтобы не получить разгромный штраф, не нужен большой юридический отдел. Нужен базовый, но выстроенный порядок. Я называю это «минимальным compliance» — набор вещей, без которых работать просто нельзя. Ниже — то, что должно быть у любого, кто собирает заявки, ведёт CRM или делает рассылки.

Минимальный набор оператора

  1. Уведомление в Роскомнадзор о том, что вы обрабатываете персональные данные.
  2. Политика обработки персональных данных — опубликована и доступна на сайте.
  3. Согласие отдельным документом на каждой форме сбора данных: заявка, подписка, обратная связь.
  4. Раздельные галочки — отдельно на обработку данных, отдельно на рекламную рассылку.
  5. Локализация данных россиян на серверах в РФ.
  6. Cookie-уведомление, если сайт собирает данные через cookie.
  7. Назначенный ответственный за организацию обработки данных.
  8. Внутренние документы — приказы и регламенты по обработке и защите данных.
  9. Договоры с подрядчиками (сервисы рассылок, CRM, аналитики) с поручением на обработку данных.
  10. Дисциплина хранения — согласия храните три года, а сами данные удаляйте, когда цель обработки достигнута.

Что особенно важно для маркетолога

Почти весь маркетинг завязан на данных, поэтому несколько акцентов из практики. Рассылки требуют явного согласия — нельзя добавлять человека в базу только потому, что он когда-то оставил почту при заказе. Лид-магниты и подписные формы — это сбор данных, значит, под каждой нужна корректная формулировка согласия. Данные из CRM нельзя свободно передавать сторонним сервисам без правового основания и без договора-поручения. Особое внимание — таргетингу и аналитике: всё, что собирает данные о пользователе, должно опираться на законное основание. Я отдельно проверяю, с какими внешними сервисами интегрирован сайт и куда уходят данные посетителей.

Где обычно прокалываются

Самые частые слабые места, которые я нахожу при аудите: согласие зашито в общий текст вместо отдельного документа; политика обработки данных лежит формально, но ссылки на неё под формой нет; рассылки идут по старой базе, собранной до новых требований; с сервисом рассылок или CRM не заключён договор-поручение. Каждая из этих мелочей по отдельности кажется ерундой — но именно их совокупность при проверке превращается в штраф.

Что делать при утечке

Отдельный сценарий, к которому стоит подготовиться заранее. Если данные утекли, оператор обязан уведомить Роскомнадзор о результатах внутреннего расследования в течение 72 часов после того, как выявил инцидент (часть 3.1 статьи 21 152-ФЗ). Уведомление подтверждает либо опровергает факт утечки. Промедление здесь — отдельное нарушение, поэтому регламент реагирования лучше прописать до того, как что-то случится, а не после. Я рекомендую заранее назначить ответственного и составить короткую инструкцию: кто кому звонит, что фиксирует и в какие сроки подаёт уведомление.

Минимизация: чем меньше данных, тем меньше риск

Один из самых недооценённых приёмов — просто не собирать лишнее. Закон требует обрабатывать только те данные, которые действительно нужны для заявленной цели. Если для заявки достаточно имени и телефона — не запрашивайте паспорт, дату рождения и адрес «на всякий случай». Каждое лишнее поле в форме — это дополнительный объём ответственности и потенциальный ущерб при утечке. Я всегда прохожусь по формам клиента и вычёркиваю всё, без чего реально можно обойтись.

Базовые меры защиты

Compliance — это не только документы, но и техническая сторона. Минимум, который я считаю обязательным: ограничение доступа к базам данных (доступ только у тех, кому он нужен по работе), регулярные обновления и антивирусная защита, разграничение прав в CRM, резервные копии. Не обязательно строить крепость, но базовый порядок в доступах закрывает значительную часть рисков. И обязательно фиксируйте, кто и зачем имеет доступ к персональным данным, — при проверке это спросят в первую очередь.

Моя логика простая: «минимальный compliance» — это не про идеальную защиту, а про то, чтобы при проверке у вас были на руках все базовые документы. В большинстве дел именно их отсутствие, а не сложные технические нюансы, превращается в штраф.

Как защититься от штрафов: чек-лист для рекламодателя

Свожу всё сказанное в один практический чек-лист. Я сам прохожусь по нему перед запуском каждой крупной кампании. Распечатайте, сохраните, сверяйтесь.

Реклама и маркировка

  • Каждый креатив промаркирован: erid, пометка «Реклама», данные рекламодателя.
  • Креатив зарегистрирован в ОРД, сведения переданы в ЕРИР.
  • Ежемесячная отчётность сдана в срок (30 дней после окончания месяца).
  • Партнёры-блогеры с аудиторией свыше 10 000 проверены в реестре Роскомнадзора.
  • В договорах прописано, кто маркирует и кто отчитывается.
  • По 3%-му сбору: в актах разделены размещение и прочие услуги, оплата идёт ежеквартально.
  • Текст рекламы не нарушает закон «О рекламе»: нет запрещённых к рекламе товаров, некорректных сравнений с конкурентами, превосходных степеней и гарантий без оснований; проставлена возрастная маркировка (6+, 18+ и т. п.), где она нужна.

Персональные данные

  • Уведомление в Роскомнадзор подано.
  • Согласие — отдельный документ на каждой форме, галочки не проставлены заранее.
  • Политика обработки персональных данных опубликована и доступна под формами.
  • Данные граждан РФ хранятся на серверах в России.
  • Настроено cookie-уведомление.
  • Согласия хранятся не меньше трёх лет.
  • С подрядчиками заключены договоры с поручением на обработку данных.

С чего начать, если ничего не сделано

Если вы читаете это и понимаете, что не закрыт ни один пункт, — не паникуйте. Я расставляю приоритеты так. Сначала — персональные данные: уведомление в РКН, политика и корректные согласия на формах, потому что здесь самые большие штрафы. Затем — маркировка текущих рекламных размещений, чтобы остановить «капающие» нарушения. И уже потом — наведение порядка в актах и отчётности по 3%-му сбору. За пару недель планомерной работы можно закрыть базу и спать спокойно.

Не только маркировка: проверьте само содержание рекламы

Маркировка — это форма. Но штраф можно получить и за содержание объявления, даже если erid стоит идеально. Закон «О рекламе» (38-ФЗ) задаёт целый ряд требований к самому тексту. Я держу в голове базовый список того, что проверяю перед публикацией:

  • не продвигаются товары и услуги, реклама которых запрещена или ограничена;
  • нет некорректных сравнений с конкретными конкурентами и необоснованных утверждений о превосходстве («лучший», «№ 1») без подтверждения;
  • нет обещаний и гарантий, которые вы не можете выполнить;
  • проставлены возрастные ограничения там, где они нужны (например, при рекламе фильмов, игр, концертов, мероприятий);
  • для отдельных категорий (финансовые услуги, медицина и подобное) указаны обязательные предупреждения и оговорки.

За такие нарушения отвечает в том числе ФАС, и жалобу может подать любой. Поэтому финальная вычитка текста на соответствие 38-ФЗ для меня — обязательный шаг наравне с проверкой маркировки.

Сколько стоит ошибка

Чтобы чек-лист не казался формальностью, привожу актуальные на 2026 год ориентиры по штрафам. Точные суммы по каждому составу смотрите в действующих редакциях КоАП и профильных законов — здесь важен порядок цифр.

Нарушение Кто и сколько платит
Отсутствие маркировки рекламы (нет токена, нет пометки), статья 14.3 КоАП Граждане — десятки тысяч рублей; должностные лица и ИП — до 100 000–200 000 ₽; юрлица — от 200 000 до 500 000 ₽. Штрафы суммируются за каждый креатив.
Нарушения при передаче данных в ОРД / просрочка отчётности Самозанятые — 10 000–30 000 ₽; ИП и должностные лица — 30 000–100 000 ₽; юрлица — 200 000–500 000 ₽.
Неуплата 3%-го сбора на интернет-рекламу До 500 000 ₽; к ответственности могут привлечь компании, ИП и самозанятых.
Нарушения 152-ФЗ (нет согласия, политики, уведомления и т. п.) Первое нарушение — 300 000–700 000 ₽ (одинаково для ИП и ООО); повторное — до 1 500 000 ₽.
Утечка персональных данных От 1 000 записей — от 3 000 000 ₽; при массовых и повторных утечках — оборотные штрафы вплоть до 500 000 000 ₽.
Незаконный оборот персональных данных (статья 272.1 УК) Штраф 300 000–400 000 ₽, принудительные работы или лишение свободы; за специальные и биометрические данные — строже.

Когда видишь эти цифры рядом со стоимостью настройки compliance, выбор становится очевидным. Привести дела в порядок почти всегда дешевле одного штрафа — а зачастую дешевле в десятки раз.

Что делать, если пришла проверка: алгоритм действий

И всё же проверка может прийти — даже к тем, кто всё сделал правильно. Жалобу в ФАС или Роскомнадзор вправе подать любой человек или компания. Поэтому держу наготове чёткий алгоритм и делюсь им с вами.

Кто и за чем приходит

  • Роскомнадзор — персональные данные и маркировка (нет токена, нет записи в ЕРИР).
  • ФАС — содержание рекламы и маркировка (нет пометки «Реклама» и данных рекламодателя).
  • Налоговая служба — доходы и 3%-й сбор.
  • Роспотребнадзор и прокуратура — подключаются по чувствительным темам.

Чаще всего триггером становится именно жалоба — от конкурента, недовольного клиента или просто внимательного пользователя. Одного заявления достаточно, чтобы запустить проверку, поэтому относиться к маркировке и согласиям как к «необязательной формальности» сегодня слишком рискованно.

Пошаговый алгоритм

  1. Не игнорируйте. Зафиксируйте дату обращения, орган и основание — это запрос, жалоба или плановая проверка. Молчание только усугубляет ситуацию.
  2. Внимательно прочитайте запрос. Поймите, что именно требуют и в какой срок нужно ответить. Сроки обычно жёсткие, и их нарушение — отдельное основание для санкций.
  3. Соберите документы. Согласия, политику обработки данных, уведомление в РКН, договоры, акты, выгрузки из ОРД и ЕРИР, отчёты по кампаниям.
  4. Подготовьте письменный ответ в срок. Лучше с привлечением специалиста — формулировки в таких ответах имеют значение.
  5. При утечке — уведомите РКН в 72 часа и проведите внутреннее расследование.
  6. Устраните нарушения. Если успеваете поправить недочёты до или во время проверки — это может смягчить последствия.
  7. Используйте профилактический визит. Такой формат Роскомнадзора — это возможность исправиться без штрафа, а не повод для паники. Я отношусь к нему как к бесплатной консультации от регулятора.

Чего делать категорически нельзя

  • Удалять или «переписывать» данные задним числом — это легко вскрывается и трактуется против вас.
  • Подделывать документы и согласия.
  • Пропускать сроки ответа.
  • Общаться с проверяющими без письменной фиксации.

И помните о своих правах: вы можете знакомиться с материалами проверки, давать пояснения и обжаловать решение в установленном порядке. Проверка — это процедура с двумя сторонами, а не приговор. Если вы уверены в своей правоте и у вас на руках документы, отстоять позицию вполне реально.

Сроки и обжалование

Отдельно про сроки, потому что на них «горят» чаще всего. У ответа на запрос почти всегда есть жёсткий дедлайн, и его лучше не пропускать. Если по итогам проверки вынесли постановление о штрафе, а вы с ним не согласны, его можно обжаловать — как правило, в течение 10 суток со дня вручения, в вышестоящий орган или в суд. Поэтому, получив постановление, не спешите платить «чтобы отстали»: сначала оцените, есть ли основания для обжалования. Иногда штраф удаётся снизить или отменить — особенно если нарушение незначительное и уже устранено.

Главный вывод

За годы практики я убедился: лучшая защита от штрафов — не юрист на телефоне, а заранее выстроенный порядок. Маркировка, отчётность по 3%-му сбору, корректные согласия и политика обработки данных — всё это делается один раз и дальше работает фоном, почти не отвлекая от собственно маркетинга.

Поэтому мой призыв простой и честный: не ждите письма из ведомства. Возьмите чек-лист из этой статьи и пройдитесь по нему сегодня — проверьте свои формы, договоры и кабинеты в рекламных системах. В мире, где регулятор видит почти всё, аккуратность перестала быть занудством. Она стала тем самым конкурентным преимуществом, которое позволяет вам спокойно расти, пока другие разбираются с протоколами и штрафами.

Ещё раз напомню: статья носит обзорный, практический характер и не заменяет юридическую консультацию. Нормы регулярно меняются и уточняются — перед важными решениями сверяйтесь с актуальными редакциями законов и профильным специалистом.

Михаил Каржин
Экспертный комментарий

Материал подготовлен практикующим специалистом по маркетингу

Михаил Каржин — Вебмастер, маркетолог, преподаватель и специалист по рекламным технологиям. Разрабатываю сайты, рекламные кампании и стратегии продвижения для бизнеса. Работаю с Яндекс Директ, SEO, контентом, аналитикой и комплексным интернет-маркетингом. Пишу полезные статьи и книги.

Преподаватель маркетинга. Специалист по рекламе. Разработка сайтов. Яндекс Директ