Разбираем по пунктам, как РКН-бот сканирует сайт, какие расхождения между уведомлением и поведением страницы дают предписание, и какие правки закрывают вопрос.
В 2025–2026 надзор по 152-ФЗ перестал быть «бумажным». Роскомнадзор перевёл первичную проверку сайтов на робота: он автоматически открывает страницы, сверяет содержимое с записью в реестре операторов и формирует предписание там, где находит расхождение. Никаких визитов инспектора, никакого человеческого фактора — отказ от cookies прислал уведомление о «сборе ПДн», и через две недели у вас на почте предписание с штрафом.
Мы наступили на эти грабли сами, когда в апреле 2026 готовили к подаче уведомление по двум своим сайтам и встретились с актуальным чек-листом, по которому теперь работает бот. Разобрались, переделали страницы, на основе чек-листа собрали внутренний инструмент проверки. Делимся методичкой.
Любой сайт, где есть хотя бы одно из:
То есть, по факту, почти любой коммерческий сайт. Даже если вы продаёте только через Telegram, а сайт — это просто визитка с формой «оставить заявку», — вы оператор персональных данных, и должны быть в реестре на pd.rkn.gov.ru. Не уведомили — это первое нарушение, отдельный штраф (ст. 19.7 КоАП — для ИП до 500 тыс ₽, для ООО до 6 млн ₽ за повторное).
Бот заходит на главную, на страницы /privacy, /consent, /contact, по любым формам, нажимает «отправить» с тестовыми данными и анализирует. Что именно проверяет:
Запрещено: «продолжая использовать сайт, вы соглашаетесь». Это пассивное согласие, оно с 2022-го прямо названо в письмах РКН недействительным.
Должно быть: баннер с минимум двумя кнопками — «Только необходимые» и «Принять все». Первая означает, что технические cookies (сессии, корзина) ставятся, а аналитические/маркетинговые — нет. Вторая — что ставятся все. Если у вас одна кнопка «ОК» и крестик в углу — это автоматический минус.
Должно быть: баннер показывается до того, как поставлен любой не-технический cookie. Если Метрика грузится сразу, а баннер — потом, это уже факт сбора без согласия. Метрика и аналогичные скрипты должны инициализироваться только после клика по «Принять все».
Страница /privacy или /policy обязана иметь:
https://pd.rkn.gov.ru/operators-registry/operators-list/?id=<ваш-номер>Если у вас Метрика — отдельный пункт «Метрика и trackers», без размытия. Webvisor и clickmap, если включены, должны быть названы в политике как расширенный сбор ПДн, и должны иметь отдельное согласие. Если они включены, а в политике их нет — это критическое нарушение.
Каждая форма (заявка, подписка, контакт) должна:
Самые частые ошибки в формулировках чекбоксов и UX-паттернах согласий мы разобрали в отдельной статье «Согласие на обработку ПД: 9 ошибок РКН в 2026» — там по каждой ошибке норма закона и как её закрыть.
Если форма уходит на сторонний сервис типа Web3Forms, Tilda Forms, Google Forms — это автоматически трансграничная передача данных. Чтобы её разрешить, в форме должен быть ещё один отдельный чекбокс «согласен на трансграничную передачу в страну такую-то». На практике дешевле перенести форму на свой бэк в РФ, чем оформлять трансграничку.
Поле «дата рождения» в форме «оставить заявку» — повод для предписания: данные не нужны для исполнения договора. Минимум, иначе нужно обоснование цели.
Если в Метрике включён webvisor (запись действий мышью и в формах) или clickmap (карта кликов) — это расширенный сбор ПДн, и согласие на него обязано быть отдельным. По факту проще держать их выключенными. Бот это видит по коду счётчика.
Любой сторонний JS, который ставит идентификатор пользователя и не объявлен в политике, — нарушение. Особенно достаётся за «забытые» Facebook Pixel, AppMetrica, наследие старых маркетинговых интеграций.
Фото с ФИО на странице /about/team без отдельного письменного согласия каждого сотрудника на публикацию — критическое нарушение (распространение ПДн). Решается либо подписанием согласия на публикацию (хранится у вас), либо безымянными фото / иллюстрациями.
Бот сверяет содержимое сайта с записью в pd.rkn.gov.ru. Если в уведомлении вы написали «обрабатываем имя и email», а на сайте есть форма с полем «телефон» — расхождение, предписание. Если уведомления вообще нет — отдельный штраф плюс предписание подать.
Бот специально проверяет известные «лазейки» — например, скрытое поле формы с автозаполнением, реферальные параметры, сохраняющиеся в localStorage без объявления. Если найдёт — отдельная категория нарушений.
Текущая сетка по статье 13.11 КоАП (по состоянию на 2026):
| Категория | Гражданин | Должностное лицо | ИП | ООО |
|---|---|---|---|---|
| Без согласия | 6–10 тыс | 20–40 тыс | 100–300 тыс | 300–700 тыс |
| Без согласия (повторно) | 10–20 тыс | 40–100 тыс | 300–500 тыс | 1–6 млн |
| Без публикации политики | 0,7–1,5 тыс | 3–6 тыс | 5–10 тыс | 30–60 тыс |
| Не уведомил РКН | 0,7–1,5 тыс | 3–6 тыс | 5–10 тыс | 100–300 тыс |
| Утечка ПДн (>1000 субъектов) | — | — | — | до 15 млн (новая ст. 13.11.4) |
Главное: штрафы по каждой категории отдельно. На практике одно предписание содержит 3–5 категорий — суммируется быстро.
Когда мы стали проверять свои собственные сайты (xencom.ru и apps.xencom.ru) перед подачей уведомления, нашли восемь нарушений на первом и шесть на втором. Большинство — старые формулировки на cookie-баннере и трансграничная передача через Web3Forms. Переделали:
/consent/ с текстом, ссылка из всех форм.Получилось 0 critical / 0 high по нашему же чек-листу.
Поскольку повторять прогон руками каждый раз перед релизом — дорого, мы автоматизировали. Получился compliance-сканер: вводите домен — за минуту выдаёт отчёт по тем же 9 категориям, что описаны выше, с конкретными формулировками для исправлений и ссылками на статьи закона.
Сканер вошёл в наш продукт DocAssist (AI-юрист для ИП и малого бизнеса). На тарифе Pro и Business — без лимита проверок, на Business добавлен ежедневный авто-мониторинг (полезно, если вы регулярно правите страницы и хотите ловить регресс).
Если у вас сайт, и вы не делали аудит за последний год, минимальный план на эту неделю:
Если выписали предписание раньше, чем вы успели — у вас обычно 30 дней на устранение. Не игнорируйте, штрафы за неисполнение в разы выше первичных.
Все упомянутые в статье нормы, пороги штрафов и категории проверок сверены с первичными источниками на 4 мая 2026.
Если найдёте в статье ошибку или устаревшее утверждение — напишите команде Xencom. Исправление выйдет с обновлением dateModified в schema, чтобы изменение было видно поисковикам и LLM-ботам.
Тем, кто разобрался в теме до конца, открываем доступ к DocAssist Pro на 30 дней — всё, что описано выше (compliance-сканер сайта, анализ договоров, генератор ответов, чат с AI), без оплаты на пробный период.
Кнопка активируется через 30 сек.
Разбираем три самых жёстких регуляторных удара 2025–2026 года: оборотные штрафы до 3% выручки за утечку ПДн (с 30.05.2025), переход на УПД как единственный формат первички (с 01.01.2026) и обязательная электронная транспортная накладная (с 01.09.2026). Со ссылками на нормы, реальными штрафами 2026 и чек-листом по подготовке.
Пошаговый разбор подачи уведомления об обработке персональных данных в Роскомнадзор в 2026: кто обязан, какие графы заполняют чаще всего неверно, что меняется при смене хостинга и за что РКН выводит организации из реестра. С нормами, образцами формулировок и реальными штрафами по ст. 19.7 КоАП.
Разбираем 9 типичных формулировок и UX-паттернов на сайтах малого бизнеса, за которые автомат-инспектор Роскомнадзора выписывает предписания и штрафы по ст. 13.11 КоАП. Со ссылками на нормы, реальные суммы 2026 года и пошаговый чек-лист, как переделать.
Расскажите о задаче — на 30-минутном звонке подскажем, с чего начать и чего избегать.