РКН запустил автоматические проверки сайтов на 152-ФЗ

В 2026 году все чаще говорят о «боте РКН», то есть об автоматической проверке сайтов на соответствие требованиям ФЗ-152.

Важно понимать главное: бот сам не назначает штрафы. Он работает как первичный фильтр. Система может найти подозрительные несоответствия, например отсутствие политики обработки персональных данных, формы без согласия или некорректную работу cookie-баннера. После этого материалы могут попасть к сотруднику РКН, который уже проверяет сайт и документы вручную.

Для бизнеса это меняет подход к ФЗ-152. Раньше многие вспоминали о персональных данных только после жалобы или проверки. Сейчас сайт может попасть в автоматический мониторинг просто потому, что на нем есть форма заявки, корзина, подписка, онлайн-запись, чат или счетчик Яндекс метрики.

Относится ли ФЗ-152 к вам

ФЗ-152 касается не только крупных компаний, банков, клиник и маркетплейсов. Если сайт собирает данные пользователя, владелец сайта может считаться оператором персональных данных.

Обычно под требования попадают сайты, где есть:

• форма обратной связи;
• кнопка «заказать звонок»;
• онлайн-заявка на услугу;
• регистрация в личном кабинете;
• счетчики Яндекс метрики и Гугл Аналитики;
• оформление заказа;
• запись на прием;
• подписка на рассылку;
• чат с оператором;
• формы для резюме;
• cookie, аналитика и рекламные пиксели.

Если сайт просто показывает информацию о компании и не собирает данные, риски ниже. Но даже в этом случае стоит проверить аналитику, cookie-файлы, серверные логи и сторонние виджеты. Частая ошибка бизнеса: думать: «У нас всего одна форма заявки, значит, закон к нам не относится».

За что штрафуют и на сколько

Размер штрафа зависит от конкретного нарушения. В статье 13.11 КоАП РФ предусмотрены разные составы: незаконная обработка персональных данных, отсутствие согласия в случаях, когда оно требуется, неразмещение политики обработки персональных данных, неподача уведомления в РКН, нарушение локализации, утечки и другие ситуации.

Основные штрафы для бизнеса:

• 100 000–300 000 руб. — За неуведомление Роскомнадзора о начале обработки персональных данных.
• 100 000–300 000 руб. — За обработку персональных данных без согласия пользователя в случаях, когда такое согласие необходимо, или за неправильно оформленное согласие.
• 1 000 000–15 000 000 рублей и выше — За утечки персональных данных. Размер зависит от масштаба утечки, категории данных и повторности нарушения.

Основные зоны риска на сайте

1. Не подано уведомление в Роскомнадзор

Если компания обрабатывает персональные данные и не относится к исключениям, необходимо уведомить РКН о начале или осуществлении обработки. За невыполнение этой обязанности для юридических лиц предусмотрен штраф до 300 000 рублей.

2. На сайте нет политики обработки персональных данных

Политика должна быть опубликована и доступна пользователю. Если сайт собирает персональные данные через интернет, документ должен быть размещен на сайте так, чтобы пользователь мог открыть его до отправки данных.

3. Формы собирают данные без корректного согласия

Проблема возникает, когда под формой просто стоит текст со ссылками, галочка уже проставлена заранее или пользователь может отправить форму без подтверждения согласия. Согласие должно быть конкретным, информированным, сознательным и однозначным.

4. Cookie и аналитика работают без понятного уведомления

Если сайт использует cookie, Яндекс Метрику, рекламные пиксели, виджеты обратной связи и другие инструменты, нужно понимать, какие данные они собирают и как это отражено в документах сайта. Особенно опасна ситуация, когда в политике написано одно, а фактически сайт передает данные через сторонние сервисы.

5. Документы не совпадают с реальной работой сайта

Например, в политике указано, что сайт собирает только имя и телефон, а фактически есть email, cookie, IP-адрес, данные заказа и форма подписки. Для проверки важно не просто «повесить шаблон», а сопоставить документы с реальными формами, скриптами и сервисами.

Что делать, если пришло оповещение или требование от РКН

Первое правило: не игнорировать. Если пришло требование, нужно внимательно посмотреть срок ответа и перечень нарушений. В публичных разборах часто фигурирует срок около 10 дней на устранение, но ориентироваться нужно не на статьи в интернете, а на конкретный документ от РКН.

Порядок действий:

• Зафиксируйте дату получения требования и срок ответа.
• Сохраните текущие версии страниц, форм, политики, согласий и cookie-баннера.
• Проверьте, какие нарушения указаны в требовании.
• Сравните документы с фактической работой сайта.
• Исправьте критичные ошибки: формы, чекбоксы, политику, cookie, уведомление в РКН.
• Подготовьте ответ с описанием, что именно исправлено.
• Если нарушение спорное, подключите юриста по персональным данным.

Не стоит просто скачать первый шаблон политики и заменить название компании. Это как лечить зубы монтажной пеной. Быстро, уверенно, но потом больно.

Чек-лист для проверки сайта на ФЗ-152

Шаг 1. Проверьте, какие данные собирает сайт

Пройдите все формы на сайте: заявка, заказ звонка, корзина, регистрация, подписка, онлайн-запись, чат, форма резюме, комментарии, квиз. Выпишите, какие данные собираются в каждой форме: имя, телефон, email, город, адрес, комментарий, файл, данные заказа, IP, cookie.

Шаг 2. Проверьте политику обработки персональных данных

Политика должна быть размещена на сайте и соответствовать реальности. В ней должны быть указаны оператор, цели обработки, категории персональных данных, категории субъектов, правовые основания, сроки хранения, порядок отзыва согласия, контакты для обращений и меры защиты. Главный вопрос: если сравнить политику с реальными формами и скриптами сайта, они совпадают?

Шаг 3. Проверьте согласия под формами

У каждой формы должен быть понятный механизм получения согласия. Чекбокс не должен быть заранее отмечен. Пользователь должен понимать, на что он соглашается, до отправки данных. Отдельно проверьте мобильную версию. Часто на десктопе все выглядит аккуратно, а на мобильном чекбокс съезжает, ссылка не нажимается или текст согласия обрезан. Ботам все равно, что «на компьютере у директора красиво».

Шаг 4. Проверьте cookie и сторонние сервисы

Посмотрите, какие скрипты загружаются на сайте. Проверьте аналитику, рекламные пиксели, чаты, карты, формы CRM, платежные модули, CDN, капчи и виджеты. Нужно понять: какие сервисы стоят на сайте, какие данные они получают, отражены ли они в документах, есть ли согласие пользователя, можно ли отключить необязательные cookie, нет ли противоречий между политикой и фактической работой сайта.

Шаг 5. Проверьте уведомление в РКН

Если вы обрабатываете персональные данные, проверьте, подано ли уведомление в Роскомнадзор и актуальны ли сведения в реестре. В уведомлении должны совпадать цели обработки, категории данных, категории субъектов и другие сведения с тем, что реально происходит на сайте и в бизнес-процессах. Если сайт изменился, появились новые формы, рассылки, личный кабинет, онлайн-оплата или новые сервисы, старое уведомление может уже не отражать реальность.

Как провести углубленную проверку на ФЗ-152

Базовый чек-лист помогает найти очевидные ошибки. Но для полноценной проверки нужно смотреть не только сайт, а всю цепочку обработки персональных данных.

Углубленный аудит обычно включает:

• анализ всех форм сайта;
• проверку политики обработки персональных данных;
• проверку согласий;
• проверку cookie-баннера и скриптов;
• анализ сторонних сервисов;
• сверку с уведомлением в РКН;
• проверку документов компании;
• оценку процессов хранения, передачи и удаления данных;
• рекомендации по исправлению нарушений.

Такой аудит особенно нужен, если сайт относится к медицине, образованию, e-commerce, финансам, недвижимости, юридическим услугам, HR, онлайн-сервисам или работает с большим количеством заявок.