10 нарушений, за которые штрафует бот РКН в 2026 году

Автоматический сканер Роскомнадзора, выпущенный в 2026 году, проверяет сайт по конечному списку технических признаков. Он не «понимает» содержание сайта так, как это делает инспектор, — но и не пропускает то, что инспектор может не заметить за рутиной. Ниже — десять самых частых составов, по которым уже выписаны требования первой волны, с цитатой нормы и порядком устранения.

1. Сайт не подал уведомление в реестр операторов ПДн

Норма: ст. 22 152-ФЗ — оператор обязан уведомить РКН до начала обработки.
Состав: ст. 19.7 КоАП РФ.
Штраф: до 5 000 ₽ за состав, повторное требование = новое дело.

Бот сверяет сайт с открытой выгрузкой реестра на rkn.gov.ru. Если юрлицо/ИП не найдены, но на сайте есть формы сбора ПД — фиксируется нарушение. Закрывается подачей уведомления через портал РКН — занимает 1-3 рабочих дня.

2. Политика конфиденциальности не содержит 12 обязательных пунктов

Норма: ч. 1 ст. 14 152-ФЗ + Приказ Роскомнадзора № 996.
Штраф: до 60 000 ₽ за документ (ч. 3 ст. 13.11 КоАП).

Минимальный набор пунктов в политике: наименование оператора, цели обработки, правовые основания, объём и категории субъектов, перечень действий с ПД, сроки хранения, порядок отзыва согласия, права субъекта, описание мер защиты, условия трансграничной передачи, порядок ответа на запросы, контактные данные. Бот ищет ключевые формулировки регулярными выражениями — переписанные «человечески» фрагменты он не засчитывает.

3. Формы собирают ПД без чекбокса согласия

Норма: ст. 9 152-ФЗ — согласие должно быть конкретным, информированным и сознательным.
Штраф: до 700 000 ₽ за случай (ч. 2 ст. 13.11 КоАП).

Бот находит на странице <form>, ищет внутри неё <input type="email">, <input type="tel">, текстовые поля имени — и проверяет наличие <input type="checkbox"> со связанной ссылкой на политику. Дефолтные «галочки уже стоят» не засчитываются — это считается формой принуждения к согласию.

4. Подключён Google Analytics без уведомления о трансграничной передаче

Норма: ст. 12 152-ФЗ + ст. 18 152-ФЗ (трансграничная передача в страны без адекватной защиты).
Штраф: до 6 000 000 ₽ для юрлица; повторно — до 18 000 000 ₽.

США (где расположены серверы Google) с 2022 года не входят в перечень стран с адекватной защитой персональных данных. Это значит, что подключение GA, GTM, Google Fonts (с идентификатором браузера) формально требует отдельного уведомления в РКН. На практике проще удалить эти сервисы и заменить на Yandex.Metrica и self-hosted шрифты.

Аналогично запрещены или жёстко ограничены: Hotjar, FullStory, Mixpanel, Cloudflare Insights, Meta Pixel, Stripe, Sentry (нероссийский SaaS), Cloudflare Stream.

5. На сайте размещены фото сотрудников без согласия субъекта ПДн

Норма: ст. 152.1 ГК РФ + ст. 9 152-ФЗ.
Штраф: до 700 000 ₽ за случай.

Раздел «О нас» / «Команда» / «Наши специалисты» с фотографиями требует письменного согласия каждого изображённого. Бот находит блоки с шаблонами команда, врачи, сотрудники, наша команда, проверяет наличие фото и фиксирует количество. Закрывается одним из трёх способов: получить согласия, заменить на стоковые изображения с лицензией или убрать фото вовсе.

6. Серверы хранения ПД находятся не в РФ

Норма: ч. 5 ст. 18 152-ФЗ (242-ФЗ о локализации, 2014).
Штраф: до 6 000 000 ₽; повторно — до 18 000 000 ₽.

Бот частично определяет это по HTTP-заголовкам ответа (Server, Via, X-Powered-By, наличие CDN типа Cloudflare). Полная проверка требует DNS-резолва и геолокации IP — но даже косвенные признаки (домен на Cloudflare без российского origin'а) уже даёт повод для повторной более глубокой проверки инспектором.

7. Cookies-баннер не информирует о типах cookie и сроках хранения

Норма: ст. 9 152-ФЗ + Рекомендации РКН по cookies (2022).
Штраф: до 60 000 ₽.

Минимальный набор: уведомление о факте использования cookie, перечень типов (функциональные, аналитические, маркетинговые), срок хранения, кнопка «Отказаться» на равных правах с «Принять». Дефолтные баннеры конструкторов вроде «Сайт использует cookie. ОК» бот фиксирует как несоответствие.

8. Отсутствует публичная оферта или реквизиты продавца

Норма: ст. 437 ГК РФ + ст. 9, 26.1 ЗоЗПП.
Штраф: до 500 000 ₽ за каждый отсутствующий блок.

Для интернет-магазинов и сервисов с онлайн-оплатой обязательны: оферта (договор, который акцептуется самим фактом оплаты), полные реквизиты продавца (наименование, ОГРН/ОГРНИП, ИНН, адрес), условия доставки, порядок возврата (14-дневный для непродовольственных товаров). Бот находит подвал, ищет блок с цифрами длиной 10/13 символов — если такого нет, фиксирует нарушение.

9. Реклама на сайте без токена erid и маркировки

Норма: ч. 11 ст. 18.1 ФЗ-38 «О рекламе».
Штраф: до 500 000 ₽ за креатив (ст. 14.3 КоАП РФ).

С сентября 2022 года всё в интернете, что попадает под определение рекламы (включая баннеры партнёров, нативные блоки «промо», статьи с пометкой «партнёрский материал»), должно иметь токен erid от ОРД (Яндекс ОРД, ВК ОРД, ОРД-А, МедиаСкаут и др.) и слово «Реклама» с указанием рекламодателя. Бот находит баннеры, проверяет текст и наличие токена.

10. На сайте размещены логотипы Facebook и Instagram

Норма: Решение Тверского суда Москвы от 21.03.2022 — Meta Platforms Inc. признана экстремистской и запрещённой в РФ.
Штраф: ст. 20.3 КоАП РФ (до 4 000 ₽ для физлиц, до 1 000 000 ₽ для юрлиц); ст. 282.4 УК РФ — для повторных случаев.

Запрещены: иконки соцкнопок Facebook и Instagram, share-ссылки на эти платформы, упоминания «Facebook»/«Instagram» в тексте без обязательной маркировки «принадлежит Meta, признанной экстремистской и запрещённой в РФ». WhatsApp, VK, Telegram, OK, Дзен, Rutube — разрешены.

Это один из самых неочевидных составов, потому что иконки Facebook/Instagram остались в дефолтных шаблонах CMS, темах WordPress, конструкторах сайтов — их нужно вычищать вручную.

Что не проверяет бот, но проверит инспектор

Автоматический сканер видит только публичную часть сайта. Не попадают в его поле зрения:

• обработка ПД в CRM и базах данных без видимых на сайте проявлений;
• договоры с подрядчиками, через которых проходят ПД (без поручений по 152-ФЗ);
• внутренние политики безопасности и журналы доступа;
• обучение сотрудников по обработке ПД;
• реальное исполнение запросов субъектов ПДн (на удаление, исправление, доступ).

Поэтому даже «зелёный» результат автоматического сканирования — не индульгенция от проверки с участием инспектора. Но он закрывает наиболее массовые составы, по которым пишут требования сейчас.