·6 мин чтения·обновлено 1 мая 2026 г.

РКН запустил бот-сканер сайтов в 2026: что делать прямо сейчас

С марта 2026 Роскомнадзор автоматически сканирует сайты в зонах .ru, .рф и .su, ищет нарушения 152-ФЗ и выписывает требования. Разбираем, как работает бот, какие сайты под ударом и как проверить себя за 60 секунд.

Автор: compliance-команда сервиса
Иллюстрация бот-сканера РКН: чёрный паук с надписью «РКН» сканирует сайт лазерным лучом, статус «АКТИВЕН», найдено 23 нарушения, риск блокировки высокий — 2026 год
Бот-сканер РКН сверяет сайт с обязательными требованиями 152-ФЗ за минуты. Подготовиться лучше до того, как требование пришло на ваше юрлицо.

В конце марта 2026 Управление Роскомнадзора по Ульяновской области выдало первое массовое требование, оформленное по результатам автоматического анализа сайта — без участия человека-инспектора. С этого момента в рунете началась волна аналогичных требований из региональных управлений РКН.

Происходящее СМИ и Telegram-каналы юристов уже окрестили «бот РКН». Технически это автоматический сканер, который обходит сайты в зонах .ru, .рф, .su и сверяет их с обязательными требованиями 152-ФЗ «О персональных данных».

Как работает бот Роскомнадзора

В отличие от плановых проверок, которые согласовываются заранее и идут с участием оператора, новый формат — контрольное (надзорное) мероприятие без взаимодействия с контролируемым лицом. Это понятие закреплено в постановлении Правительства РФ от 29.06.2021 № 1046 и фактически освобождает РКН от необходимости предупреждать владельца сайта.

Сценарий выглядит так:

  1. Бот находит сайт по доменной зоне (.ru/.рф/.su) и базе агрегаторов.
  2. Сканирует публичные страницы: формы, политика конфиденциальности, оферта, cookies-баннер, подключённые сторонние скрипты.
  3. Сверяет найденное с типовыми требованиями: реестр операторов, 12 пунктов политики, наличие согласий, локализация серверов, маркировка рекламы.
  4. Формирует акт о выявленных нарушениях — реальный юридический документ, который потом отправляется на ваше юрлицо.
  5. Параллельно возбуждается дело об административном правонарушении по ст. 13.11 КоАП РФ или ст. 19.7 КоАП РФ (если сведения не предоставлены вовремя).

В первой партии требований, которая разошлась по СМИ, фигурируют два состава: распространение фотоизображений сотрудников без согласия субъекта ПДн и непредставление сведений в РКН о факте обработки персональных данных в установленный срок.

Какие штрафы получит сайт

В пределах 152-ФЗ сейчас действуют новые повышенные штрафы (редакция от 2024 года):

СоставШтраф для юрлиц
Обработка ПД без согласия (ч. 2 ст. 13.11)до 700 000 ₽ за случай
Невыполнение требований к политике конфиденциальности (ч. 3 ст. 13.11)до 60 000 ₽
Несоблюдение локализации (ч. 8 ст. 13.11)до 6 000 000 ₽, повторно — до 18 000 000 ₽
Утечка ПД (ст. 13.11 в новой редакции)до 15 000 000 ₽ за инцидент
Непредставление сведений в РКН (ст. 19.7)до 5 000 ₽ + повторное требование = новое дело

К этому добавляются параллельные составы из ФЗ-38 «О рекламе» (отсутствие токена erid, маркировки) и ЗоЗПП (нет реквизитов продавца, оферты, информации о возврате) — они тоже фиксируются ботом, потому что технически это просто наличие/отсутствие блока на странице.

Кто под ударом в первую очередь

По наблюдениям юристов в первой волне требований оказались сайты:

  • интернет-магазинов с формами «Купить в один клик» без галочки согласия;
  • сервисов записи и онлайн-расписаний (фитнес, медицина, образование) с фотогалереями сотрудников;
  • корпоративных сайтов с разделом «Команда» / «О нас» — фото без письменного согласия субъекта ПДн;
  • сайтов на популярных конструкторах с дефолтным cookie-баннером, не настроенным под 152-ФЗ;
  • сайтов с подключённым Google Analytics, Google Tag Manager, Hotjar, FullStory — без уведомления о трансграничной передаче.

Никаких особенных «триггеров» в смысле выручки или известности компании бот не учитывает — он индексирует всё подряд, поэтому вероятность попасть под автоматическое требование зависит не от размера бизнеса, а от того, как именно сделан сайт.

10 дней на исправление — это много или мало

После получения требования у оператора есть 10 рабочих дней, чтобы:

  1. подать в реестр операторов ПДн (если ещё не подан) — заявление через rkn.gov.ru;
  2. привести политику конфиденциальности в соответствие с 12 обязательными пунктами 152-ФЗ;
  3. добавить чекбоксы согласия в каждую форму, которая собирает ПД;
  4. получить письменные согласия сотрудников на размещение их фото или убрать фото;
  5. отозвать или корректно оформить трансграничную передачу (если есть GA/GTM);
  6. отправить в РКН пакет подтверждающих документов через защищённый канал.

10 дней — это минимум, который реалистичен для сайта-визитки. Для крупного интернет-магазина с десятками форм и подключённой аналитикой это может растянуться на месяц, и тогда уже возбуждается повторное дело — теперь по ст. 13.11 КоАП РФ, со штрафом до 90 000 ₽ за каждый состав.

Что делать, если требования ещё не было

Самый прагматичный сценарий — провести самостоятельный аудит до того, как сайт попал в очередь на сканирование. Это даёт время спокойно собрать документы, согласовать тексты с юристом и подать сведения в реестр операторов добровольно — что снимает несколько составов одним действием.

Технически последовательность выглядит так:

  1. Запустите по сайту проверку — внутренним чек-листом или сторонним сканером.
  2. Зафиксируйте список нарушений по приоритетам (critical / important / recommended).
  3. Закройте критические за неделю — реестр операторов, политика, согласия, удаление запрещённых сервисов.
  4. Запустите мониторинг изменений в законодательстве и регулярные пересканы.

Источники

  • 152-ФЗ «О персональных данных» — Консультант
  • Постановление Правительства РФ от 29.06.2021 № 1046 (Положение о федеральном государственном контроле в сфере ПДн) — government.ru
  • ст. 13.11 КоАП РФ (новая редакция 2024) — Консультант
  • Реестр операторов ПДн — rkn.gov.ru
#РКН#152-ФЗ#штрафы 2026#новости