С 2025 года Роскомнадзор применяет автоматизированный мониторинг соблюдения 152-ФЗ в интернете (АС МПДн) — риск-ориентированный, в приоритете сферы с наибольшим числом жалоб (финансы, торговля, образование, ЖКХ). Ниже — чек-лист из 14 типовых нарушений Федерального закона №152-ФЗ «О персональных данных», которые проверяет наш сканер и которые чаще всего выявляются при автоматической проверке: отсутствие политики обработки ПДн на сайте, неполная политика без 6 обязательных разделов ст.18.1, отсутствие или некорректная форма согласия субъекта, предустановленная галочка согласия (вопреки ст.9), сбор ПДн без правового основания, неправильный cookie-баннер без opt-in, трансграничная передача через Google Analytics или Meta Pixel без уведомления, отсутствие сайта в реестре операторов и другие. По каждому пункту — норма Федерального закона №152-ФЗ, размер штрафа по статье 13.11 КоАП РФ в редакции 420-ФЗ от 30 ноября 2024 года и инструкция по исправлению. «Список из 14 нарушений» — это методология нашего сканера, а не отдельный нормативный перечень. Источники: pravo.gov.ru, rkn.gov.ru, КоАП РФ, КонсультантПлюс.

Проверьте свой сайт на все 14 нарушений за 30 секунд — бесплатно

Сайт школы или СПО? Структуру сайта образовательной организации задаёт Приказ Рособрнадзора №1493 от 04.08.2023 (действует с 01.09.2024; часть изменений — с 01.03.2026): раздел /sveden/, версия для слабовидящих и др. Это параллельный надзор Рособрнадзора; за нарушение требований к информационной открытости — штраф по ст.19.30 КоАП (для юрлиц 100 000–200 000 ₽).

Контекст: что изменилось в 2025–2026 годах

Три ключевых нормативных изменения повысили требования к сайтам:

Подробнее о штрафах — в статье «Штрафы РКН за персональные данные в 2026». О работе самой системы — в материале «Бот РКН: как работает автоматическая проверка сайтов».

Нарушение №1. Отсутствие сайта в реестре операторов ПДн

Норма: часть 1 статьи 22 152-ФЗ — оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки.

Штраф: часть 10 статьи 13.11 КоАП РФ — 100 000–300 000 ₽ для юридических лиц и ИП, 30 000–50 000 ₽ для должностных лиц.

Как бот это видит: сравнивает домен и реквизиты сайта с базой реестра pd.rkn.gov.ru. Если организация-владелец сайта в реестре отсутствует — фиксирует нарушение.

Как исправить:

  1. Зайдите на pd.rkn.gov.ru/operators-registry/notification/form/ через Госуслуги (ЕСИА).
  2. Заполните уведомление: реквизиты оператора, цели обработки, категории субъектов и ПДн, способы обработки, меры безопасности, ФИО ответственного.
  3. Подпишите КЭП руководителя (для юрлица) или ИП.
  4. Отправьте. Срок рассмотрения — 10 рабочих дней.
  5. После регистрации получите регистрационный номер вида XX-XX-XXXXXX.

Подробная инструкция — «Как уведомить Роскомнадзор: пошаговая инструкция 2026».

Нарушение №2. Загрузка трекеров до согласия пользователя

Норма: статья 6 152-ФЗ — обработка персональных данных допускается с согласия субъекта. Cookie и идентификаторы трекеров считаются ПДн (часть 1 статьи 3).

Штраф: часть 2 статьи 13.11 КоАП — 300 000–700 000 ₽ для юрлиц при сборе без согласия. При утечке этих данных — до 15 млн ₽ (части 12–14 ст.13.11).

Как бот это видит: анализирует сетевые запросы в первые секунды загрузки страницы. Если до взаимодействия пользователя уходят запросы к metrika.yandex.ru, mc.yandex.ru, GTM, VK Pixel, AdRiver или другим из 30+ распознаваемых трекеров — это нарушение.

Как исправить:

  1. Удалите со страницы прямую загрузку скриптов аналитики и рекламы в <head>.
  2. Установите cookie-баннер с opt-in: пока пользователь не нажал «Принять» — трекеры не должны грузиться.
  3. После согласия динамически добавляйте <script src="..."> в DOM.
  4. Сохраняйте состояние согласия в localStorage с TTL ≤ 1 год — повторно не спрашивать.
  5. Дайте симметричную кнопку «Отклонить» — иначе РКН считает согласие невалидным.

См. также: «Cookie-баннер opt-in: правильная реализация по 152-ФЗ».

Нарушение №3. Использование Google Analytics

Норма: статья 12 152-ФЗ. Трансграничная передача ПДн в страны без адекватной защиты (США в перечне адекватных стран, утверждённом приказом РКН №128 от 05.08.2022, нет) допускается только при наличии оснований и уведомления РКН до начала передачи. Кроме того, хранение данных россиян на зарубежных серверах нарушает требование локализации (ч.5 ст.18 152-ФЗ).

Штраф: за неуведомление о трансграничной передаче — по ст.19.7 / ч.10 ст.13.11 КоАП (для юрлиц до 300 000 ₽). За нарушение локализации (ч.8 ст.13.11) — 1 000 000–6 000 000 ₽, при повторе (ч.9) — 6 000 000–18 000 000 ₽.

Как бот это видит: обнаруживает запросы к google-analytics.com, googletagmanager.com, doubleclick.net и связанным доменам.

Как исправить:

  1. Удалите Google Analytics / Google Tag Manager со всех страниц сайта.
  2. Замените на Яндекс.Метрику — серверы в РФ, для целей веб-аналитики этого достаточно.
  3. Если использовали GTM как контейнер для не-аналитических скриптов (чаты, формы) — установите Russian-свободные альтернативы.
  4. В политике обработки ПДн в разделе «Передача третьим лицам» удалите упоминание Google.
  5. Уведомите РКН об изменении состава трансграничной передачи (если ранее уведомляли).

См. также: «Трансграничная передача персональных данных».

Нарушение №4. Отсутствие политики обработки ПДн

Норма: часть 2 статьи 18.1 152-ФЗ — оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к политике в отношении обработки персональных данных.

Штраф: часть 3 статьи 13.11 КоАП — 30 000–60 000 ₽ для юрлиц.

Как бот это видит: ищет в футере и <head> сайта ссылки с anchor-текстом «политика», «персональные данные», «privacy» — и если их нет или они ведут в никуда, фиксирует нарушение.

Как исправить:

  1. Подготовьте политику обработки ПДн с 6 обязательными разделами по статье 18.1 — см. «Политика обработки ПДн: образец 2026».
  2. Разместите её по постоянному URL — например, /privacy/ или /personal-data/.
  3. Добавьте ссылку «Политика обработки персональных данных» в футер каждой страницы.
  4. Убедитесь, что страница доступна без авторизации и индексируется поисковиками.
  5. Не используйте PDF — только HTML, иначе РКН-бот не сможет проверить содержание.

Нарушение №5. Отсутствие cookie-баннера

Норма: статья 6 + статья 9 152-ФЗ — cookie и идентификаторы, по которым возможна идентификация субъекта, являются персональными данными. Их обработка требует согласия (ст. 9), а согласие должно быть выражено активным действием (ст. 6).

Штраф: часть 2 статьи 13.11 КоАП — 300 000–700 000 ₽ для юрлиц.

Как бот это видит: загружает страницу в режиме первого визита (без cookie), ждёт 5 секунд и проверяет наличие модального окна / баннера / overlay-элемента с упоминанием cookie.

Как исправить:

  1. Установите cookie-баннер, появляющийся при первом визите.
  2. Баннер должен иметь две симметричные кнопки: «Принять» и «Отклонить».
  3. Запрещено отображать только «Принять» — это считается принуждением к согласию.
  4. До нажатия — никаких сторонних скриптов аналитики и рекламы (см. нарушение №2).
  5. Состояние сохраняется в localStorage / cookie на 365 дней; повторно не показывать.

Готовый JS-сниппет cookie-баннера — в нашем комплекте документов за 4 990 ₽.

Нарушение №6. Форма без чекбокса согласия

Норма: часть 4 статьи 9 152-ФЗ (в редакции от 01.09.2025) — согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Активное действие — постановка галочки в неотмеченном по умолчанию чекбоксе.

Штраф: часть 2 статьи 13.11 КоАП — 300 000 — 700 000 ₽ для юрлиц при первичном нарушении, до 1 500 000 ₽ при повторе.

Как бот это видит: находит формы (<form>, <input type="email">, <input type="tel">) и проверяет наличие чекбокса согласия в той же форме.

Как исправить:

  1. Добавьте чекбокс <input type="checkbox" name="consent_pdn" required> рядом с кнопкой отправки.
  2. Чекбокс не должен быть отмечен по умолчанию (без атрибута checked).
  3. Текст рядом: «Я согласен(на) с обработкой моих персональных данных в соответствии с [Политикой]».
  4. Кнопка «Отправить» должна быть disabled, пока чекбокс не отмечен (через JavaScript).
  5. Логируйте на сервере факт согласия — IP, время, версию политики — на 3 года для доказательств.

См. подробнее: «Согласие на обработку ПДн: образец 2026».

Нарушение №7. Предустановленный чекбокс согласия

Норма: часть 4 статьи 9 152-ФЗ — согласие должно быть выражено активным действием субъекта. Предотмеченный по умолчанию чекбокс не считается выражением воли и не подтверждает согласия в случае спора с регулятором или субъектом.

Штраф: часть 2 статьи 13.11 КоАП — до 700 000 ₽ для юрлиц.

Как бот это видит: парсит HTML формы, проверяет атрибут checked у чекбоксов согласия. Также через headless-браузер проверяет состояние .checked после загрузки страницы (учитывает JS, выставляющий галочку программно).

Как исправить:

  1. Уберите атрибут checked из <input type="checkbox"> в HTML.
  2. Если состояние выставляется через JavaScript — найдите код, удалите присваивание .checked = true.
  3. Используйте бекап-проверку на сервере: отклоняйте отправку формы, если consent != "true".
  4. Проверьте все формы сайта: контактная, заявка, регистрация, подписка, доставка.

Подробный разбор — «Предустановленная галочка согласия — почему это нарушение».

Нарушение №8. Чекбокс согласия без явного текста

Норма: часть 4 статьи 9 152-ФЗ — согласие должно быть информированным: пользователь должен понимать, на что именно он соглашается. Текст рядом с чекбоксом обязан прямо упоминать обработку персональных данных.

Штраф: часть 2 статьи 13.11 КоАП — 300 000–700 000 ₽ для юрлиц.

Как бот это видит: извлекает текст вокруг чекбокса (<label>, соседние <span>/<p>) и проверяет наличие ключевых слов: «согласие», «обработка», «персональные данные», «политика».

Как исправить:

  1. Перепишите текст рядом с чекбоксом, явно упомянув: согласие, обработку, ПДн.
  2. Образец: «Согласен с обработкой моих персональных данных согласно Политике».
  3. Не объединяйте с подпиской на маркетинг — это отдельный чекбокс.
  4. Сделайте слово «Политикой» гиперссылкой на /privacy/.

Нарушение №9. Чекбокс без ссылки на политику

Норма: часть 4 статьи 9 152-ФЗ — информированное согласие требует, чтобы субъект мог ознакомиться с условиями обработки до его выражения. Кликабельная ссылка на политику обязательна.

Штраф: часть 3 статьи 13.11 КоАП — 30 000–60 000 ₽ для юрлиц.

Как бот это видит: проверяет, есть ли в тексте около чекбокса элемент <a href="..."> с anchor-текстом «политика».

Как исправить:

  1. Найдите чекбокс согласия в форме и добавьте рядом <a href="/privacy/">Политика</a>.
  2. Ссылка должна открываться в новой вкладке (target="_blank") — пользователь не теряет данные формы.
  3. Цвет ссылки должен явно отличаться от обычного текста.

Нарушение №10. Политика недоступна (404 / PDF / редирект)

Норма: часть 2 статьи 18.1 152-ФЗ — политика должна быть доступна по прямой ссылке. PDF / 404 / редирект на главную не считаются публикацией.

Штраф: часть 3 статьи 13.11 КоАП — 30 000–60 000 ₽ для юрлиц.

Как бот это видит: переходит по ссылке «Политика» из футера, проверяет HTTP-статус (должен быть 200), content-type (должен быть text/html, не application/pdf), длину текста (≥ 5 000 символов).

Как исправить:

  1. Откройте URL политики в режиме инкогнито — должна показываться полная HTML-страница, не 404.
  2. Проверьте: статус 200, не PDF, длина текста ≥ 5 000 символов.
  3. Если используется CDN или защита от ботов — добавьте /privacy/ в whitelist.
  4. PDF замените на HTML-версию.

Нарушение №11. Политика без 6 обязательных разделов ст. 18.1

Норма: часть 2 статьи 18.1 152-ФЗ — политика должна определять политику оператора в отношении обработки персональных данных. Сложившаяся практика РКН включает в политику 6 элементов: общие положения, цели обработки, правовые основания, объём и категории ПДн и субъектов, порядок и условия обработки, права субъекта.

Штраф: часть 3 статьи 13.11 КоАП — 30 000–60 000 ₽ для юрлиц.

Как бот это видит: анализирует текст политики через регулярные выражения и эвристики, ищет заголовки и формулировки 6 разделов.

Как исправить:

  1. Откройте текущую политику и проверьте наличие всех 6 разделов.
  2. Допишите недостающие — какие именно отсутствуют, покажет наш бесплатный сканер.
  3. Не копируйте формулировки конкурентов слово-в-слово — РКН распознаёт типовые шаблоны и проверяет соответствие реальной обработке.
  4. Дату вступления в силу обновите — это сигнал, что документ актуален.

Полностью готовый шаблон с адаптацией под ваши формы — в платном комплекте за 4 990 ₽.

Нарушение №12. Ссылка ведёт не на политику

Норма: часть 2 статьи 18.1 152-ФЗ — ссылка с anchor text «Политика» должна вести на документ, реально являющийся политикой обработки ПДн, а не на 404 или другой раздел сайта.

Штраф: часть 3 статьи 13.11 КоАП — 30 000–60 000 ₽ для юрлиц.

Как бот это видит: скачивает страницу, на которую ведёт ссылка «Политика», ищет в тексте обязательные маркеры: «персональные данные», «оператор», «обработка», ссылки на 152-ФЗ.

Как исправить:

  1. Проверьте, куда ведёт ссылка из футера «Политика» — она ведёт на ваш реальный документ?
  2. Если нет — обновите href на правильный URL.
  3. Если правильного документа нет — создайте его (используйте наш шаблон).

Нарушение №13. Расхождение политики и фактических форм

Норма: часть 2 статьи 18.1 152-ФЗ — политика обязана точно описывать категории и объём фактически обрабатываемых персональных данных. Расхождение между формами на сайте и тем, что указано в политике, — нарушение, выявляемое РКН-ботом автоматически.

Штраф: часть 3 статьи 13.11 КоАП — 30 000–60 000 ₽ для юрлиц.

Как бот это видит: парсит формы (поля name, placeholder, type) и сравнивает с разделом «Объём и категории ПДн» в политике. Если форма собирает email, а политика email не упоминает — нарушение.

Как исправить:

  1. Откройте раздел политики «Объём и категории ПДн» — он должен включать все типы данных, которые собирают формы на сайте.
  2. Сравните с категориями, найденными нашим сканером (см. таблицу в платном отчёте).
  3. Допишите недостающие категории дословно — например: «номер контактного телефона», «адрес электронной почты».
  4. Если форма собирает данные сотрудников — добавьте их в раздел «Категории субъектов».

Нарушение №14. Расхождение реестра РКН и фактических данных сайта

Норма: часть 3 статьи 22 152-ФЗ — уведомление, поданное оператором в Роскомнадзор, должно точно отражать фактическую обработку. При изменении состава категорий ПДн или целей обработки оператор обязан подать уточнённое уведомление в течение 10 рабочих дней.

Штраф: оператор обязан поддерживать сведения в реестре актуальными — при изменении состава данных или целей подать уточнённое уведомление; нарушение влечёт ответственность по ст.13.11 КоАП РФ.

Как бот это видит: при наличии ИНН на сайте (или по обратной DNS-записи) находит запись в реестре операторов, извлекает заявленные категории ПДн, целей и субъектов, сравнивает с фактическими данными форм.

Как исправить:

  1. Зайдите в личный кабинет оператора на pd.rkn.gov.ru.
  2. Найдите вашу запись в реестре — проверьте раздел «Категории ПДн».
  3. Если состав не совпадает с тем, что собирают формы (см. наш отчёт) — подайте информационное письмо об изменении.
  4. Срок — 10 рабочих дней с момента изменения, иначе штраф.

См. также: «Реестр операторов РКН: как проверить себя по ИНН».

Что делать дальше

Эти 14 типов нарушений — то, что Роскомнадзор находит автоматически, до того как кейс попадёт к инспектору. После автоматического срабатывания бот передаёт кейс сотруднику территориального РКН для ручной проверки и оформления предписания. На устранение даётся 10 рабочих дней; если не успеть — штраф фиксируется.

Прагматичная последовательность действий:

  1. Запустите бесплатный скан — посмотрите, какие из 14 нарушений уже есть у вас на сайте: rkn-ok.ru.
  2. Получите подробный отчёт за 99 ₽ — с цитатами норм, шагами исправления и сводным чек-листом.
  3. Внедрите комплект документов за 4 990 ₽ — политика, согласие, cookie-баннер и инструкция в РКН под ваши реквизиты из реестра.
  4. Через 14 дней повторите сканирование — все нарушения должны исчезнуть.

→ Проверить сайт на 14 нарушений за 30 секунд (бесплатно)

Источники: Федеральный закон №152-ФЗ, статья 13.11 КоАП РФ, 420-ФЗ от 30.11.2024, портал персональных данных pd.rkn.gov.ru.