Бот Роскомнадзора: как автоматический мониторинг проверяет сайты в 2026 году

Бот Роскомнадзора — собирательное название автоматизированных систем мониторинга, которые ведомство применяет для проверки сайтов на соответствие Федеральному закону № 152-ФЗ «О персональных данных». Это не отдельная программа с интерфейсом, а комплекс инструментов: краулеры, парсеры, скрипты сверки с реестром операторов. Они работают круглосуточно, обходят миллионы сайтов и фиксируют нарушения — от отсутствия политики конфиденциальности до использования Google Analytics и Meta Pixel.

В публичном поле тема обрела популярность в 2023–2024 годах после официальных заявлений Роскомнадзора о расширении дистанционного контроля. С тех пор «бот РКН» прочно вошёл в обиход — этим словом обозначают любую автоматическую проверку, которую делает регулятор без визита в офис компании. По данным РКН, в 2024 году было вынесено более 3 000 постановлений о штрафах, и значительная часть из них — по результатам именно дистанционного мониторинга, без выездной проверки.

Ключевое отличие от плановой выездной проверки: оператор не знает заранее, что его сайт сейчас проверяется. Уведомления о начале мониторинга нет, согласовывать дату не нужно, представить дополнительные документы тоже невозможно. Бот фиксирует то, что видит со стороны обычного посетителя сайта — и формирует автоматический отчёт о нарушениях. Часть отчётов идёт в общую статистику, часть передаётся живому инспектору при срабатывании одного из триггеров (жалоба, утечка, тематическая проверка).

С 30 мая 2025 года (Федеральный закон № 420-ФЗ) штрафы за нарушения 152-ФЗ выросли в 5–10 раз: за одну ошибку, выявленную ботом, юрлицо может получить от 150 000 до 18 000 000 рублей. Совокупный штраф по нескольким частям ст. 13.11 КоАП легко превышает 6 млн рублей.

Запустите наш бесплатный сканер /audit — он проверяет те же параметры, что и бот РКН: политику, согласия, cookie-баннер, локализацию серверов и зарубежные трекеры. За 15 секунд вы увидите свой сайт глазами регулятора до того, как регулятор увидит вас.

Автоматизированные системы Роскомнадзора фокусируются на параметрах, которые видны без авторизации — то, что краулер может прочитать со стороны обычного посетителя. Это шесть ключевых блоков проверки.

1. Наличие политики обработки персональных данных

Бот ищет на сайте документ с заголовком «Политика обработки персональных данных» или «Политика конфиденциальности» и проверяет, доступен ли он по прямой ссылке без регистрации (требование ч. 2 ст. 18.1 152-ФЗ). Если документа нет или он спрятан в личном кабинете — это фиксируется как нарушение.

2. Чекбоксы согласия в формах

Краулер находит все формы на сайте (обратной связи, заявки, регистрации, подписки) и проверяет, есть ли под каждой чекбокс согласия. Анализируется HTML-разметка: атрибут checked у чекбокса = предзаполненная галочка = нарушение (согласие считается не полученным).

3. Cookie-баннер и согласие на cookies

Бот ждёт загрузки страницы и фиксирует, появляется ли cookie-баннер. Проверяется: текст баннера упоминает cookies, есть ли явная кнопка «Отклонить» (требование разъяснений РКН от 01.09.2023), не загружаются ли аналитические cookies до получения согласия.

4. Зарубежные трекеры и сервисы

Анализируются сетевые запросы страницы. Краулер ищет обращения к Google Analytics, Google Fonts, reCAPTCHA, Meta Pixel, Hotjar, YouTube, Google Maps и другим зарубежным сервисам. Их наличие — потенциальное нарушение требования о локализации обработки (ч. 5 ст. 18 152-ФЗ).

5. Локализация серверов

По IP-адресу домена и DNS-записям определяется география хостинга. Серверы за пределами РФ для оператора, обрабатывающего ПДн граждан России, — отдельное нарушение.

6. Сверка с реестром операторов

По ИНН организации (если он указан на сайте) или по доменному имени бот сверяется с реестром операторов персональных данных. Если организация собирает ПДн через сайт, но не подала уведомление в РКН — это фиксируется как нарушение ст. 22 152-ФЗ.

Полный технический разбор всех проверок — в нашей статье «Как проверить сайт на соответствие 152-ФЗ — чек-лист 2026».

Автомониторинг — первый фильтр. Сам по себе он редко приводит к штрафу: бот фиксирует нарушение, но решение о возбуждении дела принимает инспектор. Поэтому важно понимать, что именно переводит ваш сайт из «отметили» в «открыли производство».

Жалоба гражданина — самый частый триггер. Любой посетитель может пожаловаться через форму на сайте Роскомнадзора. Жалоба автоматически создаёт обращение, инспектор открывает дело и сверяется с данными бота. Если автомониторинг уже зафиксировал нарушения — производство идёт быстрее.

Утечка ПДн — второй по значимости триггер. При утечке оператор обязан уведомить РКН в течение 24 часов (ч. 3.1 ст. 21 152-ФЗ в ред. 589-ФЗ). После уведомления ведомство в первую очередь проверяет техническое состояние сайта — есть ли политика, как настроены формы согласия, нет ли зарубежных трекеров. Любое несоответствие учитывается при определении размера штрафа за саму утечку (590-ФЗ). При оборотном штрафе разница между минимальным и максимальным значением может составлять десятки миллионов рублей — и эта разница часто зависит именно от технического состояния сайта.

Тематические проверки отрасли запускаются 2–3 раза в год. Например, в 2024 году под расширенный мониторинг попадали маркетплейсы и медицинские клиники, в 2025 — образовательные платформы и сервисы доставки. Бот собирает данные по сотням сайтов одновременно, инспекторы разбирают выборку с наибольшим числом нарушений.

Google Analytics и Meta Pixel — отдельный приоритет регулятора. С 2022 года РКН целенаправленно борется с трансграничной передачей ПДн без правового основания. Наличие GA на сайте + жалоба = почти гарантированное производство по ч. 8 ст. 13.11 КоАП (штраф до 6 млн рублей).

Подробнее о подготовке к проверке после срабатывания триггера — в нашем гиде «Подготовка к проверке Роскомнадзора».

В дискуссиях про автомониторинг периодически всплывает термин «бот ФСТЭК». Сразу разочаруем (или обрадуем) — такого бота для публичной проверки сайтов на соответствие 152-ФЗ не существует.

Разделение зон ответственности между регуляторами в области персональных данных:

• Роскомнадзор — контролирует обработку ПДн в целом: законность сбора, согласия субъектов, политики, реестр операторов, локализацию, трансграничную передачу. Именно РКН ведёт автомониторинг сайтов.
• ФСТЭК России — отвечает за техническую защиту информационных систем персональных данных (ИСПДн). Это Приказ ФСТЭК № 21 для коммерческих операторов и Приказ ФСТЭК № 117 для ГИС (с 01.10.2024 заменил Приказ №17). Сертификация средств защиты, аттестация ИСПДн, модель угроз — это ФСТЭК.
• ФСБ — криптография и СКЗИ.

ФСТЭК проверяет лицензиатов и операторов в плановом порядке через выездные мероприятия — никакого публичного бота, обходящего сайты, у ведомства нет. Если в выдаче поиска встречается «бот ФСТЭК» — это либо путаница в общественном дискурсе, либо разговорное обозначение того же РКН-мониторинга.

Если вы — субъект КИИ или работаете с ГИС, обязательства перед ФСТЭК всё равно нужно выполнять: аттестация ИСПДн, модель угроз, сертифицированные средства защиты. Но это отдельная история от автомониторинга сайтов.

Бот РКН проверяет ограниченный набор параметров. Если закрыть все 12 пунктов ниже — автоматическая система найдёт нарушений минимум, а живой инспектор без жалобы не получит повода для производства.

1. Опубликуйте политику обработки персональных данных. Документ должен содержать обязательные сведения по ст. 18.1 152-ФЗ и ПП РФ № 1119. Скачайте шаблон в конструкторе.

2. Разместите ссылку на политику в подвале сайта. На каждой странице — не только на главной. Бот проверяет доступность по прямой ссылке с любого URL.

3. Подайте уведомление в Роскомнадзор. Если ваша организация ещё не в реестре операторов ПДн — подайте уведомление через портал РКН до начала обработки. Штраф за отсутствие — до 300 000 ₽ (ч. 10 ст. 13.11 КоАП).

4. Проверьте регистрацию в реестре. Используйте наш инструмент проверки уведомления — по ИНН за 5 секунд.

5. Добавьте чекбоксы согласия на все формы. Не предзаполненные. С активной ссылкой на политику. Текст чекбокса — в образце согласия для сайта.

6. Уберите Google Analytics и зарубежные трекеры. Замените на Яндекс Метрику, Яндекс SmartCaptcha, VK Pixel, локальные шрифты. Штраф за нарушение локализации — до 6 000 000 ₽ (ч. 8 ст. 13.11 КоАП).

7. Установите cookie-баннер с кнопкой «Отклонить». Баннер должен появляться при первом визите. До получения согласия аналитические cookies устанавливать нельзя.

8. Перенесите хостинг в Россию. Первичная обработка ПДн граждан РФ — на серверах в России (ч. 5 ст. 18 152-ФЗ). Проверьте геолокацию вашего хостинга.

9. Включите HTTPS на всех страницах. Отсутствие SSL-сертификата — нарушение ст. 19 152-ФЗ (обеспечение безопасности). Бесплатные сертификаты выдают Let's Encrypt и большинство хостингов.

10. Укажите контакты ответственного за обработку ПДн. Внутри политики: ФИО или должность, email или телефон для обращений субъектов.

11. Реализуйте механизм отзыва согласия. Форма или email для отзыва. Срок реакции — 30 дней (ст. 9 152-ФЗ).

12. Подготовьте внутренние документы. Положение об обработке ПДн, приказ о назначении ответственного, модель угроз, акт оценки вреда. Все 90+ шаблонов — в конструкторе документов.

Хотите проверить состояние сайта по всем 12 пунктам за 15 секунд? Запустите бесплатный сканер /audit — он работает по тем же параметрам, что и бот РКН.

С 30 мая 2025 года (Федеральный закон № 420-ФЗ) штрафы по ст. 13.11 КоАП РФ выросли в 5–10 раз. Это значит, что нарушение, выявленное ботом РКН, обойдётся в десятки раз дороже, чем в 2023–2024 годах. Актуальные суммы для юридических лиц:

• Отсутствие политики обработки ПДн на сайте — от 60 000 до 150 000 ₽ (ч. 3 ст. 13.11 КоАП)
• Обработка ПДн без согласия или с нарушением требований к согласию — от 300 000 до 700 000 ₽ (ч. 2)
• Неуведомление Роскомнадзора об обработке ПДн — до 300 000 ₽ (ч. 10)
• Невыполнение требований субъекта ПДн (отказ удалить, не ответить на запрос) — до 90 000 ₽ (ч. 5)
• Нарушение требований локализации (зарубежные трекеры, серверы за рубежом) — от 1 000 000 до 6 000 000 ₽ (ч. 8)
• Повторное нарушение локализации — от 6 000 000 до 18 000 000 ₽ (ч. 9)

За утечку персональных данных действует отдельный режим оборотных штрафов (589-ФЗ от 30.11.2024): от 1% до 3% годовой выручки, но не менее 20 000 000 ₽ и не более 500 000 000 ₽. Для утечек в особо крупных размерах введена уголовная ответственность по ст. 272.1 УК РФ.

Что важно понимать: если бот зафиксировал у вас три нарушения одновременно (нет политики, есть GA, не подано уведомление) — штрафы не выбирают, а складываются. Реальный кейс: интернет-магазин получил совокупно 6,2 млн ₽ за GA + отсутствие cookie-баннера + просрочку с уведомлением о смене целей обработки.

Рассчитайте потенциальный штраф для вашего конкретного набора нарушений в калькуляторе штрафов 152-ФЗ. Полная таблица сумм с учётом 420-ФЗ — в таблице штрафов.

Если вы дочитали до этого места — значит, тема актуальна для вашего сайта. Вот короткий план действий на ближайшие 24 часа.

Шаг 1. Запустите автоматическую проверку сайта. Перейдите в бесплатный сканер /audit, введите URL сайта. За 15 секунд вы увидите те же нарушения, что зафиксировал бы бот РКН: политика, согласия, cookies, трекеры, локализация, реестр.

Шаг 2. Зафиксируйте критические нарушения. В отчёте сканера красным выделены критические пункты — те, что дают штрафы от миллиона. Обычно это: Google Analytics или Meta Pixel + отсутствие политики + неподанное уведомление.

Шаг 3. Создайте недостающие документы. Политика, согласия, положение, приказы — в конструкторе документов за 15 минут. Все шаблоны учитывают редакцию 420-ФЗ и 589-ФЗ 2025 года.

Шаг 4. Замените зарубежные трекеры. Google Analytics → Яндекс Метрика, reCAPTCHA → SmartCaptcha, Meta Pixel → VK Pixel, Google Fonts → локальные. Это самая дорогая категория нарушений — закройте её в первую очередь.

Шаг 5. Подайте уведомление в РКН. Если организация ещё не в реестре операторов — заполните уведомление об обработке ПДн. Срок — до начала обработки, но лучше подать сейчас, чем после жалобы.

Шаг 6. Запустите повторную проверку. Через неделю-две после исправлений запустите наш сканер снова. Если все пункты зелёные — бот РКН на вашем сайте нарушений не найдёт.

Готовый комплект: что входит в Кибероснова Документы

На платформе 152fz.cyberosnova.ru собрано всё, что закрывает требования автомониторинга РКН в одном месте:

• Бесплатный сканер сайта — 25+ проверок за 15 секунд, отчёт с указанием статьи КоАП и суммы штрафа по каждому нарушению
• Конструктор 90+ документов — политика обработки ПДн, согласия для сайта, положение об обработке, приказы о назначении ответственного, модель угроз. Все шаблоны актуализированы под 420-ФЗ и 589-ФЗ
• Проверка реестра операторов — по ИНН за 5 секунд узнаёте, подано ли уведомление и актуально ли оно
• Калькулятор штрафов — рассчитайте потенциальную сумму для конкретного набора нарушений до того, как их обнаружит регулятор
• Ручной аудит специалистом — для крупных операторов с большими объёмами ПДн, договорами на обработку и трансграничной передачей

Если ваша организация не в реестре РКН или обрабатывает чувствительные данные (медицина, финансы, дети) — рекомендуем заказать аудит специалистом. Включает проверку всех страниц сайта, текста политики по 12 разделам ст. 18.1, договоров с обработчиками и подготовку пошагового плана защиты с приоритетами по риску.

Сравнение способов защиты сайта от автомониторинга

Чем Кибероснова отличается

• 6 регуляторных областей в одной подписке — 152-ФЗ, ФСТЭК Приказы №21, №117, №239, ПП РФ №1119, 187-ФЗ. Конкуренты (b-152, 152doc) — только 152-ФЗ.
• Сканер /audit использует те же проверки, что бот РКН — 25+ автоматических проверок (политика, согласия, cookies, трекеры, регистрация в РКН).
• Единый цикл «обнаружить → закрыть» — сканер показывает нарушения, конструктор сразу генерирует документы для их устранения.
• Multi-org — один аккаунт работает на все юрлица холдинга.