АС МПДн (Автоматизированная система мониторинга персональных данных) — это, по сути, «цифровой инспектор» Роскомнадзора. С 30 мая 2025 года она заменила выездные проверки и работает без участия человека, сканируя HTML-код, JS-запросы и cookie-файлы .

Ниже — подробная разбивка того, что именно ищет нейросеть и за что выписывает «письма счастья».

### 1. Cookie-баннер и трекеры

Система проверяет, не нарушает ли ваш баннер право пользователя на отказ от слежки.

- **Наличие явного согласия:** Баннер должен быть. Автомат фиксирует нарушение, если трекеры (счетчики) загружаются **до** того, как пользователь нажал «Согласен» .
- **Запрет на предустановленные галочки:** Нельзя, чтобы галочка «Я согласен» стояла по умолчанию. Это считается как «принудительное согласие» .
- **Доступность отказа:** Должна быть кнопка «Отказаться» или понятный механизм отключения всех необязательных файлов .

### 2. Иностранные скрипты и трансграничная передача

Один из самых жестких блоков проверки. РКН считает передачу IP-адреса на сервера Google или других зарубежных компаний трансграничной передачей данных .

- **Обнаружение скриптов:** Система ищет в коде `fonts.googleapis.com`, `googletagmanager.com`, `www.google-analytics.com` и аналоги.
- **Последствия:** Если сайт использует Google Fonts или Analytics без локального хостинга и без уведомления РКН о трансграничной передаче, это прямое нарушение .
- **Ip-адреса:** Даже если скрипт лежит на российском CDN, но DNS-запрос уходит в США, система может засчитать нарушение .

### 3. Формы сбора персональных данных

Обратите внимание на форму заявки, подписки или регистрации — каждая строчка важна .

- **Отдельное согласие:** Под формой должен быть **отдельный** чек-бокс (галочка) с текстом о согласии на обработку ПДн. Нельзя совмещать его с согласием на рассылку или оферту .
- **Ссылка на Политику:** Рядом с галочкой обязательно должна быть активная ссылка на документ «Политика обработки персональных данных» (открывается в новой вкладке) .

### 4. Политика обработки ПДн

Программа проверяет не только наличие этого документа, но и его содержимое .

- **Доступность:** Клик до документа должен быть не более чем за 2 клика. Ссылка должна быть в футере (подвале) сайта .
- **Содержание:** Автомат ищет обязательные разделы (11 пунктов по 152-ФЗ), например: цели сбора, категории данных, сроки хранения. Если политика в формате PDF, а не в HTML, бот может не распарсить текст и выдать ошибку .
- **Дата:** Дата версии документа должна быть актуальной .

### 5. Реквизиты оператора

Роскомнадзор требует, чтобы на сайте были прописаны конкретные юридические данные .

- **Кто оператор:** Полное наименование юрлица или ИП.
- **Номер в реестре:** Номер ИСПДн (информационной системы персональных данных), который выдается при уведомлении РКН.

### Главная особенность проверки (Техническая)

АС МПДн симулирует поведение обычного пользователя в режиме **инкогнито/чистого кэша**.

- Она заходит на сайт так, как будто видит его впервые в жизни .
- Поэтому часто ловит ошибку «Спрятанный баннер» — если ваш баннер показывается только один раз и пропадает навсегда, бот его просто не увидит (ему баннер уже никто не покажет) и выпишет штраф .

### Что происходит, когда нашли нарушение?

Система фиксирует скриншот страницы и формирует **электронный протокол**. Согласно ст. 26.2 КоАП РФ, этого уже достаточно для возбуждения дела .

**Типичные штрафы:**

- За проблемы с cookies и баннером — до 300 000 руб.
- За нарушения в формах (нет галочки) — до 100 000 руб.
- За иностранные скрипты (трансграничка) — до 500 000 руб.
- За отсутствие политики или реквизитов — до 150 000 руб.

=======================================================================

Источник информации:

https://antishtraf.ru/blog/audit-sayta-152-fz/

1. Что такое АС МПДн и на каком основании работает
   Ст. 18.1, ч. 5 ФЗ‑152 (в редакции 30.05.2025) даёт РКН право на «автоматизированную проверку публичных информационных систем».
   Приказ Минцифры № 256/2025 утвердил регламент: сканируется HTML‑код, JS‑запросы, cookie‑файлы, ответы сервера.
   Сведения о нарушении фиксируются протоколом в электронную базу РКН — это уже «достаточное доказательство» для административного дела (ст. 26.2 КоАП РФ).
2. Что ищет система — чек точек риска
   Компонент

Что именно проверяют

Нарушение → штраф

Cookie‑баннер

Есть ли явное согласие, нет ли галочки «по умолчанию»

ч. 15 ст. 13.11 — до 300 000 ₽

Формы сбора

Отдельный чек‑бокс согласия, линк на Политику ПДн

ч. 1 ст. 13.11 — до 100 000 ₽

Иностранные скрипты

Google Fonts, GA, Tag Manager с загрузкой IP

ч. 5 ст. 13.11 (трансграничка) — до 500 000 ₽

Политика ПДн

Доступ ≤ 2 кликов, разделы 1‑11, актуальная дата

ч. 2 ст. 13.11 — до 150 000 ₽

Уведомление оператора

Ссылка «Оператор: ООО…», номер ИСПДн РКН

ч. 3 ст. 13.11 — до 60 000 ₽

Факт: первые «автопротоколы» уже получили сайты Клерк.ру, vc.ru, «Е‑Офис24» (источник: публичные судебные решения, 2025).

3. Алгоритм действий, если пришло уведомление
   Не паниковать. В письме есть ID проверки, дата фиксации, скрин страницы.
   Проверить метаданные. Бывают ложные срабатывания (например, тестовый поддомен).
   Скачать акт из личного кабинета РКН, срок на объяснение — 10 рабочих дней (п. 11 Регламента).
   Исправить нарушение: обновить баннер, добавить чек‑бокс, заменить скрипт.
   Сделать скрин до/после, приложить к объяснению.
   Отправить пояснения через ГИС «Открытый РКН» + подпись КЭП.
   При необходимости — ходатайство о снижении штрафа (ст. 4.1.1 КоАП) + доказательства быстрого устранения.
4. Как подготовиться проактивно
   Проведите собственный «лабораторный» скан: open‑source проект ZAP или коммерческий РКН‑парсер Traff.ink — покажут, что видит бот.
   Живой cookie‑баннер: выбор «Принять/Отклонить», никакого pre‑checked.
   Линк на Политику в форме всегда активен, открывается в новой вкладке.
   Список скриптов: всё, что CDN‑google — заменяем на локальный хост или прокси.
   Уведомление РКН: номер ИСПДн + контакт ответственного в футере.
5. Типовые ошибки, которые ловит 84‑процентная нейросеть
   – Спрятанный баннер: показывается только первый раз, бот заходит в инкогнито → баннера нет.

– Чек‑бокс формально есть, но CSS «display:none» до hover.

– Google Fonts грузится через , а не локально.

– Политика ПДн на PDF, бот не парсит текст — считает «нет политики».

– Скрипт метрики на поддомене cdn.company.com, DNS у AWS → трансграничка США.

6. Чек‑лист для nightly‑мониторинга
   curl -I https://site/privacy → 200 OK.
   Lighthouse Cookie Audit → no passive consent.
   Grep по исходнику на fonts.googleapis.com, googletagmanager.
   Selenium‑скрипт заполняет форму, проверяет чек‑бокс.
   Cron‑отчёт отправляется на e‑mail DPO каждую ночь.
   Автомат проверяет быстрее человека, но играет по тем же правилам закона. Держите баннеры честными, политку — полной, скрипты — локальными, и Защита персональных данных не превратится в ночной кошмар. АУП‑Консалтинг внедрит мониторинг, настроит cookie‑менеджер и оформит документы. Применяем комплексный подход — и нейросеть РКН пройдёт мимо.
