инструкция 18 января 2027 По состоянию на 18 января 2027

Автоматическая проверка сайта РКН: индикаторы риска

Автоматическая система мониторинга Роскомнадзора сканирует сайты операторов ПДн по индикаторам риска — без предупреждения и выезда инспектора.

Отсутствие политики конфиденциальности, некорректная форма согласия или пропущенное уведомление по ст. 22 ФЗ-152 дают РКН основание для внеплановой проверки и протокола по ст. 13.11 КоАП (штраф от 30 000 до 700 000 ₽ за первичное нарушение, до 3 млн ₽ за несвоевременное уведомление об инциденте).

Если вы юрист компании и хотите снять индикаторы до того, как их зафиксирует РКН, — эта инструкция для вас.

С 2023 года Роскомнадзор применяет автоматизированный анализ сайтов как инструмент предварительного отбора объектов для проверок. Система фиксирует признаки нарушений в открытых источниках: отсутствие или несоответствие обязательных документов, некорректные формы сбора ПДн, отсутствие оператора в реестре. По итогам 2024 года РКН зафиксировал 135 случаев компрометации баз ПДн — значительная часть началась с публичных индикаторов. Ниже — пошаговый разбор: что именно проверяет система, какие нормы нарушаются и как устранить риск.

Шаг 1. Что именно проверяет автоматическая система РКН?

Автоматический мониторинг РКН охватывает открытую часть сайта. Система анализирует несколько групп признаков одновременно.

Реестровый статус. Система сопоставляет домен сайта с реестром операторов ПДн на pd.rkn.gov.ru. Если компания собирает ПДн через сайт, но уведомление по ст. 22 ФЗ-152 не подавалось — это первичный индикатор. Не поданное уведомление влечёт штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽ для юридического лица.

«Ст. 22 ФЗ-152 обязывает оператора уведомить РКН о намерении обрабатывать ПДн до начала обработки. Форма уведомления — Приказ РКН № 180 от 28.10.2022. Включение в реестр — в течение 30 дней.»

Наличие политики обработки ПДн. Ст. 18.1 ФЗ-152 обязывает оператора опубликовать политику в отношении обработки ПДн в открытом доступе. Система проверяет наличие документа по характерным сигнатурам URL (privacy-policy, politika-pd и аналоги) и по ссылке в подвале сайта. Отсутствие политики — нарушение ч. 2 ст. 18.1 ФЗ-152, штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽.

Форма сбора ПДн и согласие. Любая форма на сайте (регистрация, обратная связь, заказ, подписка) — точка сбора ПДн. Система фиксирует отсутствие ссылки на политику, отсутствие чекбокса согласия или предустановленный чекбокс. С 01.09.2025 согласие оформляется отдельным документом по ФЗ-156 от 24.06.2025 — согласие, встроенное в договор или оферту, недостаточно. Нарушение требований к составу согласия — ч. 2 ст. 13.11 КоАП, штраф от 300 000 до 700 000 ₽.

Cookies и трекеры. РКН занял позицию: cookies, позволяющие идентифицировать пользователя, относятся к ПДн. Отсутствие баннера согласия на использование cookies при наличии счётчиков (метрики, аналитики) — индикатор нарушения ст. 9 ФЗ-152.

Проверили сайт самостоятельно и нашли несоответствия?

Если юрист компании видит признаки нарушений — важно устранить их до того, как система РКН зафиксирует и передаст на внеплановую проверку. Срок включения оператора в реестр после уведомления — 30 дней. Штраф за неуведомление не приостанавливается ожиданием включения.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Как проверить статус уведомления в реестре РКН?

Реестр операторов ПДн размещён на pd.rkn.gov.ru. Поиск доступен по ИНН, наименованию и региону. Алгоритм проверки для юриста:

Открыть pd.rkn.gov.ru — раздел «Реестр операторов персональных данных».
Ввести ИНН организации. Если записи нет — уведомление не подавалось или не прошло обработку.
Если запись найдена — сверить содержание: категории ПДн, цели обработки, третьи лица, трансграничная передача, срок хранения. Реальная обработка должна соответствовать зарегистрированным сведениям.
Проверить дату последнего изменения сведений. Если компания добавила новый канал сбора (мобильное приложение, CRM, КЭДО) — сведения в реестре подлежат актуализации по ч. 7 ст. 22 ФЗ-152.

Типичная ошибка: уведомление подавалось при регистрации компании, но за 3–5 лет объём и цели обработки существенно расширились. Несоответствие реестровых данных фактической обработке — самостоятельное нарушение, которое РКН квалифицирует по ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных законом). Штраф для юрлица — от 150 000 до 300 000 ₽.

Ответственный за обработку ПДн. Ст. 22.1 ФЗ-152 обязывает юридическое лицо назначить лицо, ответственное за организацию обработки ПДн. Сведения об ответственном подаются в уведомлении. Отсутствие приказа о назначении — отдельный риск при проверке.

Шаг 3. Как привести политику конфиденциальности в соответствие с ч. 2 ст. 18.1 ФЗ-152?

Политика обработки ПДн — публичный документ, обязательный по ч. 2 ст. 18.1 ФЗ-152. Автоматическая система РКН проверяет не только её наличие, но и минимально необходимый состав. Документ должен содержать:

наименование и контактные данные оператора;
цели обработки ПДн с указанием правового основания по ст. 6 ФЗ-152 для каждой цели;
категории обрабатываемых ПДн и категории субъектов;
сроки обработки и хранения ПДн;
порядок реализации прав субъектов по ст. 14–21 ФЗ-152 (доступ, исправление, уничтожение);
сведения о трансграничной передаче (если применимо) — по ст. 12 ФЗ-152;
сведения о лице, ответственном за обработку, по ст. 22.1 ФЗ-152.

Частая ошибка с шаблонами из интернета: готовые политики содержат общие формулировки без привязки к конкретным целям обработки и правовым основаниям. РКН при проверке смотрит на соответствие политики фактической обработке. Политика, скопированная с другого сайта, создаёт дополнительный риск — несоответствие реальным бизнес-процессам компании.

«Ст. 18.1 ФЗ-152 обязывает оператора принять меры, обеспечивающие соблюдение законодательства о ПДн. Ч. 2 требует опубликовать политику в отношении обработки ПДн в открытом доступе. Отсутствие политики — состав по ч. 3 ст. 13.11 КоАП.»

Размещение политики. Ссылка на политику должна быть доступна с каждой страницы сайта — как правило, в подвале. Отдельно: перед каждой формой сбора ПДн ссылка на политику должна присутствовать рядом с чекбоксом согласия.

Если политика написана под старые требования или скопирована с шаблона — это видно при автоматическом сканировании. С 01.09.2025 изменились требования к согласию по ФЗ-156, и политика должна это отражать. Юристы DATUM соберут пакет ОРД под актуальные требования.

Собрать ОРД под ключ

Шаг 4. Какие согласия нужны после 01.09.2025 по ФЗ-156?

ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн должно оформляться отдельным документом. Оно не может быть частью договора, оферты, пользовательского соглашения или политики конфиденциальности.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия, способ отзыва.

Что менять на сайте: форма согласия должна содержать отдельный чекбокс — незаполненный по умолчанию — со ссылкой на отдельный текст согласия. Нельзя объединять согласие с принятием условий договора или политики.

Ранее полученные согласия. Закон обратной силы не имеет: согласия, полученные до 01.09.2025, переоформлять не требуется, если они соответствовали требованиям на момент получения. Однако при любом новом взаимодействии с субъектом после 01.09.2025 согласие должно отвечать новым требованиям.

Согласие на распространение. Ст. 10.1 ФЗ-152 требует отдельного согласия, если оператор планирует передавать или публиковать ПДн субъекта. Молчание субъекта по умолчанию означает запрет на распространение.

Шаг 5. Как проверить и устранить все индикаторы — чек-лист юриста

После прохождения шагов 1–4 зафиксируйте статус по каждому пункту. Это же перечень того, что инспектор РКН проверяет в первую очередь при выходе на внеплановую проверку после срабатывания автоматического индикатора.

Что проверить и подготовить

Наличие записи оператора в реестре РКН (pd.rkn.gov.ru) — по ИНН; актуальность сведений о целях, категориях, третьих лицах.
Политика обработки ПДн: опубликована в открытом доступе, содержит обязательные разделы по ч. 2 ст. 18.1, ссылка в подвале каждой страницы.
Согласия субъектов: отдельный документ (с 01.09.2025 по ФЗ-156), незаполненный чекбокс по умолчанию, обязательные реквизиты по ст. 9 ФЗ-152.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152; сведения об ответственном внесены в уведомление РКН.
Баннер cookies (если на сайте используются счётчики и трекеры): запрашивает согласие до установки, содержит ссылку на политику.

Отдельно проверьте наличие регламента реагирования на запросы субъектов. По ст. 20 ФЗ-152 оператор обязан ответить субъекту в течение 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Отсутствие зафиксированного процесса — риск при проверке.

Как это применяется на практике

Кейс 1. Юрист торговой компании (Центральный ФО, осень 2025) при самостоятельной проверке обнаружил: оператор числился в реестре, но цели обработки в уведомлении не включали маркетинговые рассылки — а компания вела их три года. РКН получил жалобу от субъекта, сверил реестр с фактической обработкой. Протокол по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). После актуализации уведомления через Приказ РКН № 180 и переоформления согласий — постановление обжаловано с применением ст. 4.1.1 КоАП (замена на предупреждение для микропредприятия).

Кейс 2. В деле по итогам автоматического мониторинга (Приволжский ФО, начало 2026) система РКН зафиксировала: на сайте IT-компании отсутствовала ссылка на политику конфиденциальности в форме регистрации. Протокол по ч. 3 ст. 13.11 КоАП. Компания устранила нарушение до вынесения постановления, что было учтено как смягчающее обстоятельство. Штраф составил минимум по части. Параллельно выявлено: согласие на рассылку было встроено в пользовательское соглашение — нарушение требований к форме согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025. Доработка форм заняла 5 рабочих дней.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всех индикаторов риска РКН по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования под актуальные требования
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн (ч. 2 ст. 18.1 ФЗ-152), отдельные согласия субъектов (ст. 9 ФЗ-152 в редакции с 01.09.2025), приказ о назначении ответственного (ст. 22.1), регламент реагирования на обращения субъектов и инциденты, журнал учёта обращений. Полный пакет ОРД по практике DATUM — 38 документов.

2. Как составить политику обработки ПДн?

Политика должна соответствовать ч. 2 ст. 18.1 ФЗ-152: описывать цели и правовые основания обработки, категории ПДн и субъектов, сроки хранения, порядок реализации прав субъектов, сведения о трансграничной передаче (если есть) и об ответственном по ст. 22.1. Нельзя использовать шаблон с другого сайта без адаптации под реальные бизнес-процессы — несоответствие фактической обработке является самостоятельным нарушением.

3. Кого назначить ответственным по ст. 22.1?

Ст. 22.1 ФЗ-152 требует назначить лицо, ответственное за организацию обработки ПДн, внутри юридического лица. Это может быть штатный сотрудник (юрист, ИБ-специалист, DPO) или внешний исполнитель по договору. Требования к квалификации — в ч. 4 ст. 22.1. Приказ о назначении и контактные данные ответственного вносятся в уведомление РКН по Приказу РКН № 180.

4. Можно ли использовать шаблон политики из интернета?

Технически — да, как отправную точку. На практике — высокий риск. Готовые шаблоны содержат общие формулировки, не отражают конкретные цели и правовые основания вашего оператора, не учитывают изменения ФЗ-156 от 24.06.2025. При проверке РКН сравнивает политику с реальной обработкой. Несоответствие фиксируется как нарушение ч. 2 ст. 18.1 ФЗ-152.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 согласие на обработку ПДн — отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152: ФИО, контакты субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Нельзя объединять с договором, офертой, пользовательским соглашением. На сайте — отдельный чекбокс, не отмеченный по умолчанию. Ранее полученные согласия переоформлять не нужно, если они соответствовали требованиям на момент получения.

6. Что делать, если сайт уже попал в план проверок РКН?

При получении уведомления о проверке необходимо: в течение 3–5 рабочих дней провести внутренний аудит, устранить выявленные нарушения, подготовить полный пакет ОРД. Устранение нарушений до вынесения постановления учитывается как смягчающее обстоятельство при назначении штрафа по ст. 4.2 КоАП и даёт основания для применения ст. 4.1.1 КоАП (замена штрафа на предупреждение для микропредприятий при первичном нарушении).

Итог

Автоматическая система мониторинга РКН проверяет четыре ключевых индикатора: реестровый статус оператора, наличие и состав политики обработки ПДн, корректность формы согласия и наличие баннера cookies. Каждый из них при несоответствии даёт основание для внеплановой проверки и протокола по ст. 13.11 КоАП. С 01.09.2025 добавился новый индикатор — форма согласия, встроенная в договор или оферту, не соответствует требованиям ФЗ-156.

DATUM сопровождает операторов ПДн по устранению индикаторов риска, формированию полного пакета ОРД и подготовке к проверкам РКН. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.