аналитика 14 июля 2027 По состоянию на 14 июля 2027

Бюджетники и госконтракты: специфика РКН

Бюджетные организации — операторы персональных данных наравне с коммерческими структурами, но с дополнительным контрольным давлением: РКН проверяет их по плановым индикаторам риска и через жалобы граждан, а ФК, Казначейство и прокуратура запускают внеплановые проверки по госконтрактной цепочке.

С 30.05.2025 действует обновлённая ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо 7. Для бюджетников это означает: штраф за неуведомление о намерении обрабатывать ПДн — от 100 000 до 300 000 ₽ по ч. 10; за утечку от 1 000 субъектов — от 3 000 000 ₽ по ч. 12–14. Штраф платится из внебюджетных средств, но репутационный ущерб и дисциплинарное производство против руководителя неизбежны.

→ Если вы юрист учреждения, получивший запрос РКН или уведомление о проверке — читайте последовательно: нормы, индикаторы риска, специфику госконтракта, матрицу сценариев.

Бюджетные учреждения — больницы, школы, органы власти, казённые и автономные учреждения — обрабатывают персональные данные ежедневно: данные работников, пациентов, обучающихся, участников закупок. Роскомнадзор проверяет их в плановом порядке и внепланово по индикаторам риска. После вступления в силу ФЗ-420 от 30.11.2024 санкции кратно выросли. Для юриста учреждения это означает: нужно заранее закрыть три базовых уязвимости — реестр операторов, комплект ОРД и регламент реагирования на утечку.

Почему бюджетники попадают под проверку РКН чаще, чем кажется?

Роскомнадзор ведёт реестр операторов ПДн на портале pd.rkn.gov.ru. Бюджетное учреждение обязано уведомить РКН о намерении обрабатывать ПДн до начала обработки — это требование ст. 22 ФЗ-152. Форма уведомления установлена Приказом РКН № 180 от 28.10.2022. Срок включения в реестр — до 30 дней. Многие учреждения работают годами без уведомления: принято считать, что «мы государственные, нас не тронут». Это заблуждение.

Индикаторы риска для назначения внеплановой проверки утверждены приказом РКН. Для бюджетников характерны три из них: отсутствие в реестре операторов при очевидной обработке ПДн (сайт, МИС, кадровая база), жалоба субъекта ПДн на нарушение его прав и получение сведений о возможной утечке — в том числе через СИРЕНА (система мониторинга РКН). Помимо этого, прокуратура вправе инициировать внеплановую проверку в рамках надзора за законностью в бюджетной сфере — и РКН её проводит совместно.

«Ст. 22 ФЗ-152 — оператор обязан уведомить уполномоченный орган до начала обработки ПДн. Ст. 13.11 ч. 10 КоАП (ред. с 30.05.2025) — неуведомление или несвоевременное уведомление о намерении обрабатывать ПДн влечёт штраф для юридического лица от 100 000 до 300 000 ₽.»

Отдельный триггер — госконтракт. Поставщик по контракту получает ПДн работников заказчика (контактные лица, ответственные за приёмку) и нередко — данные конечных получателей услуг. Если контракт предполагает обработку ПДн третьим лицом, требуется поручение на обработку по п. 3 ст. 6 ФЗ-152. Казначейство при аудите госконтрактов проверяет, оформлено ли поручение. РКН проверяет это же при внеплановой проверке по жалобе.

Учреждение не стоит в реестре операторов или реестр устарел?

Если юрист учреждения обнаружил, что уведомление в РКН не подавалось или последний раз обновлялось три года назад — риск штрафа по ч. 10 ст. 13.11 КоАП активен прямо сейчас. До назначения проверки есть время закрыть нарушение. После — уже нет: добровольное устранение учитывается как смягчающее, но не исключает штраф. Юристы DATUM подготовят и подадут уведомление через pd.rkn.gov.ru, сверят состав обрабатываемых данных с реестровой записью, обновят сведения об изменениях по форме Приказа РКН № 180.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие требования 152-ФЗ критичны именно для госсектора?

Бюджетные организации обрабатывают специальные категории ПДн — данные о состоянии здоровья в медицинских учреждениях, о судимости при трудоустройстве на отдельные должности, о религиозных взглядах в образовательных организациях с конфессиональной направленностью. Ст. 10 ФЗ-152 устанавливает: обработка спецкатегорий допустима только по основаниям п. 2 ст. 10, включая согласие субъекта или законодательное основание. Нарушение условий обработки спецкатегорий — отдельный состав по ч. 1 ст. 13.11 КоАП.

Обязанность назначить лицо, ответственное за организацию обработки ПДн, установлена ст. 22.1 ФЗ-152. Для юридических лиц — обязательна. Бюджетное учреждение — юридическое лицо, исключений нет. На практике функцию возлагают на заместителя руководителя или начальника юридической службы приказом. Отсутствие назначения фиксируется при любой проверке РКН как типовое нарушение.

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры по обеспечению выполнения обязанностей, предусмотренных законом: назначить ответственного, утвердить политику обработки ПДн, принять локальные акты, ознакомить работников. Ст. 13.11 ч. 3 КоАП — невыполнение обязанности по опубликованию политики влечёт штраф для юрлица от 30 000 до 60 000 ₽.»

Политика обработки персональных данных обязана быть опубликована в открытом доступе — на сайте учреждения. Содержание определяет ч. 2 ст. 18.1 ФЗ-152: цели, правовые основания, состав, способы обработки, сроки хранения, сведения о трансграничной передаче, порядок уничтожения. Отсутствие политики или её устаревшая версия — один из первых пунктов проверочного листа РКН.

С 01.09.2025 в силу вступил ФЗ-156 от 24.06.2025: согласие на обработку ПДн должно быть отдельным документом, не объединённым с трудовым договором, должностной инструкцией, формой заявления. Для кадровых служб бюджетников это изменение означает полную ревизию шаблонов. Согласия, полученные до 01.09.2025, обратной силы не имеют — переоформлять при следующем взаимодействии с работником.

Что подготовить к проверке РКН

Выписку из реестра операторов ПДн с pd.rkn.gov.ru — актуальную, с совпадающими целями и составом данных
Политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, опубликованную на сайте учреждения
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
Комплект согласий работников в формате отдельного документа по ст. 9 ФЗ-152 в редакции ФЗ-156
Договоры поручения на обработку ПДн с подрядчиками по п. 3 ст. 6 ФЗ-152 — в том числе с поставщиками по госконтрактам

Как госконтракт создаёт дополнительные риски по 152-ФЗ?

Госконтракт сам по себе не является основанием для передачи ПДн подрядчику. Если подрядчик обрабатывает ПДн по поручению заказчика — требуется поручение на обработку по п. 3 ст. 6 ФЗ-152. В поручении должны быть указаны: перечень действий с ПДн, цели, обязанности подрядчика по соблюдению конфиденциальности, обязанность обеспечить технические меры защиты по ст. 19 ФЗ-152. Отсутствие поручения при фактической передаче ПДн — нарушение ч. 1 ст. 13.11 КоАП.

Подрядчики по госконтрактам в сфере ИТ — системные интеграторы, поставщики МИС, платформ дистанционного обучения — нередко обрабатывают данные на серверах за рубежом или в облачной инфраструктуре иностранных компаний. Это создаёт риск нарушения требования о локализации: ч. 5 ст. 18 ФЗ-152 обязывает записывать, накапливать и хранить ПДн граждан РФ в базах данных, физически расположенных в России. Штраф за нарушение — от 1 000 000 до 6 000 000 ₽ по ч. 8 ст. 13.11 КоАП.

«Ст. 13.11 ч. 8 КоАП (ред. с 30.05.2025) — невыполнение требования о локализации персональных данных граждан РФ в базах данных на территории России влечёт штраф для юридического лица от 1 000 000 до 6 000 000 ₽. Повторное нарушение по ч. 9 — от 6 000 000 до 18 000 000 ₽.»

Отдельная проблема — конкурсные заявки и закупочные процедуры. Участник закупки указывает ФИО, контакты, паспортные данные физических лиц. Заказчик становится оператором этих данных с момента получения заявки. Правовое основание — исполнение обязанностей в рамках законодательства о контрактной системе (п. 2 ст. 6 ФЗ-152). Согласие субъекта не требуется, но обязанности по обеспечению безопасности и уведомлению в реестре — остаются.

Как действует мораторий на проверки и когда он не защищает?

С 2022 года действует мораторий на плановые проверки малого и среднего бизнеса. Бюджетные учреждения в большинстве своём под действие моратория не подпадают: они не являются субъектами МСП. Плановые проверки бюджетников проводятся в соответствии с ежегодным планом РКН, опубликованным на сайте регулятора. Профвизиты (профилактические визиты) — отдельный инструмент, не ограниченный мораторием. РКН активно использует их с 2023 года как форму предпроверочного взаимодействия.

Внеплановые проверки мораторием не ограничены. Основания для внеплановой проверки по ФЗ-248 от 31.07.2020: обращение гражданина, сведения о причинении вреда, индикаторы риска. Для бюджетников наиболее актуальны жалобы субъектов ПДн (работников, пациентов, родителей обучающихся) и срабатывание индикатора по данным об утечке. Профвизит проводится без предупреждения или с предупреждением за 5 рабочих дней — и по его итогам РКН вправе выдать предписание.

Невыполнение предписания РКН — отдельный административный состав. По ч. 1 ст. 19.5 КоАП штраф для юридического лица составляет от 10 000 до 20 000 ₽; повторное неисполнение — основание для возбуждения дела об административном правонарушении с более серьёзными последствиями. Предписание также может быть обжаловано в арбитражном суде или у вышестоящего должностного лица РКН.

Если юрист учреждения получил уведомление о плановой проверке или профвизите РКН — на подготовку документов остаётся от 5 рабочих дней. Типовые нарушения, которые фиксируют инспекторы: отсутствие поручения с подрядчиком, устаревший реестр, согласия в трудовом договоре. Каждое — отдельный штраф. Юристы DATUM сопроводят проверку от уведомления до результата.

Защитить от штрафа 13.11

Как это выглядит на практике: три типовые ситуации

Ситуация 1. Бюджетное учреждение не состоит в реестре операторов. Казённое учреждение здравоохранения (Приволжский ФО, весна 2026) обрабатывало данные пациентов и работников без уведомления РКН с момента создания в 2012 году. Индикатор риска сработал по жалобе бывшего сотрудника. Внеплановая проверка зафиксировала отсутствие в реестре, отсутствие политики, отсутствие приказа об ответственном. Три состава по ст. 13.11 КоАП — штрафы суммарно в диапазоне нескольких сотен тысяч рублей. Стратегия: подать уведомление до проверки, утвердить ОРД, назначить ответственного — три документа закрывают три состава.

Ситуация 2. Подрядчик по госконтракту обрабатывает ПДн без поручения. Автономное учреждение (Центральный ФО, осень 2025) заключило контракт на техническое обслуживание МИС. Поставщик получал доступ к базе пациентов для диагностики системы. Поручение на обработку оформлено не было. При профвизите РКН установил факт передачи данных третьему лицу без надлежащего правового основания — нарушение ч. 1 ст. 13.11. Исход: предписание устранить нарушение и штраф. Стратегия: при следующем контракте — включить условие о поручении в техническое задание и договор.

Ситуация 3. Утечка через ИТ-подрядчика и 24-часовое уведомление. Образовательная организация (Сибирский ФО, начало 2026) обнаружила, что данные учащихся появились в открытом доступе — источником оказался подрядчик, обслуживающий платформу дистанционного обучения. У юриста учреждения было 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН № 187 от 14.11.2022. Уведомление подано в срок. Через 72 часа — отчёт о расследовании. РКН возбудил дело по ч. 12 ст. 13.11 КоАП (утечка от 1 000 субъектов). Оперативность уведомления учтена как смягчающее обстоятельство. Стратегия: регламент реагирования на утечку должен быть готов до инцидента, а не после.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания
Аудит соответствия 152-ФЗ — проверка по чек-листу из 38 пунктов, отчёт с приоритетами устранения
Защита при штрафе в арбитраже — оспаривание протокола и постановления, применение ст. 4.1 и ст. 4.1.1 КоАП

Частые вопросы

1. Как подготовиться к проверке РКН?

Начните с трёх шагов: проверьте наличие учреждения в реестре операторов на pd.rkn.gov.ru и актуальность сведений; убедитесь, что на сайте опубликована политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152; сверьте наличие приказа о назначении ответственного по ст. 22.1 ФЗ-152. Если хотя бы один из этих пунктов не выполнен — нарушение зафиксируют при любой форме контроля: плановой проверке, профвизите или внеплановой проверке по жалобе. Дополнительно — проверьте договоры с подрядчиками на наличие поручений на обработку ПДн.

2. Какие индикаторы риска применяет РКН?

РКН использует утверждённые индикаторы риска для назначения внеплановых проверок. Для бюджетных учреждений наиболее характерны: отсутствие в реестре операторов при очевидной обработке ПДн (сайт принимает заявки, кадровая служба ведёт личные дела), жалоба субъекта ПДн на нарушение его прав — например, отказ в уничтожении данных или передача данных третьим лицам без согласия, и получение РКН сведений о возможной утечке — в том числе из публичных источников или через СИРЕНА. Прокурорские представления также инициируют внеплановые проверки.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Оператор ПДн обязан предоставлять РКН информацию в порядке, установленном законодательством. Уклонение от ответа на запрос регулятора рассматривается как воспрепятствование контрольной деятельности и может стать самостоятельным основанием для возбуждения административного дела. Ответ должен быть направлен в установленный в запросе срок. Если срок невозможно соблюсти — направьте промежуточный ответ с указанием даты предоставления полных сведений. Игнорирование запроса — худшая из возможных стратегий.

4. Что грозит за невыполнение предписания РКН?

Невыполнение в срок законного предписания контролирующего органа — административный состав по ч. 1 ст. 19.5 КоАП: штраф для юридического лица от 10 000 до 20 000 ₽. Это минимальные последствия. Повторное неисполнение — основание для дисквалификации должностного лица. Кроме того, РКН вправе обратиться в прокуратуру или суд для принудительного исполнения. Предписание можно и нужно обжаловать, если оно содержит неправомерные требования — в арбитражном суде или у руководства РКН. Обжалование приостанавливает исполнение до решения суда.

5. Куда обжаловать постановление РКН?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025 вернул подсудность мировым после периода с 30.05.2025, когда дела рассматривали арбитражные суды). Постановление мирового судьи обжалуется в районный суд в течение 10 суток с момента вручения. Если оператор — юридическое лицо и дело рассматривалось арбитражным судом (дела до 28.12.2025), апелляция — в арбитражный суд апелляционной инстанции. При обжаловании важно заявить смягчающие обстоятельства по ст. 4.1 КоАП и, при наличии оснований, ходатайствовать о замене штрафа предупреждением по ст. 4.1.1 КоАП.

Итог

Бюджетные организации не имеют иммунитета от норм 152-ФЗ и санкций ст. 13.11 КоАП. Три точки уязвимости — реестр операторов, комплект ОРД и поручения с подрядчиками по госконтрактам — закрываются организационно, без значительных затрат, но требуют юридической точности. После 30.05.2025 стоимость ошибки выросла: штраф за утечку от 1 000 субъектов начинается с 3 000 000 ₽.

Практика DATUM охватывает бюджетные учреждения здравоохранения, образования и органы власти — от подготовки уведомлений в реестр РКН до обжалования постановлений о штрафах в судах. Юридическое сопровождение проверки РКН и защита при штрафе — два ключевых направления работы по данной теме.

Проверка РКН назначена или уже идёт?

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года — более 300 операторов сопровождено. Юристы DATUM подготовят учреждение к проверке, представят интересы перед инспектором РКН, обжалуют предписание или постановление о штрафе по ст. 13.11 КоАП в суде. Оценка ситуации — в течение рабочего дня.