аналитика 30 мая 2027 По состоянию на 30 мая 2027

Чек-лист подготовки к проверке РКН на 2026

Проверка Роскомнадзора — это административная процедура, по итогам которой оператор ПДн получает предписание об устранении нарушений или протокол по ст. 13.11 КоАП.

С 30.05.2025 в силе 18 частей ст. 13.11 КоАП (ФЗ-420): штраф за утечку от 100 000 субъектов — 10–15 млн ₽, повторная утечка — оборотный штраф до 500 млн ₽. Юрист, который не подготовил комплект ОРД до визита инспектора, обнаруживает это в протоколе.

→ Если вы юрист компании и проверка РКН ещё не объявлена — у вас время закрыть разрывы. Этот чек-лист покажет, где они.

В 2024 году РКН зафиксировал 135 инцидентов с утечками и более 710 млн записей. В 2025 году регулятор провёл внеплановые проверки по индикаторам риска и вынес шесть административных постановлений по новым нормам ст. 13.11. Практика только формируется: суды накапливают опыт, компании — первые прецеденты. Юрист, который составил чек-лист подготовки к проверке заранее, тратит на неё часы, а не месяцы. Ниже — структурированный перечень документов, процедур и технических мер, которые инспектор РКН проверяет в первую очередь.

Что проверяет Роскомнадзор в ходе плановой и внеплановой проверки?

РКН проводит три вида контрольных мероприятий: плановую проверку (по ежегодному плану), внеплановую проверку (по основаниям ч. 1 ст. 10 248-ФЗ) и профилактический визит. Предметом в любом случае является соответствие деятельности оператора требованиям ФЗ-152.

На плановой проверке инспектор запрашивает документы из перечня, установленного Приказом РКН. На внеплановой — поводом служат жалоба субъекта, истечение срока исполнения предписания или срабатывание индикатора риска. Мораторий на проверки малого и среднего бизнеса, введённый в 2022–2023 годах, не распространяется на РКН как регулятора в сфере ПДн.

«Ст. 18.1 ФЗ-152 обязывает оператора принимать меры, необходимые для выполнения обязанностей закона, и по запросу уполномоченного органа предоставлять документы, подтверждающие исполнение этих обязанностей.»

Индикаторы риска, которые запускают внеплановую проверку, включают: появление сведений об утечке в публичных источниках, жалобы субъектов на нарушение их прав, отсутствие оператора в реестре при наличии признаков обработки ПДн. Приказ РКН о перечне индикаторов риска определяет конкретные триггеры — юрист обязан знать их до, а не после визита инспектора.

Профилактический визит — мягкий инструмент: инспектор приходит без права составлять протокол, но фиксирует нарушения и выдаёт рекомендации. Игнорирование рекомендаций при последующей проверке трактуется как отягчающее обстоятельство.

Получили уведомление о проверке РКН или запрос документов?

Если вы юрист компании и РКН объявил проверку — у вас от 3 до 10 рабочих дней на представление документов. Комплект ОРД, который не готов сейчас, нельзя «довести до ума» за ночь. Юристы DATUM сопроводят проверку: подготовят ответы на запросы, представят интересы на контрольном мероприятии и обжалуют предписание при необходимости.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Чек-лист документов: что должно быть у оператора до прихода инспектора?

Инспектор РКН работает по типовому перечню документов. Отсутствие любого из них — самостоятельный состав нарушения или, как минимум, основание для предписания. Ниже — перечень по блокам.

Реестр операторов и уведомление (ст. 22 ФЗ-152, Приказ РКН №180). Проверьте: оператор включён в реестр pd.rkn.gov.ru; сведения актуальны (цели, категории ПДн, местонахождение баз); при изменении данных подано уведомление об изменении сведений. Неуведомление о намерении обрабатывать или несвоевременное уведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

Политика конфиденциальности и локальные акты (ст. 18.1 ФЗ-152). Политика должна быть опубликована на сайте, содержать обязательные разделы по ч. 2 ст. 18.1: правовые основания, цели, категории субъектов и ПДн, перечень действий, меры защиты, права субъектов. Отсутствие политики или нарушение требований к её содержанию — ч. 3 ст. 13.11, штраф 30–60 тыс. ₽. Среди локальных актов: положение об обработке ПДн, регламент реагирования на обращения субъектов, регламент реагирования на утечки.

Согласия субъектов (ст. 9 ФЗ-152, ФЗ-156 от 24.06.2025). С 01.09.2025 согласие оформляется отдельным документом — не встраивается в договор, политику или оферту. Инспектор проверит наличие согласий и их реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Отсутствие письменного согласия или нарушение требований к его составу — ч. 2 ст. 13.11, штраф 300–700 тыс. ₽.

Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152). Юрлицо обязано назначить лицо, ответственное за организацию обработки ПДн. Требования к квалификации — ч. 4 ст. 22.1. Отсутствие приказа — нарушение, которое фиксируется в акте проверки в первую очередь.

Журнал обращений субъектов (ст. 20 ФЗ-152). Каждое обращение субъекта с просьбой предоставить информацию, уточнить, заблокировать или уничтожить ПДн регистрируется в журнале. Срок ответа — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Невыполнение требования об уточнении, блокировании или уничтожении ПДн — ч. 5 ст. 13.11, штраф 50–90 тыс. ₽.

Документы по передаче ПДн третьим лицам (ст. 6, ст. 12 ФЗ-152). Договоры поручения обработки с подрядчиками, агентами, облачными провайдерами. Уведомление РКН о трансграничной передаче ПДн в страны без адекватной защиты — до начала передачи. При использовании зарубежных CRM, ERP, аналитических инструментов (GA4, HubSpot и т. п.) — уведомление обязательно.

Что подготовить до визита инспектора

Выписка из реестра операторов с pd.rkn.gov.ru с актуальными сведениями (цели, категории, местонахождение баз)
Политика конфиденциальности с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте
Отдельные согласия субъектов по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (с 01.09.2025)
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
Журнал обращений субъектов с входящими запросами за последние 12 месяцев

Какие технические меры проверяет инспектор РКН?

Ст. 19 ФЗ-152 требует от оператора принять организационные и технические меры для защиты ПДн. Конкретный состав мер определяется уровнем защищённости информационной системы (УЗ-1..4) по ПП РФ №1119 от 01.11.2012 и Приказом ФСТЭК №21 от 18.02.2013.

Уровень защищённости (УЗ). Большинство коммерческих операторов работают на УЗ-3 или УЗ-4. УЗ-3 требуется при обработке общедоступных ПДн более 100 000 субъектов или при обработке специальных категорий ограниченного круга лиц. Инспектор проверяет: принято ли решение об УЗ, оформлено ли оно актом, соответствуют ли принятые меры требованиям Приказа ФСТЭК №21.

Ключевые технические меры для УЗ-3 и УЗ-4. Из 15 групп мер Приказа ФСТЭК №21 инспектор фокусируется на: идентификации и аутентификации (ИАФ), управлении правами доступа (УПД), антивирусной защите (АВЗ), регистрации событий безопасности (РСБ), защите машинных носителей (ЗНИ). Отсутствие документированного базового набора мер по своему УЗ — основание для предписания.

«ПП РФ №1119 от 01.11.2012 устанавливает 4 уровня защищённости ИСПДн. Выбор уровня зависит от категорий ПДн, типа угроз (1–3) и числа субъектов (порог 100 000). Уровень определяет оператор самостоятельно и оформляет актом.»

Локализация баз данных (ч. 5 ст. 18 ФЗ-152). Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться в базах данных, расположенных на территории РФ. Нарушение — ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽. Повторное нарушение — ч. 9, штраф 6–18 млн ₽. Инспектор проверяет договоры с провайдерами, место расположения серверов, архитектурную схему ИС.

Реагирование на утечки (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187). Оператор обязан уведомить РКН об инциденте в течение 24 часов с момента обнаружения, через 72 часа — направить отчёт о результатах внутреннего расследования. Инспектор проверяет наличие регламента реагирования на инциденты, факт подачи уведомлений при предыдущих инцидентах. Неуведомление — ч. 11 ст. 13.11, штраф 1–3 млн ₽.

Если вы юрист компании и техническая документация по УЗ или регламент реагирования на утечки отсутствуют — инспектор РКН зафиксирует это в акте. Штраф за неуведомление об утечке — 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП, срок уведомления не восстанавливается. Юристы и технические специалисты DATUM закроют разрывы до проверки.

Заказать аудит 152-ФЗ

Типовые сценарии: как компании проигрывают проверку РКН

Сценарий 1. Реестр есть, но устарел. Компания уведомила РКН три года назад, когда открывала CRM. С тех пор добавились маркетинговые рассылки, кадровый учёт в облаке и сервис обратной связи на сайте. В реестре указаны только «договорные данные» и одна цель. Инспектор фиксирует расхождение между заявленными и фактическими целями и категориями. Итог: протокол по ч. 1 ст. 13.11 (150–300 тыс. ₽) и предписание привести уведомление в соответствие. Стратегия: провести инвентаризацию потоков ПДн до проверки и подать актуализированное уведомление по Приказу РКН №180.

Сценарий 2. Согласия работников в трудовом договоре после 01.09.2025. HR-документация компании не обновлена после вступления в силу ФЗ-156: согласия на обработку ПДн работников встроены в трудовой договор. Инспектор проверяет кадровую документацию при жалобе уволенного сотрудника. Итог: протокол по ч. 2 ст. 13.11 (300–700 тыс. ₽) за нарушение требований к составу согласия. Стратегия: переоформить согласия как отдельные документы с полным набором реквизитов по ст. 9 ФЗ-152.

Сценарий 3. Подрядчик передал данные — оператор получил штраф. Компания передала базу клиентов маркетинговому агентству без договора поручения обработки. Агентство допустило утечку. Инспектор квалифицирует действия компании-оператора как нарушение условий обработки ПДн. Итог: протокол по ч. 1 ст. 13.11 и предписание заключить договоры поручения со всеми подрядчиками. Стратегия: провести аудит цепочек передачи ПДн, оформить договоры поручения, включить в них требования по защите и обязанность уведомить об инцидентах.

Как это применяется на практике

Кейс 1. В Сибирском федеральном округе (начало 2026 года) юрист производственной компании получил запрос РКН о предоставлении документов. При проверке обнаружилось: политика конфиденциальности опубликована на сайте, но не обновлялась с 2021 года и не содержала разделов о правовых основаниях и правах субъектов. Инспектор выдал предписание об устранении нарушений по ч. 2 ст. 18.1 ФЗ-152. Компания обжаловала предписание в арбитражном суде региона, представив доказательства того, что политика обновлялась в части, не охваченной предписанием. Суд снизил объём требований предписания, оставив в силе только пункт о правах субъектов. До итогового решения компания обновила политику полностью. Штраф по ч. 3 ст. 13.11 (30–60 тыс. ₽) оплачен; протокол не составлялся благодаря оперативному устранению нарушений до акта проверки.

Кейс 2. В деле о проверке медицинской организации (Центральный федеральный округ, осень 2025 года) юрист клиники выявил в ходе предварительного аудита отсутствие договоров поручения с двумя IT-подрядчиками, обслуживающими МИС. До начала официальной проверки договоры были заключены, в реестр внесено уведомление об изменении сведений. По итогам плановой проверки РКН выдал предписание только по одному пункту — отсутствию раздела о третьих лицах в политике конфиденциальности. Протокол составлен не был. Своевременная подготовка позволила сократить объём нарушений с пяти потенциальных составов до одного.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, представительство, обжалование предписаний
Аудит соответствия 152-ФЗ — чек-лист из 38 пунктов, отчёт с приоритизированным планом
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка включает три блока: документальный, технический и процессуальный. Документальный — актуальное уведомление в реестре (Приказ РКН №180), политика конфиденциальности по ч. 2 ст. 18.1 ФЗ-152, отдельные согласия субъектов по ст. 9 ФЗ-152, приказ о назначении ответственного по ст. 22.1, журнал обращений субъектов, договоры поручения с подрядчиками. Технический — определение УЗ по ПП РФ №1119, внедрение базового набора мер по Приказу ФСТЭК №21, регламент реагирования на утечки по Приказу РКН №187. Процессуальный — назначить сотрудника для взаимодействия с инспектором, определить порядок предоставления документов по запросу.

2. Какие индикаторы риска у РКН?

Индикаторы риска — это формализованные признаки, наличие которых даёт РКН основание для проведения внеплановой проверки без предварительного согласования с прокуратурой. Типичные индикаторы: появление сведений об утечке ПДн оператора в публичных источниках (СМИ, даркнет, Telegram-каналы), жалобы субъектов на нарушение их прав оператором, отсутствие оператора в реестре при наличии признаков обработки ПДн, неисполнение ранее выданного предписания. Перечень индикаторов риска утверждён подзаконным актом РКН — его редакция периодически обновляется; юрист обязан отслеживать актуальную версию.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Ст. 18.1 ФЗ-152 прямо обязывает оператора по запросу уполномоченного органа предоставить документы, подтверждающие исполнение обязанностей по закону. Отказ от предоставления документов или непредоставление их в установленный срок влечёт самостоятельный состав нарушения и может быть расценено как воспрепятствование проверке. На практике это увеличивает число выявленных нарушений и снижает шансы на применение смягчающих обстоятельств при последующем обжаловании.

4. Что грозит за невыполнение предписания РКН?

Неисполнение в установленный срок законного предписания РКН — самостоятельный состав административного правонарушения по ч. 1 ст. 19.5 КоАП. Кроме того, неисполнение предписания является основанием для проведения внеплановой проверки и, как правило, квалифицируется как отягчающее обстоятельство при повторном нарушении ст. 13.11 КоАП. Срок исполнения предписания устанавливается инспектором в акте проверки; продление возможно только по ходатайству оператора до истечения срока.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 суток с даты вручения копии. Постановление районного суда — в суд субъекта в порядке ст. 30.12–30.19 КоАП. При обжаловании применяются ст. 4.1 и ст. 4.1.1 КоАП: последняя позволяет заменить штраф на предупреждение при первичном нарушении для субъектов МСП при отсутствии вреда (не применяется к ч. 15 и ч. 18 ст. 13.11 — оборотным составам).

Итог

Проверка РКН — предсказуемая процедура с известным перечнем требований. Оператор, который актуализировал реестровое уведомление, собрал пакет ОРД, оформил согласия по требованиям ФЗ-156 и внедрил базовый набор технических мер по своему уровню защищённости, проходит плановую проверку без протоколов. Проблемы возникают у тех, кто узнаёт о разрывах из акта инспектора, а не из собственного аудита.

Юристы DATUM сопровождают операторов на всех стадиях взаимодействия с Роскомнадзором: от предварительного аудита и подготовки к визиту инспектора до обжалования предписаний и постановлений в арбитражном суде по ст. 13.11 КоАП в редакции с 30.05.2025.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.