аналитика 3 декабря 2026 По состоянию на 3 декабря 2026

Что готовить за 3 дня до выездной проверки

Выездная проверка Роскомнадзора — это до 10 рабочих дней на территории оператора, право инспектора запросить любой документ по ст. 18.1 ФЗ-152 и составить протокол по ст. 13.11 КоАП прямо в ходе осмотра.

За три рабочих дня невозможно устранить системные нарушения — можно только минимизировать число видимых следов и подготовить позицию защиты. Штраф по ч. 1 ст. 13.11 КоАП — от 150 000 до 300 000 ₽ за каждый самостоятельный состав.

→ Если вы юрист компании и уведомление о проверке уже на руках — ниже конкретный план действий с приоритетами по срочности.

Уведомление о выездной проверке Роскомнадзора приходит, как правило, за три рабочих дня до её начала. В этот период юрист, отвечающий за комплаенс, решает две задачи одновременно: собирает документы, которые реально существуют, и формирует правовую позицию по тем пробелам, которые закрыть уже не успеть. Материал ниже структурирован в той же логике: сначала — что физически подготовить, затем — как выстроить поведение команды, и наконец — что делать, если инспектор уже нашёл нарушение.

Что такое выездная проверка РКН и на каком основании она проводится?

Роскомнадзор проводит проверки операторов персональных данных в рамках государственного контроля по главе 4 ФЗ-152. Выездная проверка предполагает непосредственное присутствие инспекторов в офисе оператора, осмотр помещений, запрос оригиналов и копий документов, опрос сотрудников. Плановая проверка включается в ежегодный план и публикуется на сайте РКН; внеплановая назначается при получении жалобы субъекта, информации об утечке или при выявлении индикаторов риска по результатам профилактического визита.

С 2022 года действует общий мораторий на плановые проверки субъектов МСП, однако он не распространяется на проверки по жалобам и на операторов, обрабатывающих специальные категории ПДн (здоровье, биометрия). В 2025 году РКН ужесточил практику внеплановых проверок: поводом для назначения стало в том числе нарушение локализации по ч. 5 ст. 18 ФЗ-152, вступившее в новой редакции с 01.07.2025.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении осуществлять обработку ПДн до начала обработки. Ст. 18.1 ФЗ-152 — оператор обязан принимать организационные и технические меры, включая утверждение локальных актов, назначение ответственного и ознакомление работников.»

Индикаторы риска, по которым РКН инициирует внеплановую проверку, включают: отсутствие оператора в реестре при наличии публичного сайта с формой сбора ПДн, жалобу субъекта на непредоставление информации в срок по ст. 20 ФЗ-152, публичную информацию об утечке и неуведомление РКН в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152. Приказ РКН №180 от 28.10.2022 регулирует форму и порядок уведомления о включении в реестр.

Уведомление о проверке уже получено — что делать в первые часы?

Если юрист получил приказ о выездной проверке РКН, первые 12 часов определяют позицию на все 10 дней. Нужно зафиксировать дату вручения, проверить законность основания, собрать команду: ответственный за обработку, IT, HR. Любая ошибка в первичном взаимодействии с инспектором сужает возможности при обжаловании предписания.

Подготовиться к проверке РКН

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие документы инспектор запросит в первую очередь?

Практика проверок РКН показывает устойчивый приоритет в запросах: инспектор начинает с реестровых документов и политики, затем переходит к согласиям и договорам с обработчиками, и только потом — к техническим мерам защиты. Готовить документы имеет смысл именно в этом порядке.

Первый уровень приоритета — реестр и политика. Инспектор проверяет, подано ли уведомление в реестр операторов ПДн (ст. 22 ФЗ-152), соответствует ли фактическая обработка заявленным целям и категориям, опубликована ли политика на сайте (ч. 2 ст. 18.1). Отсутствие в реестре — самостоятельный состав по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽). Несоответствие реальной обработки уведомлению — состав по ч. 1 (150 000–300 000 ₽).

Второй уровень — согласия и правовые основания. По каждой категории субъектов (клиенты, работники, пользователи сайта) должно быть правовое основание из ст. 6 ФЗ-152. Где применяется согласие — оно должно содержать обязательные реквизиты ст. 9 ФЗ-152 и с 01.09.2025 оформляться отдельным документом (ФЗ-156 от 24.06.2025). Обработка без письменного согласия там, где оно требуется, — ч. 2 ст. 13.11 (300 000–700 000 ₽).

Третий уровень — организационные меры. Приказ о назначении ответственного за обработку (ст. 22.1 ФЗ-152), журналы учёта обращений субъектов, договоры поручения обработки с подрядчиками (п. 3 ст. 6 ФЗ-152), локальные акты о работе с ПДн.

Что подготовить за три дня: приоритизированный список

Выписка из реестра операторов ПДн с pd.rkn.gov.ru — распечатать и сверить с фактической обработкой (цели, категории субъектов, основания, обработчики).
Политика обработки персональных данных — проверить, опубликована ли на сайте, содержит ли разделы по ч. 2 ст. 18.1 ФЗ-152, актуальна ли дата.
Согласия субъектов (работников и клиентов) — проверить наличие обязательных реквизитов ст. 9 ФЗ-152; согласия после 01.09.2025 — отдельные документы.
Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152) — подписанный, с указанием лица, его обязанностей и контактных данных.
Договоры поручения обработки с подрядчиками (облако, CRM, колл-центр) — с перечнем действий и обязанностью соблюдать конфиденциальность.

Как вести себя с инспектором: три критических правила для юриста

Поведение юриста и ответственного за обработку в ходе проверки напрямую влияет на итоговый акт и на возможность последующего обжалования. Три правила имеют практическое значение.

Правило 1: всё — в письменной форме. Любой запрос инспектора фиксировать письменно. На устный запрос отвечать: «Оформите, пожалуйста, письменный запрос — предоставим в установленный срок». Это не уклонение от проверки — это процессуальная дисциплина, которая защищает от расширительного толкования требований.

Правило 2: предоставлять только то, что запрошено. Инспектор не вправе изымать оригиналы без составления описи. Предоставлять копии; оригиналы — под расписку с описью. Не показывать документы, которые не входят в предмет проверки, — это распространённая ошибка, которая расширяет число выявленных нарушений.

Правило 3: фиксировать все устные пояснения. Если сотрудник дал пояснение инспектору — его нужно зафиксировать письменно для последующего согласования. Пояснение, данное без юриста, может быть трактовано как признание факта нарушения.

Если юрист компании впервые сопровождает проверку РКН — риск процессуальных ошибок высок. Неверно оформленный ответ на запрос инспектора или добровольно переданный лишний документ могут создать новые составы по ст. 13.11 КоАП. Юристы DATUM сопровождают проверки РКН и берут на себя коммуникацию с инспектором.

Подготовиться к проверке РКН

Какие типичные нарушения фиксирует РКН при выездной проверке?

Анализ практики 2024–2025 годов выявляет устойчивый набор нарушений, которые РКН фиксирует при выездных проверках средних и крупных операторов.

Ситуация 1: Уведомление подано, но устарело. Компания направила уведомление в реестр в 2020 году. С тех пор появились новые CRM-системы, облачные хранилища, подрядчики. Фактическая обработка шире, чем указано в реестре: новые цели, новые категории субъектов, новые обработчики. Инспектор сравнивает уведомление с фактической документацией и фиксирует расхождение. Состав — ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Стратегия: до проверки актуализировать уведомление через pd.rkn.gov.ru по форме изменения сведений (Приказ РКН №180); если не успеть — зафиксировать, что обновление уже направлено.

Ситуация 2: Согласия работников — в трудовом договоре. Юрист обнаруживает, что согласие на обработку ПДн включено в текст трудового договора или кадрового регламента и не оформлено как отдельный документ. После 01.09.2025 такое согласие не соответствует требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Инспектор констатирует нарушение ч. 2 ст. 13.11 (300 000–700 000 ₽). Стратегия: если переоформить за три дня нереально — подготовить план-график переоформления с датами и ответственными; суды учитывают это как обстоятельство, смягчающее вину.

Ситуация 3: Нет договора поручения с ключевым подрядчиком. Данные клиентов обрабатывает внешний колл-центр или облачная CRM, а договор поручения по п. 3 ст. 6 ФЗ-152 либо отсутствует, либо не содержит обязательного перечня действий и требования о конфиденциальности. Это самостоятельный состав. Стратегия: за три дня — подписать хотя бы допсоглашение к действующему договору с необходимыми условиями; факт подписания фиксировать датой до начала проверки.

Как применяется практика: два показательных случая

Кейс 1. Торговая компания (Центральный ФО, осень 2025). Юрист получил уведомление о внеплановой выездной проверке по жалобе субъекта. За три дня команда актуализировала реестровое уведомление и подготовила комплект согласий. Договор поручения с CRM-провайдером подписали за сутки до проверки. По итогам инспектор зафиксировал только отсутствие журнала учёта обращений субъектов — штраф составил сумму в нижней части диапазона ч. 4 ст. 13.11 КоАП. Предписание исполнено в 30-дневный срок, повторная проверка не назначалась.

Кейс 2. Сервисная компания (Приволжский ФО, начало 2026). Плановая выездная проверка выявила три самостоятельных нарушения: несоответствие уведомления фактической обработке (ч. 1 ст. 13.11), отсутствие политики на сайте (ч. 3 ст. 13.11) и согласия в теле пользовательского соглашения без отдельного документа (ч. 2 ст. 13.11). По совокупности составов штраф превысил 500 000 ₽. Юристы DATUM оспорили постановление в части ч. 2, доказав, что сбор осуществлялся до 01.09.2025 и на него распространялись прежние требования. Штраф по ч. 2 был снят.

Что делать, если инспектор нашёл нарушение: порядок обжалования

Если по итогам проверки составлен акт с зафиксированными нарушениями, оператор получает предписание об устранении и постановление о привлечении к административной ответственности. Два документа — два отдельных процесса.

Предписание обжалуется в вышестоящий орган РКН или в арбитражный суд в течение трёх месяцев с момента получения (ст. 198 АПК РФ). Неисполнение предписания в установленный срок — самостоятельный состав по ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽), а при повторном неисполнении — ч. 5.1 (300 000–500 000 ₽).

Постановление о штрафе обжалуется мировому судье (с 28.12.2025 — после принятия ФЗ-508 от 28.12.2025 подсудность вернулась к мировым судьям). Срок обжалования — 10 суток с момента вручения постановления (ст. 30.3 КоАП). При обжаловании применяются ст. 4.1 КоАП (обстоятельства, смягчающие ответственность) и ст. 4.1.1 КоАП (замена штрафа предупреждением для микропредприятий при первичном нарушении без вреда). По оборотным составам ч. 15 и ч. 18 ст. 13.11 замена на предупреждение не применяется.

«Ст. 4.1 КоАП — при наличии смягчающих обстоятельств (устранение нарушения до вынесения постановления, возмещение вреда, активное содействие расследованию) суд вправе снизить штраф. Ст. 4.1.1 КоАП — для микропредприятий при первичном нарушении без причинения вреда штраф заменяется предупреждением, кроме оборотных составов по ч. 15 и ч. 18 ст. 13.11.»

При инвестициях в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽ (примечание 3.4-2 к ст. 4.1 КоАП, введено ФЗ-420 от 30.11.2024).

Услуги DATUM по теме

Сопровождение проверки РКН — подготовка, представление интересов, обжалование предписания.
Аудит соответствия 152-ФЗ — чек-лист из 38 пунктов, отчёт с приоритизированным планом устранения нарушений.
Защита при штрафе в арбитраже — оспаривание протокола и постановления, применение ст. 4.1 и 4.1.1 КоАП.

Частые вопросы

1. Как подготовиться к проверке РКН за три дня?

Приоритет первого дня — проверка наличия в реестре операторов ПДн и актуальности уведомления (ст. 22 ФЗ-152): цели, категории субъектов, обработчики должны соответствовать реальной практике. Второй день — согласия и договоры поручения: проверить наличие обязательных реквизитов ст. 9 ФЗ-152, отдельный документ (с 01.09.2025 по ФЗ-156), договоры с подрядчиками по п. 3 ст. 6. Третий день — назначение ответственного (ст. 22.1), журнал учёта обращений субъектов, политика на сайте (ч. 2 ст. 18.1). Устранить всё за три дня нереально — важно зафиксировать, что работа ведётся.

2. Какие индикаторы риска используют при назначении внеплановой проверки?

РКН использует несколько типовых оснований для внеплановой проверки: жалоба субъекта на отказ предоставить информацию или нарушение срока по ст. 20 ФЗ-152 (10 рабочих дней), публичная информация об утечке при отсутствии уведомления в РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН №187 от 14.11.2022), отсутствие оператора в реестре при активном сайте с формой сбора ПДн, а также нарушение требований локализации по ч. 5 ст. 18 ФЗ-152 в редакции, действующей с 01.07.2025.

3. Можно ли отказаться отвечать на запрос РКН в ходе проверки?

Отказать в предоставлении документов нельзя — это влечёт самостоятельный состав воспрепятствования проверке. Однако оператор вправе требовать оформления запроса в письменной форме, предоставлять копии (а не оригиналы) без составленной описи, отвечать только по предмету проверки, указанному в приказе. Устные пояснения сотрудников, данные без участия юриста, фиксировать и согласовывать письменно во избежание расширительного толкования.

4. Что грозит за невыполнение предписания РКН?

Неисполнение предписания в установленный срок образует состав по ч. 5 ст. 13.11 КоАП — штраф от 50 000 до 90 000 ₽. При повторном неисполнении — ч. 5.1 (300 000–500 000 ₽). Параллельно неисполнение предписания является отягчающим обстоятельством при оценке вины по основному составу нарушения ПДн. Обжалование предписания в арбитражный суд приостанавливает обязанность исполнения только при наличии определения суда об обеспечительных мерах.

5. Куда обжаловать постановление РКН о штрафе?

С 28.12.2025 (ФЗ-508 от 28.12.2025) постановления по ст. 13.11 КоАП снова подсудны мировым судьям — по месту нахождения юридического лица. Срок обжалования — 10 суток с момента вручения постановления (ст. 30.3 КоАП). При обжаловании применяются смягчающие обстоятельства по ст. 4.1 КоАП: устранение нарушения, возмещение вреда, активное содействие. Для микропредприятий при первичном нарушении без вреда возможна замена штрафа предупреждением по ст. 4.1.1 КоАП — кроме оборотных составов ч. 15 и ч. 18 ст. 13.11.

Итог

Три дня до выездной проверки — не срок для полноценного устранения нарушений, а время для формирования позиции. Документы, которые существуют и соответствуют требованиям ФЗ-152, нужно собрать и структурировать. Документы с пробелами — зафиксировать в виде плана устранения с датами. Поведение команды в ходе проверки — процессуальная дисциплина, которая определяет исход обжалования.

Практика DATUM по сопровождению проверок РКН включает подготовку документов, представление интересов оператора в ходе проверки и обжалование предписаний и постановлений. Работаем с операторами среднего и крупного бизнеса, где предмет проверки — не только политика, но и технические меры защиты по Приказу ФСТЭК №21 и уровни защищённости по ПП РФ №1119.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.

3 декабря 2026 года