Перейти к содержанию
аналитика 19 апреля 2027 По состоянию на 19 апреля 2027

Что готовить за 7 дней до проверки РКН

Проверка Роскомнадзора по 152-ФЗ — это административная процедура с правом инспектора запросить любой документ об обработке персональных данных. Отсутствие одного акта из обязательного перечня даёт основание для протокола по ст. 13.11 КоАП.
Плановые и внеплановые проверки, профилактические визиты — все три формы контроля предполагают один и тот же документальный минимум. Штраф за каждое отдельное нарушение с 30.05.2025 начинается от 30 000 ₽ и доходит до оборотного по ч. 15 ст. 13.11 КоАП.
→ Если юрист компании получил уведомление о проверке — семь дней достаточно для базовой подготовки при наличии работающей системы обработки ПДн.

Роскомнадзор проводит плановые проверки по утверждённому графику, внеплановые — по индикаторам риска или жалобам субъектов, профилактические визиты — в уведомительном порядке без составления протокола. Во всех трёх случаях инспектор опирается на один и тот же чек-лист: реестр операторов, политика, согласия, приказы, журналы. Если юрист обнаруживает уведомление о проверке за неделю — есть конкретный алгоритм, что собрать, в каком порядке и чего не делать.

Как устроена проверка РКН и когда она приходит?

Роскомнадзор проводит три вида контрольных мероприятий. Плановая проверка включается в ежегодный план, который публикуется на сайте РКН и proverki.gov.ru до конца предыдущего года. Внеплановая назначается при наличии индикаторов риска: жалоба субъекта, публикация утечки в открытых источниках, несоответствие сведений в реестре операторов фактической деятельности компании. Профилактический визит — новая форма с 2022 года: инспектор приезжает, но протокол составить не вправе, только выдаёт предписание об устранении нарушений.

Мораторий на проверки малого бизнеса, действовавший в 2022–2024 годах, на РКН как специализированный регулятор в сфере ПДн не распространялся в полном объёме. С 2025 года ограничения сняты, число проверок растёт. По данным РКН, в 2024 году зафиксировано 135 случаев компрометации баз данных. Каждый из них — потенциальное основание для внеплановой проверки.

«Ст. 23 ФЗ-152 — РКН вправе проводить проверки операторов, запрашивать документы, получать объяснения должностных лиц, предписывать устранение нарушений.»

Индикаторы риска, по которым РКН назначает внеплановую проверку, утверждены подзаконным актом регулятора. В их числе: отсутствие компании в реестре операторов при наличии сайта с формой сбора ПДн, жалобы субъектов на отказ оператора уничтожить данные, публикация сведений об утечке в СМИ или даркнет-мониторинг РКН. Факт нахождения в реестре операторов сам по себе не исключает проверку, но снижает вероятность внеплановой.

Получили уведомление о проверке РКН — что делать первые 48 часов?

Если юрист компании только что получил приказ о проведении проверки — счёт идёт на дни. Стандартная ошибка: начинать с составления документов, а не с анализа того, что инспектор запросит в первый день. Любой пробел в реестре операторов, в тексте политики или в форме согласия фиксируется актом и становится основанием для протокола.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что инспектор РКН проверяет в первую очередь?

Инспектор начинает с трёх вопросов: стоит ли компания в реестре операторов, соответствует ли уведомление фактической обработке, опубликована ли политика обработки персональных данных. Это три основания для протокола ещё до изучения внутренних документов.

Реестр операторов ведётся РКН на pd.rkn.gov.ru. Уведомление о намерении обрабатывать ПДн подаётся по форме Приказа РКН № 180 от 28.10.2022 — через ЕСИА или с УКЭП. Срок включения в реестр — 30 дней. Если компания обрабатывает ПДн, но уведомление не подано, — штраф по ч. 10 ст. 13.11 КоАП составляет 100 000–300 000 ₽. Если уведомление подано, но сведения устарели (изменился перечень целей, добавилась новая ИСПДн, сменился ответственный), — это отдельное нарушение.

Политика обработки персональных данных должна быть размещена на сайте компании в открытом доступе. Требования к содержанию установлены ч. 2 ст. 18.1 ФЗ-152: цели, правовые основания, перечень ПДн, категории субъектов, срок хранения, порядок уничтожения, права субъекта, порядок обращения. Отсутствие политики или её неполнота — штраф по ч. 3 ст. 13.11 КоАП: 30 000–60 000 ₽. Это минимальный штраф в таблице, но он суммируется с остальными.

«Ч. 2 ст. 18.1 ФЗ-152 — оператор обязан опубликовать документ, определяющий политику в отношении обработки персональных данных, и обеспечить неограниченный доступ к нему.»

Третий обязательный элемент первого дня проверки — приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152. Без этого приказа все остальные документы теряют юридическую силу в глазах инспектора: непонятно, кто отвечает за систему и кто подписывает журналы.

Какие документы собрать за 7 дней: приоритетный порядок?

Семь рабочих дней — достаточный срок для базовой подготовки, если в компании уже есть работающая система обработки ПДн. Если системы нет — за неделю можно закрыть критические пробелы, снижающие риск протокола по наиболее дорогостоящим составам.

Что подготовить за 7 дней до проверки РКН

  • День 1–2: выписка из реестра операторов с pd.rkn.gov.ru — проверить актуальность целей, перечня ПДн, ИСПДн, ответственного. При расхождении — подать уведомление об изменении сведений.
  • День 2–3: политика обработки ПДн — проверить наличие на сайте, полноту по ч. 2 ст. 18.1 ФЗ-152, дату актуализации. Если документа нет или он устарел — обновить и опубликовать.
  • День 3–4: приказ о назначении ответственного по ст. 22.1 ФЗ-152, инструкция ответственного, локальный акт об обработке ПДн работников.
  • День 4–5: формы согласий субъектов — проверить соответствие реквизитам ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): отдельный документ, перечень ПДн, цель, срок, способ отзыва.
  • День 5–7: журнал учёта обращений субъектов, регламент реагирования на запросы (срок ответа — 10 рабочих дней по ст. 20 ФЗ-152), инструкция по реагированию на инциденты с указанием 24-часового срока уведомления РКН.

Договоры с подрядчиками, которые обрабатывают ПДн по поручению (п. 3 ст. 6 ФЗ-152), инспектор запрашивает не всегда в первый день, но отсутствие поручений — частая находка при углублённой проверке. Если у компании есть CRM на SaaS, аутсорсинговая бухгалтерия или кадровый подрядчик — поручения должны быть оформлены.

Если юрист обнаружил, что уведомление в реестре не соответствует реальной обработке, а политика не обновлялась два года — каждый день до проверки критичен. Специалисты DATUM проведут экспресс-аудит ОРД и закроют приоритетные пробелы под ключ до дня визита инспектора.

Заказать аудит 152-ФЗ

Как работают индикаторы риска РКН и как они влияют на подготовку?

Профилактический визит и внеплановая проверка назначаются по разным основаниям, но оба требуют одинаковой готовности. Профвизит инициируется инспектором по собственной инициативе — чаще всего после автоматического мониторинга сайтов на предмет наличия политики и формы обработки. Внеплановая проверка требует согласования с прокуратурой при наличии индикаторов риска.

Основные индикаторы риска, которые РКН использует для назначения внеплановых проверок:

  • Отсутствие компании в реестре операторов при наличии сайта с формами сбора ПДн.
  • Жалоба субъекта на отказ оператора уничтожить или предоставить его данные.
  • Публикация сведений об утечке в СМИ, Telegram-каналах или в базах даркнета (РКН ведёт мониторинг).
  • Несоответствие политики конфиденциальности требованиям ч. 2 ст. 18.1 ФЗ-152 — выявляется автоматически.
  • Отсутствие уведомления об утечке в течение 24 часов при инциденте, ставшем публично известным.

С точки зрения подготовки индикаторы риска означают следующее: компания, которая устраняет расхождения в реестре до проверки и имеет актуальную политику на сайте, снижает вероятность внеплановой проверки и одновременно упрощает прохождение плановой.

Типовые ситуации: как это выглядит на практике

Ситуация 1. Юрист производственного предприятия (Уральский ФО, весна 2026) обнаружил за 10 дней до плановой проверки, что в реестре РКН указана цель «исполнение трудовых обязательств», а компания фактически обрабатывает ПДн клиентов в CRM, арендованной у SaaS-провайдера. Поручение на обработку с провайдером отсутствовало. За 7 дней юрист обновил уведомление в реестре, оформил поручение и добавил соответствующий раздел в политику. Инспектор в ходе проверки выдал предписание по форме согласий (реквизиты не соответствовали ст. 9 ФЗ-152 в редакции с 01.09.2025), но протокол по ч. 10 ст. 13.11 КоАП составлен не был — расхождение в реестре устранено до даты проверки.

Ситуация 2. В деле о внеплановой проверке IT-компании (Центральный ФО, осень 2025) внеплановый визит был назначен по индикатору риска: пользователь направил жалобу на то, что компания отказала в уничтожении его данных после отзыва согласия. Юрист подключился на этапе получения приказа о проверке. Обнаружилось, что журнал обращений субъектов не вёлся, ответ на запрос субъекта отсутствовал. Итог: протокол по ч. 4 и ч. 5 ст. 13.11 КоАП, штраф в диапазоне десятков тысяч рублей по каждому составу. При наличии журнала и задокументированного ответа в течение 10 рабочих дней — оба протокола были бы невозможны.

Что грозит за нарушения, выявленные при проверке РКН?

Каждое нарушение, зафиксированное инспектором, — отдельный состав ст. 13.11 КоАП. Суммирование штрафов не ограничено: если проверка выявила три нарушения, компания получает три постановления.

  • Обработка ПДн без правового основания или в нарушение целей — ч. 1 ст. 13.11 КоАП: 150 000–300 000 ₽.
  • Обработка без письменного согласия или с нарушением его реквизитов — ч. 2: 300 000–700 000 ₽.
  • Непубликация политики — ч. 3: 30 000–60 000 ₽.
  • Непредоставление информации субъекту — ч. 4: 40 000–80 000 ₽.
  • Невыполнение требования об уточнении или уничтожении ПДн — ч. 5: 50 000–90 000 ₽.
  • Неуведомление РКН о намерении обрабатывать ПДн — ч. 10: 100 000–300 000 ₽.
«Ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024) — 18 частей; повторные нарушения квалифицируются по отдельным частям с повышенными санкциями; за повторную утечку — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.»

Предписание об устранении нарушений инспектор выдаёт одновременно с протоколом. Невыполнение предписания в установленный срок — самостоятельный состав: штраф по ч. 1 ст. 19.5 КоАП для должностных лиц до 20 000 ₽, для юрлиц — до 500 000 ₽ по отраслевым нормам. Обжалование постановления РКН происходит через арбитражный суд — с 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи.

Услуги DATUM по теме

Частые вопросы

1. Как подготовиться к проверке РКН?

За 7 дней до проверки нужно пройти пять шагов: проверить актуальность записи в реестре операторов на pd.rkn.gov.ru и при расхождении подать уведомление об изменении сведений по форме Приказа РКН № 180; убедиться, что политика обработки ПДн опубликована на сайте и содержит все реквизиты по ч. 2 ст. 18.1 ФЗ-152; проверить приказ о назначении ответственного по ст. 22.1 ФЗ-152; привести формы согласий в соответствие с требованиями ст. 9 ФЗ-152 в редакции с 01.09.2025; оформить журнал обращений субъектов и договоры-поручения с подрядчиками.

2. Какие индикаторы риска у РКН?

РКН использует несколько оснований для назначения внеплановой проверки: отсутствие компании в реестре операторов при действующем сайте со сбором ПДн; жалоба субъекта на отказ в уничтожении или предоставлении данных; публикация сведений об утечке в СМИ или даркнет-мониторинг РКН; несоответствие политики конфиденциальности обязательным требованиям по автоматизированному сканированию; неуведомление об инциденте при публично известном факте утечки.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Оператор обязан предоставить инспектору запрошенные документы в установленный срок. Отказ или непредоставление — административное нарушение, которое может быть квалифицировано по ст. 19.4 или ст. 19.7 КоАП. На практике попытка «не ответить» усиливает позицию инспектора и увеличивает риск назначения внеплановой проверки. Обжаловать можно предписание или постановление — но не сам запрос документов.

4. Что грозит за невыполнение предписания РКН?

Предписание обязательно к исполнению в указанный срок. Невыполнение квалифицируется как самостоятельное нарушение. По ч. 1 ст. 19.5 КоАП штраф для должностного лица составляет до 20 000 ₽, для юрлица — по отраслевым нормам до 500 000 ₽. При повторном невыполнении возможна дисквалификация должностного лица. Если предписание содержит обязанность уведомить РКН или уничтожить ПДн — невыполнение создаёт ещё и риск по ч. 5 ст. 13.11 КоАП.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП возвращены в подсудность мировых судей. Постановление мирового судьи обжалуется в районный суд, затем — в суд субъекта. Параллельно можно подать жалобу в вышестоящий орган РКН. При обжаловании применяются ст. 4.1 КоАП (обстоятельства, смягчающие ответственность) и ст. 4.1.1 КоАП (замена штрафа на предупреждение для микропредприятий при первичном нарушении — не применяется к оборотным составам ч. 15 и ч. 18).

Итог

Семь дней до проверки РКН — достаточный срок для устранения формальных нарушений, которые составляют большинство оснований для протоколов: несоответствие реестра, неполнота политики, отсутствие приказа об ответственном, устаревшие формы согласий. Каждое из этих нарушений — отдельный состав ст. 13.11 КоАП в редакции с 30.05.2025; суммирование штрафов не ограничено.

Практика DATUM по сопровождению проверок РКН включает экспресс-аудит документации за 2–3 рабочих дня, подготовку недостающих актов из обязательного перечня и представительство интересов компании при непосредственном взаимодействии с инспектором. При выявлении нарушений по итогам проверки — подготовку возражений на акт и обжалование постановлений через мировой суд.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.