аналитика 5 июня 2027 По состоянию на 5 июня 2027

Что инспектор РКН не вправе делать

Инспектор Роскомнадзора действует строго в рамках Федерального закона № 294-ФЗ «О защите прав юридических лиц» и регламента проверок по ФЗ-152. Выход за эти рамки — основание для обжалования и признания результатов проверки недействительными.

С 30.05.2025 санкции по ст. 13.11 КоАП выросли до 500 млн ₽. Но оператор, который знает ограничения полномочий инспектора, снижает риск незаконного протокола до минимума.

Если вы юрист и сопровождаете проверку РКН — проверьте каждое действие инспектора по чек-листу ниже. Любое нарушение порядка фиксируйте письменно.

Роскомнадзор в 2024 году зафиксировал 135 инцидентов с утечками, затронувших более 710 млн записей. В 2025 году регулятор усилил контрольную активность: проверки по индикаторам риска, внеплановые визиты после жалоб субъектов, профилактические визиты. При этом инспектор — должностное лицо, ограниченное законом. Знание этих ограничений позволяет юристу оператора контролировать ход проверки, а не просто реагировать на требования.

Какие действия инспектора РКН прямо запрещены законом?

Полномочия инспектора определены ФЗ-294 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля» и административным регламентом РКН. Нарушение любого из запретов — это грубое нарушение по ст. 20 ФЗ-294, при котором результаты проверки подлежат отмене.

«Ст. 20 ФЗ-294 — грубые нарушения требований к организации и проведению проверок влекут недействительность результатов проверки по заявлению проверяемого лица в суд или вышестоящему органу.»

Инспектор РКН не вправе:

Проверять требования, не включённые в предмет проверки. Если в уведомлении о проверке указана «обработка ПДн клиентов», инспектор не может запрашивать документы по ПДн работников. Выход за предмет — грубое нарушение ст. 15 ФЗ-294.
Начинать проверку без предъявления распоряжения (приказа) о её проведении. Распоряжение оформляется по форме, утверждённой регламентом РКН, и содержит реквизиты: дата, основание, предмет, состав инспекторов, сроки. До его предъявления оператор вправе не допускать проверяющих.
Требовать нотариально заверенные копии документов вместо обычных копий, заверенных подписью уполномоченного лица оператора (ч. 5 ст. 11 ФЗ-294).
Изымать оригиналы документов в ходе документарной или выездной проверки без оформления мотивированного запроса и описи. При выездной проверке изъятие возможно только в рамках административного производства.
Превышать установленный срок проверки. Плановая выездная проверка — не более 20 рабочих дней; для малого бизнеса — не более 50 часов в год; для микропредприятий — не более 15 часов. Продление возможно только один раз и только с уведомлением оператора.
Проводить плановую проверку чаще одного раза в три года. Мораторий на плановые проверки малого и среднего бизнеса, действующий с 2022 года, для РКН имеет ограничения: надзор в сфере ПДн выведен из-под полного моратория, поэтому частота проверок регулируется отдельно регламентом ведомства.
Проводить выездную проверку в отсутствие руководителя или уполномоченного представителя оператора — кроме случаев угрозы причинения вреда или наступления чрезвычайных ситуаций (ч. 2 ст. 13 ФЗ-294).
Распространять информацию, составляющую коммерческую тайну или охраняемую законом, полученную в ходе проверки (ст. 17 ФЗ-294). Это прямо относится к сведениям об архитектуре ИСПДн, клиентских базах и технических мерах защиты.
Требовать оплаты проведения мероприятий по контролю — проверка всегда бесплатна для оператора.

Перечень не исчерпывающий: ст. 15 ФЗ-294 содержит полный список запретов, включая запрет на воспрепятствование деятельности оператора в период проверки.

Инспектор уже на месте или получили уведомление о проверке?

Если вы юрист и сопровождаете проверку РКН — критично понимать, какие запросы инспектора выходят за рамки распоряжения. Любая ошибка на этапе проверки сужает возможности обжалования. Юристы DATUM сопровождают проверки РКН, проверяют соответствие распоряжения требованиям ФЗ-294 и фиксируют нарушения инспектора для обжалования в суде или вышестоящем органе.

Подготовиться к проверке РКН

Ответим в течение 2 часов · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как инспектор обязан действовать при проверке: порядок, который защищает оператора

Знание обязанностей инспектора — зеркальная сторона знания его запретов. Нарушение обязанностей инспектором так же влечёт недействительность результатов проверки.

До начала проверки инспектор обязан:

направить уведомление о плановой проверке не позднее чем за 3 рабочих дня до начала — по почте с уведомлением или через ФГИС «Единый реестр проверок» (ЕРП, erp.genproc.gov.ru);
при внеплановой выездной проверке — уведомить не менее чем за 24 часа (кроме случаев непосредственной угрозы);
включить проверку в ЕРП до её начала — отсутствие записи в реестре само по себе является основанием для обжалования.

В ходе проверки инспектор обязан:

предъявить служебное удостоверение и распоряжение о проверке;
ознакомить руководителя оператора с правами и обязанностями под роспись;
не нарушать технологический процесс работы организации;
составить акт проверки в двух экземплярах; один — вручить оператору под роспись.

По итогам проверки инспектор обязан зафиксировать все выявленные нарушения в акте с указанием конкретных норм. Общая формулировка «нарушение законодательства о ПДн» без ссылки на статью — основание для оспаривания предписания.

«Ст. 16 ФЗ-294 — предписание об устранении нарушений выдаётся одновременно с актом проверки или в сроки, установленные им. В предписании обязательно указываются конкретные меры и сроки их выполнения.»

Что такое профилактический визит и чем он отличается от проверки?

С 2021 года РКН активно применяет профилактические визиты — инструмент, появившийся с реформой контрольно-надзорной деятельности (ФЗ-248 от 31.07.2020). Юристу важно понимать разницу, поскольку полномочия инспектора при визите и проверке принципиально различаются.

Профилактический визит — это консультация, которая не влечёт составления протокола и не имеет юридических последствий для оператора. Инспектор вправе лишь разъяснить требования и указать на риски. При визите инспектор не вправе:

выдавать предписания об устранении нарушений;
составлять протоколы об административных правонарушениях;
изымать документы или копировать базы данных;
проводить контрольные мероприятия (опросы, испытания, осмотры) с фиксацией результатов.

Плановая и внеплановая проверки — напротив, влекут юридически значимые результаты: акт проверки, предписание, протокол по ст. 13.11 КоАП. Оператор вправе отказаться от профилактического визита, уведомив РКН не позднее чем за 3 рабочих дня, — без каких-либо правовых последствий.

На практике инспекторы иногда используют визит как «разведку» перед внеплановой проверкой. Позиция юриста: при любом визите фиксировать вопросы и ответы письменно, не предоставлять документы сверх запрошенного.

Если юрист компании уже получил уведомление о внеплановой проверке по жалобе субъекта — у вас менее 24 часов на подготовку. Проверьте, включена ли проверка в ЕРП: отсутствие записи означает, что результаты оспоримы с первого дня. Юристы DATUM оценят законность основания и подготовят позицию.

Защитить от штрафа 13.11

Индикаторы риска РКН: на каком основании назначают внеплановую проверку?

Внеплановая проверка назначается по одному из оснований ст. 10 ФЗ-294 и перечня индикаторов риска, утверждённых приказом РКН (приказ РКН № 180 от 28.10.2022 и профильные акты регламента надзора). Знание индикаторов позволяет оператору понять, почему пришла проверка, и оспорить её, если основание не соответствует реальным обстоятельствам.

Типовые индикаторы риска, по которым РКН инициирует внеплановые проверки:

жалоба субъекта ПДн, направленная в РКН в порядке ст. 17 ФЗ-152;
выявление утечки ПДн оператора в открытых источниках или тематических ресурсах (даркнет, Telegram);
отсутствие оператора в реестре РКН при наличии признаков обработки (публичный сайт с формой сбора ПДн);
нарушение срока уведомления об инциденте: оператор не направил первичное уведомление в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152) или не представил отчёт за 72 часа по Приказу РКН № 187;
обработка специальных категорий ПДн (ст. 10 ФЗ-152) без очевидного правового основания;
передача ПДн граждан РФ за рубеж без уведомления РКН в нарушение ч. 5 ст. 18 ФЗ-152.

Если основание, указанное в распоряжении, не соответствует ни одному из перечисленных индикаторов — это аргумент для оспаривания. Формулировка «поступила информация» без указания конкретного источника признаётся судами недостаточной.

Что подготовить до прихода инспектора

Выписку из реестра операторов ПДн (pd.rkn.gov.ru) — подтверждение факта уведомления по ст. 22 ФЗ-152.
Актуальную политику обработки ПДн с датой утверждения и публикации на сайте (ч. 2 ст. 18.1 ФЗ-152).
Копию распоряжения о проверке из ЕРП (erp.genproc.gov.ru) — для сверки предмета и состава инспекторов.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 — он же уполномоченный представитель при проверке.
Журнал учёта обращений субъектов за последние 12 месяцев — доказательство соблюдения ст. 20 ФЗ-152.

Как применяются сценарии нарушений на практике

Сценарий 1. Инспектор запрашивает документы, не указанные в распоряжении. Производственная компания (Уральский ФО, осень 2025) получила выездную проверку с предметом «обработка ПДн клиентов». Инспектор потребовал личные дела сотрудников. Юрист предъявил распоряжение и указал, что ПДн работников не входят в предмет. Инспектор настаивал устно. Юрист зафиксировал факт требования в акте разногласий, подписанном при вручении итогового акта. Арбитражный суд региона признал ссылки на ПДн работников в акте проверки ненадлежащими доказательствами и исключил их из основания предписания.

Сценарий 2. Внеплановая проверка по основанию, не соответствующему индикатору риска. Медицинская клиника (Центральный ФО, начало 2026) получила уведомление о внеплановой проверке с формулировкой «поступила информация о нарушениях». Клиника проверила ЕРП: запись внесена за 18 часов до уведомления, а не до проверки. Юрист подал жалобу в прокуратуру района на нарушение порядка уведомления. Прокуратура приостановила проверку; РКН оформил повторное распоряжение с корректным основанием. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Сценарий 3. Предписание без указания конкретных норм. Ретейлер (Северо-Западный ФО, лето 2025) получил предписание с формулировкой «устранить нарушения законодательства о персональных данных» без ссылок на статьи ФЗ-152. Юрист обжаловал предписание в арбитражный суд, указав на нарушение ст. 16 ФЗ-294. Суд признал предписание недействительным, поскольку из него не следовало, какие конкретно действия требуются от оператора.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания.
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП.
Аудит соответствия 152-ФЗ — проверка готовности к проверке по чек-листу из 38 пунктов.

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка включает четыре блока: документарный (политика, ОРД, журналы), реестровый (актуальность записи в реестре операторов по ст. 22 ФЗ-152), технический (соответствие ИСПДн уровню защищённости по ПП РФ № 1119 и Приказу ФСТЭК № 21) и процессуальный (назначение ответственного по ст. 22.1, инструктаж сотрудников о порядке взаимодействия с инспектором). Отдельно — проверка соответствия публичных ресурсов: политика на сайте, баннер согласия на cookies, форма запроса субъекта.

2. Какие индикаторы риска у РКН?

Регулятор ориентируется на жалобы субъектов, публичные утечки в открытых источниках, отсутствие оператора в реестре РКН при активном сборе ПДн, нарушение 24-часового срока уведомления об инциденте по ч. 3.1 ст. 21 ФЗ-152, обработку спецкатегорий ПДн без правового основания и трансграничную передачу без уведомления. Наличие индикатора — не автоматическое основание для проверки, но достаточный повод для инициирования внеплановой по ст. 10 ФЗ-294.

3. Можно ли отказаться отвечать на запрос РКН?

Отказ от ответа на законный запрос РКН влечёт привлечение к ответственности по ч. 1 ст. 13.11 КоАП. Вместе с тем оператор вправе не предоставлять документы, выходящие за предмет проверки, а также сведения, составляющие коммерческую или иную охраняемую тайну, до получения мотивированного запроса с основанием. Ответ на запрос о сведениях реестра оператора, политике и перечне обрабатываемых ПДн — обязателен в сроки, установленные регламентом.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания регулятора в установленный срок квалифицируется по ч. 1 ст. 19.5 КоАП: штраф для юридического лица — от 10 000 до 20 000 ₽. При повторном неисполнении — усиление санкции. Помимо штрафа, РКН вправе обратиться в суд с требованием об ограничении доступа к ресурсу оператора. Предписание с неопределёнными требованиями (без конкретных норм и действий) — оспаривается в арбитраже; суды системно признают такие предписания недействительными.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд; далее — в суд субъекта РФ и Верховный суд. Постановления, вынесенные должностными лицами РКН (не судом), обжалуются в вышестоящий орган РКН или в районный суд по месту нахождения оператора. При обжаловании применяются ст. 4.1 и ст. 4.1.1 КоАП — снижение штрафа при инвестициях в ИБ и замена на предупреждение для микропредприятий при первичном нарушении соответственно.

Итог

Инспектор РКН действует в рамках ФЗ-294, регламента надзора и распоряжения о конкретной проверке. Любое отступление от этих рамок — от превышения предмета до отсутствия записи в ЕРП — создаёт процессуальное основание для признания результатов недействительными. Юрист оператора, знающий эти ограничения, не просто реагирует на требования инспектора, а контролирует ход проверки с первой минуты.

Юристы DATUM сопровождают проверки РКН с 2014 года, обжалуют протоколы и постановления по ст. 13.11 КоАП, добиваются снижения штрафов через ст. 4.1 КоАП и замены на предупреждение по ст. 4.1.1 КоАП.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.