Перейти к содержанию
аналитика 16 мая 2027 По состоянию на 16 мая 2027

Что НЕ предоставлять по запросу РКН

Запрос Роскомнадзора — не требование предоставить всё. Объём обязанности оператора ограничен законом: ст. 20 ФЗ-152 и Приказ РКН №180 определяют исчерпывающий перечень документов.
Избыточное раскрытие на плановой или внеплановой проверке формирует новые основания для протоколов по ст. 13.11 КоАП. При этом за невыполнение законного предписания — отдельный состав нарушения.
Если вы юрист компании и получили запрос РКН — эта статья объясняет, что подавать обязательно, что подавать нельзя и где проходит граница.

С 30.05.2025 ст. 13.11 КоАП действует в расширенной редакции по ФЗ-420 от 30.11.2024: 18 частей вместо 7. Одновременно Роскомнадзор перешёл на риск-ориентированный надзор с индикаторами риска и профилактическими визитами. Юристы, которые по привычке подают в РКН всё, что попросят инспекторы, рискуют превратить рутинную проверку в расширенное расследование. Ниже — разбор того, что НЕ нужно предоставлять, и почему.

Что РКН вправе запросить по закону?

Роскомнадзор проводит плановые проверки по ежегодному плану, внеплановые — по индикаторам риска или жалобам субъектов, и профилактические визиты без составления протоколов. Правовое основание для каждого вида — отдельное. Плановая проверка регулируется Федеральным законом о государственном контроле 248-ФЗ в части общего регламента и ФЗ-152 в части предмета. Объём документов, которые оператор обязан предоставить, зависит от вида проверки и её предмета.

По ст. 20 ФЗ-152 оператор обязан сообщить субъекту персональных данных сведения о своей обработке в течение 10 рабочих дней с момента обращения (с возможностью продления ещё на 5 рабочих дней). Аналогичный принцип — соответствия запроса предмету — применяется и к регулятору. Запрос РКН должен содержать ссылку на правовое основание, предмет и перечень запрашиваемых материалов. Если этого нет — оператор вправе запросить уточнение.

«Ст. 22 ФЗ-152 определяет, что в уведомлении оператора указываются цели, категории ПДн, категории субъектов, меры защиты и срок обработки. Именно эти сведения — исходный предмет проверочного интереса РКН при проверке реестра операторов. Всё остальное — только при наличии конкретного основания.»

На практике инспекторы нередко запрашивают документы сверх предмета проверки. Для юриста это сигнал: предоставлять только то, что прямо относится к заявленному предмету. Избыточный отклик расширяет горизонт проверки и может спровоцировать новые запросы.

Какие документы НЕ входят в обязательный пакет?

Обязательный пакет при плановой проверке соответствия ФЗ-152 включает: уведомление о намерении обрабатывать ПДн по Приказу РКН №180, политику обработки персональных данных по ст. 18.1 ФЗ-152, документы о назначении ответственного по ст. 22.1, согласия субъектов (в форме реестра или образцов форм), а также договоры-поручения с обработчиками по ст. 6 ФЗ-152.

В обязательный пакет НЕ входят:

  • Исходные коды информационных систем и технические спецификации серверной инфраструктуры — если проверка не связана с выполнением требований Приказа ФСТЭК №21.
  • Внутренняя переписка (корпоративная почта, чаты, протоколы совещаний), не являющаяся организационно-распорядительной документацией по ФЗ-152.
  • Договоры с клиентами и коммерческие предложения, содержащие конфиденциальную коммерческую информацию, если они прямо не являются правовым основанием обработки ПДн.
  • Реестры и базы данных с актуальными персональными данными субъектов — РКН не вправе требовать саму базу в рамках плановой проверки; предмет — наличие оснований и мер, а не содержание.
  • Данные о финансовых показателях компании, бизнес-планы и стратегические документы.
  • Документы по другим направлениям деятельности, не связанным с предметом проверки по ФЗ-152.
«Ч. 1 ст. 13.11 КоАП (в ред. с 30.05.2025) — штраф за обработку ПДн в случаях, не предусмотренных законом: 150 000–300 000 ₽. Предоставление инспектору избыточных документов, содержащих ПДн третьих лиц, может само по себе квалифицироваться как несанкционированное раскрытие.»

Получили запрос РКН и не уверены, что обязаны предоставить?

Юрист компании находится в сложном положении: отказ от предоставления может быть расценён как воспрепятствование проверке, избыточное предоставление — создаёт новые основания для протоколов. Правильный ответ — только то, что прямо относится к заявленному предмету. Юристы DATUM оценят запрос РКН и подготовят позицию за 24 часа.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как работают индикаторы риска и что они означают для юриста?

С переходом РКН на риск-ориентированный надзор внеплановые проверки назначаются по индикаторам риска. Перечень индикаторов утверждён подзаконным актом РКН. К типичным индикаторам относятся: три и более жалобы субъектов в течение одного квартала, публичное сообщение об утечке ПДн в СМИ или социальных сетях, отсутствие оператора в реестре по ст. 22 ФЗ-152 при наличии признаков обработки, нарушение срока уведомления об инциденте по ч. 3.1 ст. 21 ФЗ-152.

Для юриста это означает: если проверка назначена по конкретному индикатору — её предмет формально ограничен именно этим индикатором. Предоставление документов, относящихся к иным аспектам обработки ПДн, выходит за рамки обязанности оператора и расширяет предмет проверки де-факто. Это не воспрепятствование — это правомерная защита периметра.

Профилактический визит — отдельный инструмент. Он не является проверкой в смысле 248-ФЗ и не влечёт составления протокола. По итогам профвизита инспектор вправе выдать рекомендации. Оператор не обязан предоставлять документы на профилактическом визите в том же объёме, что на плановой проверке. Юристы нередко ошибочно уравнивают эти режимы.

Что подготовить к плановой проверке РКН (и не предоставлять ничего сверх)

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru — подтверждение факта уведомления по ст. 22 ФЗ-152 по Приказу РКН №180.
  • Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте или иным образом доступная субъектам.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
  • Образцы форм согласий субъектов, соответствующих ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156), — но не сами базы данных с подписанными согласиями.
  • Реестр договоров-поручений с обработчиками ПДн по п. 3 ст. 6 ФЗ-152 — без приложений с коммерческой тайной.

Что делать, если инспектор запрашивает лишнее?

Практика показывает три типовых сценария расширения запроса со стороны инспекторов РКН.

Сценарий 1. Инспектор запрашивает базу данных с ПДн субъектов. Ситуация: в рамках плановой проверки реестра операторов инспектор устно запрашивает выгрузку из CRM или HR-системы. Стратегия: предоставить только описание категорий данных, соответствующее уведомлению по Приказу РКН №180. Сама база данных не является документом-основанием обработки — это её предмет. Передача базы в рамках проверки не предусмотрена ни ФЗ-152, ни 248-ФЗ. Вероятный исход при правильной позиции: инспектор фиксирует предмет уведомления, проверка завершается без расширения.

Сценарий 2. Внеплановая проверка по индикатору «жалоба субъекта» — инспектор запрашивает все согласия за три года. Ситуация: жалоба касается отказа удалить данные одного конкретного субъекта. Инспектор расширяет запрос на весь архив согласий. Стратегия: предоставить документы, связанные с данным субъектом: его согласие, историю обращений, ответ на запрос по ст. 14 ФЗ-152. Весь архив — за рамками предмета проверки. Письменно зафиксировать объём предоставленного. Вероятный исход: РКН ограничит предмет конкретным эпизодом; расширение возможно только при новом основании.

Сценарий 3. Инспектор запрашивает исходный код системы под предлогом проверки технических мер защиты. Ситуация: проверка касается выполнения организационных мер по ст. 18.1. Стратегия: предоставить организационно-распорядительную документацию (ОРД) по обеспечению безопасности, перечень реализованных мер по ПП РФ №1119 и Приказу ФСТЭК №21. Исходный код системы не является ОРД и не входит в предмет. При настойчивости инспектора — письменный отказ с указанием правового основания. Вероятный исход: инспектор запрашивает акт оценки эффективности мер; исходный код в материалах проверки не фигурирует.

Если юрист компании уже передал лишние документы или получил предписание по итогам проверки — позиция ещё не проиграна. Обжалование предписания РКН в арбитраже возможно в течение 10 дней с момента получения. Юристы DATUM сопровождают обжалование от протокола до постановления.

Защитить от штрафа 13.11

Как это применяется на практике

Кейс 1. Юридическая служба торговой компании (Сибирский ФО, осень 2025) получила уведомление о внеплановой проверке по индикатору: поступила жалоба субъекта на отказ в удалении ПДн. Инспектор РКН в ходе проверки запросил полный архив баз данных CRM за последние два года. Юрист компании при содействии консультантов предоставил только документы по конкретному субъекту: форму его согласия, историю запросов и ответ по ст. 14 ФЗ-152. По итогам проверки РКН выдал предписание только по одному эпизоду — нарушению срока ответа субъекту. Штраф составил несколько десятков тысяч рублей по ч. 4 ст. 13.11 КоАП. Предоставление полного архива позволило бы РКН выявить дополнительные нарушения и расширить предмет проверки.

Кейс 2. IT-компания (Уральский ФО, начало 2026) прошла плановую проверку реестра операторов. Инспектор запросил исходный код мобильного приложения под предлогом проверки технических мер защиты. Юрист компании предоставил ОРД: политику обработки ПДн, приказ по уровню защищённости УЗ-3 по ПП РФ №1119, перечень мер по Приказу ФСТЭК №21. Исходный код предоставлен не был — с письменным обоснованием. РКН не стал настаивать. Проверка завершилась без штрафов. По данным регулятора, в 2025 году по новым нормам ст. 13.11 назначено лишь 6 административных штрафов — суды и регулятор накапливают практику применения ФЗ-420.

Услуги DATUM по теме

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка к проверке РКН включает три обязательных шага. Первый — проверить актуальность уведомления в реестре операторов на pd.rkn.gov.ru: сведения должны соответствовать фактической обработке по Приказу РКН №180. Второй — убедиться, что политика обработки ПДн по ст. 18.1 ФЗ-152 опубликована и содержит все обязательные разделы. Третий — собрать ОРД: приказ о назначении ответственного по ст. 22.1, образцы актуальных согласий по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156), договоры-поручения с обработчиками. Параллельно — определить, какие документы НЕ входят в предмет, и не предоставлять их без отдельного законного требования.

2. Какие индикаторы риска использует РКН?

Роскомнадзор применяет индикаторы риска для назначения внеплановых проверок. К типичным относятся: три и более жалобы субъектов персональных данных за один квартал, публичное сообщение об утечке ПДн, отсутствие оператора в реестре при наличии признаков обработки, нарушение срока уведомления об инциденте (24 часа по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187). При назначении внеплановой проверки по конкретному индикатору её предмет ограничен именно этим индикатором — что влияет на объём обязательных к предоставлению документов.

3. Можно ли отказаться отвечать на запрос РКН?

Полный отказ от исполнения законного предписания или запроса РКН влечёт отдельную ответственность. Однако отказ предоставить конкретные документы, выходящие за предмет проверки, — правомерен при условии письменного обоснования. Юрист должен чётко разграничить: что запрашивается в рамках проверочного задания, а что выходит за его рамки. Письменная позиция с указанием нормы (предмет проверки, перечень в проверочном задании) защищает оператора лучше, чем молчаливый отказ или избыточное раскрытие.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания регулятора — отдельный состав по ст. 19.5 КоАП. Для юридических лиц это штраф от 10 000 до 20 000 ₽ за первое нарушение. При повторном — до 50 000 ₽ и дисквалификация должностного лица. Кроме того, РКН вправе обратиться в суд с требованием об ограничении доступа к ресурсу. Если предписание выдано необоснованно или с превышением полномочий — его можно обжаловать в арбитражном суде в течение 10 дней с момента получения.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП снова рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд, затем в региональный суд и далее в Верховный суд РФ. Постановление РКН как органа — в арбитражный суд субъекта РФ. Срок подачи жалобы — 10 суток с момента получения постановления. При наличии первичного нарушения и статуса микропредприятия возможна замена штрафа на предупреждение по ст. 4.1.1 КоАП (не применяется к оборотным составам — ч. 15 и ч. 18 ст. 13.11).

Итог

Запрос РКН — не основание раскрывать всё. Объём обязанности оператора ограничен предметом проверки, видом контрольного мероприятия и нормами ФЗ-152 и 248-ФЗ. Избыточное предоставление документов расширяет горизонт проверки и может создать новые основания для протоколов по ст. 13.11 КоАП в редакции с 30.05.2025.

Юристы DATUM сопровождают компании на всех стадиях взаимодействия с Роскомнадзором: от получения уведомления о проверке до обжалования предписания и постановления в арбитраже. Практика по ФЗ-152 и ст. 13.11 КоАП — с 2014 года.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.

16 мая 2027 года