Что отвечать на запрос РКН: структура

Практика DATUM по сопровождению проверок Роскомнадзора показывает: большинство компаний реагируют на запросы РКН без чёткой структуры. Часть документов не прикладывается, часть формулировок прямо противоречит тому, что записано в реестре операторов. В результате плановая проверка или профвизит превращаются в расширенное производство с протоколами. Эта статья — о том, как строить ответ, чтобы запрос не перерос в предписание.

Какие виды запросов направляет РКН и чем они отличаются?

Роскомнадзор взаимодействует с операторами в нескольких форматах. Каждый формат предполагает разный порядок ответа и разные последствия за нарушение сроков.

Плановая проверка. Проводится по ежегодному плану, размещённому на сайте РКН. Мораторий на плановые проверки малого и среднего бизнеса, введённый Постановлением Правительства, последовательно продлевался; на момент написания статьи его действие применительно к операторам ПДн необходимо уточнять в актуальном реестре планов. Крупный бизнес и госструктуры под мораторий не подпадают.

Внеплановая проверка. Возникает по жалобе субъекта, по факту утечки, по результатам профвизита или по индикаторам риска. Основания — ч. 2 ст. 10 ФЗ «О защите прав юридических лиц» в связке с регламентом РКН. Уведомление о внеплановой проверке может поступить с предупреждением менее 24 часов.

Профвизит (профилактический визит). Беседа с уполномоченным лицом оператора без составления акта проверки. Де-юре не проверка, де-факто — сигнал о предстоящем внеплановом контроле при выявленных несоответствиях. Отказаться от профвизита оператор не вправе.

Запрос документов. Направляется отдельно от проверки на основании ст. 18.1 ФЗ-152 — РКН вправе запросить политику обработки ПДн, сведения о мерах защиты, уведомление об обработке. Срок ответа на запрос определяется в самом запросе; стандартный — 10 рабочих дней. Непредоставление — основание для протокола по ч. 3 или ч. 4 ст. 13.11 КоАП.

Как строится структура ответа на запрос РКН?

Ответ на запрос РКН — это юридический документ, а не деловое письмо. Его структура определяется тем, что именно запрашивает регулятор, но базовые элементы неизменны.

1. Сопроводительное письмо. Указывает исходящий номер, дату, реквизиты оператора, ссылку на входящий запрос РКН. Подписывается уполномоченным лицом — в идеале руководителем или лицом, ответственным за обработку ПДн по ст. 22.1 ФЗ-152. Ответ от имени рядового сотрудника без соответствующих полномочий создаёт процессуальный риск при дальнейшем производстве.

2. Выписка или справка о включении в реестр операторов. Реестр операторов ПДн ведётся РКН на основании уведомлений по ст. 22 ФЗ-152 и Приказу РКН №180. Сведения в реестре должны соответствовать фактической обработке — наименование оператора, ИНН, цели обработки, категории ПДн, категории субъектов, перечень действий, наличие или отсутствие трансграничной передачи, сведения о мерах защиты.

3. Политика обработки персональных данных. Опубликованный документ по ч. 2 ст. 18.1 ФЗ-152 с обязательными разделами: цели, правовые основания, перечень ПДн, порядок реализации прав субъекта, сведения о мерах защиты. Приложить к ответу — с указанием URL на сайте, где документ опубликован.

4. Согласия субъектов (по запросу). Если РКН запрашивает подтверждение правомерности обработки конкретных категорий ПДн — приложить образцы действующих форм согласий. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом, не включается в договор или оферту.

5. Приказ о назначении ответственного за обработку ПДн. Требование ст. 22.1 ФЗ-152 — оператор-юрлицо обязан назначить ответственного. Отсутствие приказа или несоответствие между назначенным лицом и фактическим — типовое замечание при любом виде контроля.

6. Сведения о технических и организационных мерах защиты. Перечень мер по ст. 19 ФЗ-152 в соответствии с установленным уровнем защищённости (УЗ-1...УЗ-4 по ПП РФ №1119). При наличии — выписка из модели угроз или акта определения УЗ. Полный Приказ ФСТЭК №21 в ответ не прикладывают — достаточно подтверждения, что меры приняты.

Какие индикаторы риска РКН используют для внеплановой проверки?

РКН перешёл к риск-ориентированной модели контроля. Индикаторы риска определены приказом Минцифры и позволяют регулятору обосновать внеплановую проверку без жалобы субъекта. Для юриста оператора это означает: совпадение с одним из индикаторов — достаточное основание для проверки в любой момент.

К числу публично известных индикаторов относятся: отсутствие уведомления в реестре операторов при фактическом сборе ПДн через сайт; расхождение между задекларированными целями обработки и реальной деятельностью компании; факт утечки или публикации ПДн в открытом доступе; жалоба субъекта, которую оператор не рассмотрел в установленный срок; отсутствие политики конфиденциальности на сайте при сборе данных через форму.

Наличие хотя бы одного индикатора переводит оператора в категорию повышенного риска. Профвизит — первый шаг; внеплановая выездная или документарная проверка следует при подтверждении нарушения.

Типичные ошибки в ответе и как применяется ст. 13.11 КоАП

Анализ практики DATUM по сопровождению проверок выявил устойчивый набор ошибок, которые операторы допускают при ответе на запросы РКН.

Расхождение реестра и факта. Оператор указал в уведомлении одни цели обработки, а фактически обрабатывает ПДн для других — например, передаёт контрагентам или использует для таргетированной рекламы без фиксации этого в уведомлении. РКН обнаруживает расхождение при сравнении поданных документов с реальной деятельностью. Квалификация — ч. 1 ст. 13.11 КоАП (обработка, несовместимая с целями): штраф 150–300 тыс. ₽.

Отсутствие или устаревшая политика. Политика не опубликована или опубликована в версии трёхлетней давности, в которой не отражены новые сервисы или подрядчики. Квалификация — ч. 3 ст. 13.11 КоАП: штраф 30–60 тыс. ₽. Незначительный штраф не означает незначительный риск — отсутствие политики фиксируется как нарушение и является основанием для расширенной проверки.

Согласия в трудовом договоре или оферте. До 01.09.2025 практика включать согласие на обработку ПДн прямо в текст договора или пользовательского соглашения была распространена. С 01.09.2025 ФЗ-156 прямо запрещает такое объединение. Квалификация — ч. 2 ст. 13.11 КоАП (обработка без надлежащего согласия): штраф 300–700 тыс. ₽.

Нарушение срока ответа. Если оператор не ответил в срок, указанный в запросе, или ответил неполно, РКН вправе возбудить дело об административном правонарушении по ч. 4 ст. 13.11 КоАП (непредоставление субъекту информации об обработке его ПДн) или составить протокол по иному применимому составу — зависит от содержания запроса.

Как применяется практика на примере реальных ситуаций

Кейс 1. Юрист производственной компании (Уральский ФО, весна 2026) получил запрос РКН о предоставлении политики обработки ПДн и сведений о мерах защиты. Политика на сайте существовала, но не обновлялась с 2022 года и не отражала КЭДО, внедрённый в 2024 году. Юрист представил действующий документ без обновления. Инспектор сопоставил политику с данными из уведомления в реестре — расхождение зафиксировано. Составлен протокол по ч. 3 ст. 13.11 КоАП (отсутствие актуальной политики). Штраф — в нижней части диапазона 30–60 тыс. ₽; но за расхождением последовала внеплановая проверка по ч. 1 — дополнительный протокол на 150 тыс. ₽. Итог: два постановления вместо одного уточнения документа.

Кейс 2. Ситуация из реестра публичных дел: в деле, рассмотренном арбитражным судом Северо-Западного федерального округа в начале 2026 года, компания (данные IT-сектора) представила на запрос РКН пакет документов в полном объёме, включая актуальное уведомление в реестре, политику с обновлёнными разделами и приказ по ст. 22.1. РКН не выявил оснований для внеплановой проверки; профвизит завершился без составления акта. Ключевой фактор — соответствие представленных документов реальной практике обработки, подтверждённое на месте.

Услуги DATUM по теме

• Сопровождение проверок Роскомнадзора — подготовка к проверке, представительство, обжалование предписания
• Аудит соответствия 152-ФЗ — выявление расхождений до того, как их зафиксирует РКН
• Защита при штрафе в арбитраже — обжалование постановления по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка включает три шага. Первый — сверить сведения в реестре операторов на pd.rkn.gov.ru с фактической обработкой: цели, категории ПДн, трансграничная передача, перечень действий. Второй — проверить актуальность политики обработки ПДн по ч. 2 ст. 18.1 ФЗ-152: документ должен отражать все применяемые сервисы, подрядчиков и способы сбора данных. Третий — убедиться, что согласия субъектов соответствуют требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025: оформлены отдельным документом, содержат все обязательные реквизиты. Отдельно — назначен ли ответственный за обработку ПДн по ст. 22.1 и есть ли приказ.

2. Какие индикаторы риска у РКН?

Публично зафиксированные индикаторы: отсутствие уведомления в реестре операторов при фактическом сборе ПДн; расхождение между задекларированными и фактическими целями обработки; факт утечки или публикации ПДн в открытом доступе; жалоба субъекта без ответа оператора; отсутствие политики конфиденциальности при наличии форм сбора ПДн на сайте. Совпадение хотя бы с одним индикатором переводит оператора в категорию повышенного риска и обосновывает внеплановую проверку без жалобы.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Ст. 18.1 ФЗ-152 прямо обязывает оператора по запросу уполномоченного органа предоставлять документы, подтверждающие принятие мер по обеспечению требований закона. Непредоставление документов в срок, указанный в запросе, — самостоятельное основание для протокола по ч. 4 ст. 13.11 КоАП (штраф 40–80 тыс. ₽) и расширяет предмет последующей проверки. Оспорить можно содержание запроса (если он выходит за рамки полномочий РКН), но не факт обязанности отвечать.

4. Что грозит за невыполнение предписания РКН?

Предписание РКН обязательно к исполнению в установленный срок. Невыполнение влечёт ответственность по ч. 1 ст. 19.5 КоАП (неисполнение предписания надзорного органа) — штраф для юридического лица до 500 тыс. ₽. Помимо этого, неустранённое нарушение сохраняет основание для повторного протокола по ст. 13.11 КоАП уже по квалифицирующим частям с повышенными санкциями (ч. 1.1, ч. 2.1, ч. 5.1). Обжаловать предписание можно в судебном порядке — но исполнение на период обжалования, как правило, не приостанавливается автоматически.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд по месту вынесения постановления. При обжаловании применяются ст. 4.1 КоАП (обстоятельства, смягчающие ответственность) и ст. 4.1.1 КоАП (замена штрафа предупреждением для микропредприятий и субъектов МСП при первичном нарушении и отсутствии вреда). Ст. 4.1.1 не применяется к оборотным составам — ч. 15 и ч. 18 ст. 13.11. Срок обжалования постановления — 10 дней с момента вручения.

Итог

Ответ на запрос РКН — это не формальность и не повод направить любой набор документов. Структура ответа и соответствие реестровых сведений фактической практике напрямую определяют, закончится ли взаимодействие с регулятором запросом документов или перерастёт во внеплановую проверку с протоколом.

DATUM сопровождает операторов при взаимодействии с Роскомнадзором с момента получения запроса до завершения проверки и обжалования предписания. Практика охватывает документарные проверки, выездные мероприятия и профвизиты в компаниях различных отраслей.