Что приготовить инспектору РКН
В 2024 году Роскомнадзор зафиксировал 135 случаев компрометации данных и более 710 миллионов утёкших записей. По итогам 2025 года ведомство назначило шесть административных штрафов на общую сумму около 570 тысяч рублей — цифра кажется скромной, но она отражает лишь первые месяцы применения новых норм ФЗ-420 от 30.11.2024. Правоприменительная практика накапливается: операторы, которые не успели выстроить документальную базу до прихода инспектора, рискуют получить сразу несколько протоколов по разным частям ст. 13.11 КоАП.
Как Роскомнадзор приходит на проверку и что это означает для юриста?
Проверки делятся на три вида. Плановая проверка включается в ежегодный план на основании риск-ориентированного подхода: операторы с высоким категорийным риском проверяются раз в три года, со средним — раз в пять лет. Внеплановая проверка назначается при поступлении жалобы субъекта, сигнала от иного органа власти или при выявлении индикатора риска. Профилактический визит — наименее обременительный формат: инспектор приходит без права выдачи предписаний, однако результаты фиксируются и могут стать основанием для внеплановой проверки.
Индикаторы риска, утверждённые приказом РКН, включают: отсутствие оператора в реестре по Приказу РКН №180 от 28.10.2022, жалобы субъектов на нарушение их прав, сведения о публичных утечках из открытых источников и несоответствие заявленных сведений в реестре фактическому объёму обработки. Появление компании в новостях об утечке практически гарантирует внеплановую проверку.
С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП снова рассматривают мировые судьи. Это сокращает процессуальные сроки и повышает предсказуемость, но одновременно снижает глубину анализа обстоятельств дела по сравнению с арбитражем. Юристу важно понимать: основная работа происходит до вынесения постановления — на стадии проверки и составления протокола.
Получили уведомление о проверке РКН?
У юриста, который сопровождает проверку без предварительной подготовки, есть, как правило, 10 рабочих дней с момента уведомления до прихода инспектора. Этого времени достаточно для базовой выгрузки документов, но недостаточно для устранения системных пробелов. Любая непоследовательность в ОРД на этом этапе фиксируется в акте — и становится основанием для протокола.
Подготовиться к проверке РКН+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Какие документы инспектор запрашивает в первую очередь?
Инспектор РКН действует по проверочному листу. Он не обязан предупреждать о конкретных документах заблаговременно — достаточно уведомления о проверке. На практике первыми запрашиваются следующие материалы.
Что подготовить к визиту инспектора
- Выписка из реестра операторов ПДн с pd.rkn.gov.ru — подтверждает своевременность уведомления по ст. 22 ФЗ-152; при отсутствии или устаревших сведениях — основание для протокола по ч. 10 ст. 13.11 КоАП (штраф 100–300 тыс. ₽).
- Политика обработки персональных данных — опубликованная версия с датой, соответствующая ч. 2 ст. 18.1 ФЗ-152; отсутствие публикации — ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽).
- Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с подписью руководителя и отметкой об ознакомлении назначенного лица.
- Согласия субъектов — по каждой категории обработки, в редакции с обязательными реквизитами ст. 9 ФЗ-152; для обработки после 01.09.2025 — согласие как отдельный документ по ФЗ-156 от 24.06.2025.
- Журнал учёта обращений субъектов с входящими запросами за последние 12 месяцев и ответами в сроки по ст. 20 ФЗ-152 (10 рабочих дней).
Помимо перечисленного, инспектор вправе запросить договоры поручения обработки ПДн со всеми третьими лицами — подрядчиками, облачными провайдерами, маркетинговыми агентствами. По устойчивой позиции судов, оператор отвечает за утечку через подрядчика так же, как за собственную. Если договор поручения не содержит перечня поручаемых действий, правовых оснований и мер защиты — он не соответствует п. 3 ст. 6 ФЗ-152 и инспектор квалифицирует это как обработку без достаточного правового основания.
Отдельно — документы по технической защите: результаты классификации ИСПДн по ПП РФ №1119 с определённым уровнем защищённости (УЗ-1..УЗ-4) и перечень применённых мер по Приказу ФСТЭК №21 от 18.02.2013. Инспектор РКН не является органом ФСТЭК и не проводит техническую экспертизу, однако отсутствие классификационного акта фиксируется как ненадлежащая организация защиты по ст. 19 ФЗ-152.
Что происходит, если часть документов отсутствует или устарела?
Отсутствие документа и нарушение требований к его содержанию — разные составы с разными санкциями. Юристу важно разграничить их до прихода инспектора, чтобы минимизировать количество протоколов.
Если политика конфиденциальности опубликована, но не содержит обязательных разделов по ч. 2 ст. 18.1 ФЗ-152 — это ч. 3 ст. 13.11 (30–60 тыс. ₽). Если согласие получено, но не содержит всех обязательных реквизитов ст. 9 — это ч. 2 ст. 13.11 (300–700 тыс. ₽). Если оператор обрабатывает данные в целях, не заявленных при уведомлении РКН — это ч. 1 ст. 13.11 (150–300 тыс. ₽). Каждый состав самостоятелен: три нарушения означают три протокола.
Моратории на проверки малого бизнеса, действовавшие в 2022–2023 годах, на проверки РКН по 152-ФЗ не распространялись и не распространяются. Это устойчивое заблуждение: РКН — специальный контрольный орган, его проверки регулируются отдельным порядком, а не общим мораторием Правительства.
Если юрист компании обнаружил пробелы в ОРД уже после уведомления о проверке — каждое выявленное нарушение лучше зафиксировать отдельно и оценить риск по части ст. 13.11. Штраф за три состава по ч. 1, ч. 2 и ч. 3 может превысить 1 млн ₽ суммарно. Юристы DATUM проводят экспресс-аудит за 3 рабочих дня и расставляют приоритеты устранения нарушений до прихода инспектора.
Заказать аудит 152-ФЗКак выглядит практика: три характерных сценария
Сценарий 1. Уведомление в реестре устарело. Производственная компания (Уральский ФО, осень 2025) была зарегистрирована как оператор ПДн три года назад, однако за это время расширила обработку: добавила биометрический СКУД и подключила облачную CRM. Сведения в реестре не обновлялись. Инспектор квалифицировал расхождение между реестром и фактической обработкой по ч. 1 ст. 13.11 (150–300 тыс. ₽) и ч. 10 ст. 13.11 — неуведомление об изменении сведений (100–300 тыс. ₽). Итог: два протокола. Юрист компании обжаловал один из них, опираясь на добровольное устранение нарушения до вынесения постановления, — штраф снижен до минимума. Стратегия: сверять реестр с фактическим объёмом обработки не реже раза в год и обновлять уведомление по форме Приказа РКН №180.
Сценарий 2. Согласия в трудовых договорах. Торговая сеть (Центральный ФО, зима 2025–2026) продолжала использовать согласия работников, включённые в текст трудового договора, — практика, распространённая до 01.09.2025. После вступления в силу ФЗ-156 от 24.06.2025 такое согласие перестало отвечать требованиям ст. 9 ФЗ-152 как самостоятельный документ. Внеплановая проверка по жалобе бывшего работника выявила нарушение по ч. 2 ст. 13.11. Штраф — в диапазоне 300–700 тыс. ₽. Новые согласия, оформленные после уведомления о проверке, суд учёл как смягчающее обстоятельство. Стратегия: переоформить все согласия работников после 01.09.2025 — ФЗ-156 не предусматривает обратной силы, но не освобождает от требований к форме новых документов.
Сценарий 3. Утечка через подрядчика. Логистическая компания (Северо-Западный ФО, лето 2026) передала базу клиентов внешнему call-центру без оформленного договора поручения. После инцидента у подрядчика компания не уведомила РКН в течение 24 часов — нарушение ч. 3.1 ст. 21 ФЗ-152. Протоколы составлены по ч. 11 ст. 13.11 (1–3 млн ₽ за неуведомление об утечке) и по ч. 12 ст. 13.11 (3–5 млн ₽ за утечку от 1 000 до 10 000 субъектов). В арбитраже применена ст. 4.1.1 КоАП к одному из составов — штраф заменён на предупреждение при условии отсутствия повторности. Общая нагрузка снижена, однако не устранена. Стратегия: договор поручения — обязательный элемент ОРД при любой передаче данных третьим лицам; реагирование на утечку начинается с настроенного процесса обнаружения и фиксации инцидента.
Услуги DATUM по теме
- Сопровождение проверки РКН — подготовка, представительство, обжалование предписания
- Аудит соответствия 152-ФЗ — экспресс-диагностика ОРД перед визитом инспектора
- Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11
Частые вопросы
1. Как подготовиться к проверке РКН?
Подготовка начинается с проверки актуальности записи в реестре операторов на pd.rkn.gov.ru: сведения должны отражать фактический объём обработки, категории данных и способы обработки. Затем — аудит ОРД: политика, приказ об ответственном по ст. 22.1 ФЗ-152, согласия в редакции с 01.09.2025, договоры поручения со всеми подрядчиками, журнал обращений субъектов. Параллельно — проверка наличия классификационного акта ИСПДн по ПП РФ №1119. Отсутствие любого из перечисленных элементов — самостоятельный состав нарушения.
2. Какие индикаторы риска применяет РКН?
Перечень индикаторов риска утверждён приказом РКН. Типичные индикаторы: оператор не внесён в реестр либо сведения в реестре не обновлялись более двух лет; поступила жалоба субъекта; компания упоминается в публичных источниках в связи с утечкой данных; выявлено несоответствие между объёмом обработки на сайте и заявленными целями. Наличие хотя бы одного индикатора — основание для назначения внеплановой проверки без предварительного согласования с прокуратурой.
3. Можно ли отказаться отвечать на запрос РКН?
Нет. Непредоставление документов или уклонение от ответа на запрос РКН квалифицируется как воспрепятствование проведению проверки и влечёт самостоятельную административную ответственность. Оператор вправе запросить разъяснения относительно состава и сроков предоставления документов, но не вправе отказать в их предоставлении. Юрист может сопровождать проверку и взаимодействовать с инспектором от имени оператора на основании доверенности.
4. Что грозит за невыполнение предписания РКН?
Предписание об устранении нарушений выдаётся по итогам проверки. Невыполнение в установленный срок — самостоятельный состав правонарушения. Кроме того, невыполнение предписания об уничтожении или блокировании ПДн квалифицируется по ч. 5 ст. 13.11 КоАП (50–90 тыс. ₽ для юрлица), а повторное невыполнение — по ч. 5.1 (300–500 тыс. ₽). В случае, если предписание касается локализации ПДн граждан РФ (ч. 5 ст. 18 ФЗ-152), штраф по ч. 8 ст. 13.11 за повторное нарушение составит 6–18 млн ₽.
5. Куда обжаловать постановление РКН?
С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд, затем в региональный суд общей юрисдикции. До вступления в силу ФЗ-508 дела рассматривали арбитражные суды — практика этого периода применима по аналогии при обосновании смягчающих обстоятельств. При повторности нарушения и угрозе оборотного штрафа по ч. 15 ст. 13.11 (1–3% выручки, не менее 20 млн ₽) — целесообразно привлечь юриста до стадии составления протокола.
Итог
Исход проверки РКН определяется состоянием документальной базы оператора на дату визита инспектора. Реестр, политика, согласия, приказы, договоры поручения и журналы обращений — каждый из этих элементов закрывает отдельный состав ст. 13.11 КоАП. Отсутствие одного документа не компенсируется наличием остальных.
DATUM сопровождает операторов на всех стадиях взаимодействия с РКН: от экспресс-аудита ОРД до представительства в ходе проверки и обжалования постановления в суде. Практика по 152-ФЗ — с 2014 года.
8 апреля 2027 года