Что РКН проверяет на сайте: 18 индикаторов
С 2023 года Роскомнадзор перешёл от случайных запросов к системным профвизитам по индикаторам риска. Согласно Приказу РКН №180, оператор обязан уведомить регулятора до начала обработки персональных данных. Сайт компании — первая точка контроля: именно с него начинается любой профвизит или внеплановая проверка. Понимание 18 индикаторов позволяет юристу закрыть уязвимости до того, как инспектор оформит протокол.
Нужна проверка сайта до визита РКН?
Если вы юрист и готовите компанию к проверке Роскомнадзора — у вас есть время закрыть индикаторы риска до профвизита. Каждый незакрытый пункт из 18 — отдельный штраф по ст. 13.11 КоАП. Юристы DATUM проведут аудит сайта и подготовят план устранения нарушений.
Подготовиться к проверке РКНОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Какие 18 индикаторов РКН проверяет на сайте?
РКН применяет индикаторы риска, утверждённые совместным приказом с Минцифры. Каждый индикатор — формальное основание для профвизита или внеплановой проверки. Ниже — полный перечень по блокам.
Блок 1. Уведомление и реестр
- Индикатор 1. Оператор отсутствует в реестре операторов ПДн на pd.rkn.gov.ru при наличии публичного сайта со сбором данных.
- Индикатор 2. Сведения в реестре не соответствуют фактической обработке: иные цели, категории, страны передачи.
- Индикатор 3. Уведомление подано после начала обработки, а не до — нарушение ст. 22 ФЗ-152.
Блок 2. Политика конфиденциальности
- Индикатор 4. Политика обработки ПДн отсутствует на сайте или недоступна без авторизации — нарушение ч. 2 ст. 18.1 ФЗ-152.
- Индикатор 5. Политика не содержит обязательных разделов: перечень ПДн, цели, правовые основания, сроки хранения, порядок обращений субъектов.
- Индикатор 6. Дата политики устарела: не отражает изменения в составе обработки за последние 12 месяцев.
Блок 3. Согласие субъектов
- Индикатор 7. Согласие на обработку ПДн включено в текст договора, оферты или пользовательского соглашения — не оформлено отдельным документом (требование ч. 1 ст. 9 ФЗ-152 в редакции с 01.09.2025).
- Индикатор 8. Форма сбора данных не содержит явного согласия: чекбокс проставлен по умолчанию или его нет вовсе.
- Индикатор 9. Отсутствует механизм отзыва согласия — субъект не может отозвать в том же порядке, что и дал.
Блок 4. Cookies и трекеры
- Индикатор 10. Сайт устанавливает cookies до получения согласия пользователя — баннера нет или он декоративный.
- Индикатор 11. На сайте используются сервисы Google Analytics, Meta Pixel, Яндекс.Метрика с передачей данных за рубеж без уведомления РКН о трансграничной передаче (ст. 12 ФЗ-152).
- Индикатор 12. Отсутствует политика cookies или описание используемых трекеров в политике конфиденциальности.
Блок 5. Технические и организационные меры
- Индикатор 13. Сайт передаёт данные форм по незашифрованному соединению (HTTP вместо HTTPS) — нарушение требований к техническим мерам защиты по ст. 19 ФЗ-152.
- Индикатор 14. Отсутствует назначенный ответственный за обработку ПДн (ст. 22.1 ФЗ-152) — сведения не опубликованы и не переданы в РКН.
- Индикатор 15. Нет регламента реагирования на инциденты: 24-часовое уведомление по Приказу РКН №187 не предусмотрено документально.
Блок 6. Локализация и трансграничная передача
- Индикатор 16. Первичная запись ПДн граждан РФ ведётся на серверах за пределами России — нарушение ч. 5 ст. 18 ФЗ-152 с учётом ужесточений с 01.07.2025.
- Индикатор 17. Оператор передаёт ПДн иностранной организации без предварительного уведомления РКН и оценки адекватности защиты страны-получателя.
Блок 7. Права субъектов
- Индикатор 18. На сайте отсутствует описание порядка реализации прав субъектов: нет контакта для запросов, нет срока ответа (10 рабочих дней по ст. 20 ФЗ-152), нет формы обращения.
Как РКН проводит проверку: плановая, внеплановая, профвизит?
С 2022 года действует мораторий на плановые проверки малого и среднего бизнеса, однако он не распространяется на внеплановые проверки по жалобам субъектов и профвизиты по индикаторам риска. Различие между форматами принципиально для юриста.
Плановая проверка включается в ежегодный план РКН, оператор уведомляется за 3 рабочих дня. Охватывает полный комплект ОРД, технические меры, договоры с подрядчиками.
Внеплановая проверка инициируется по жалобе субъекта, поручению прокуратуры или при наличии сведений о нарушении. Уведомление — за 24 часа или без него при срочности. Предмет — конкретный инцидент или жалоба.
Профвизит — наиболее частый формат с 2023 года. Проводится дистанционно: инспектор анализирует сайт, реестровые данные и публичные документы по индикаторам риска. По итогам — предписание или протокол без выезда на место.
Что подготовить к проверке РКН
- Выписка из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями об обработке
- Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, размещённая на сайте
- Отдельные согласия субъектов в соответствии с ч. 1 ст. 9 ФЗ-152 в редакции с 01.09.2025
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
- Регламент реагирования на инциденты с процедурой уведомления за 24 часа по Приказу РКН №187
Как применяется практика по индикаторам: два типовых сценария
Сценарий 1. Профвизит по индикатору cookies. Оператор — интернет-магазин (Центральный ФО, осень 2025). РКН выявил дистанционно: сайт устанавливает cookies Google Analytics до согласия пользователя, в реестре отсутствует уведомление о трансграничной передаче. Инспектор оформил протокол по ч. 1 ст. 13.11 и ч. 10 ст. 13.11 КоАП. Юрист компании обжаловал протокол, представив доказательства добровольного исправления нарушений до вынесения постановления. Мировой суд снизил итоговую сумму до минимального диапазона и применил ч. 1 ст. 4.1 КоАП об учёте смягчающих обстоятельств.
Сценарий 2. Внеплановая проверка по жалобе субъекта. Компания в сфере HR-tech (Северо-Западный ФО, начало 2026). Бывший соискатель направил жалобу в РКН: согласие на обработку ПДн было включено в текст оферты, отдельного документа не существовало. РКН инициировал внеплановую проверку и выдал предписание переоформить согласия по требованиям ч. 1 ст. 9 ФЗ-152 в редакции с 01.09.2025. Юрист компании подготовил комплект отдельных согласий и направил отчёт об исполнении предписания в установленный срок, избежав штрафа по ч. 2 ст. 13.11 в диапазоне 300 000–700 000 ₽.
Если вы юрист и компания уже получила запрос или предписание РКН — каждый день промедления сужает аргументы в арбитраже. Юристы DATUM оспорят протокол и подготовят позицию по ст. 4.1 КоАП для снижения штрафа.
Защитить от штрафа 13.11Услуги DATUM по теме
- Сопровождение проверок РКН — подготовка к визиту, представление интересов, обжалование предписания
- Аудит соответствия 152-ФЗ — проверка сайта по 38 пунктам, включая все 18 индикаторов риска РКН
- Защита при штрафе в арбитраже — оспаривание постановления, применение ст. 4.1 и ст. 4.1.1 КоАП
Частые вопросы
1. Как подготовиться к проверке РКН?
Подготовка строится по трём направлениям: документы (уведомление в реестре, политика, согласия, приказ по ст. 22.1), сайт (политика конфиденциальности доступна без авторизации, баннер cookies, форма запроса субъекта) и технические меры (HTTPS, назначенный ответственный, регламент реагирования по Приказу РКН №187). Аудит по 18 индикаторам до визита позволяет закрыть основания для протокола.
2. Какие индикаторы риска у РКН?
РКН применяет индикаторы, утверждённые совместным приказом с Минцифры. Ключевые: отсутствие в реестре операторов, политика ПДн недоступна на сайте, согласие не оформлено отдельным документом (с 01.09.2025 по ФЗ-156), cookies без согласия, трансграничная передача без уведомления РКН, отсутствие регламента реагирования на инциденты.
3. Можно ли отказаться отвечать на запрос РКН?
Нет. Оператор обязан предоставить запрошенные сведения в сроки, установленные в запросе. Уклонение от ответа — самостоятельное основание для внеплановой проверки и протокола. Если запрос содержит требования, выходящие за пределы полномочий РКН, — это предмет для обжалования через суд, но не для игнорирования.
4. Что грозит за невыполнение предписания РКН?
Невыполнение предписания РКН в установленный срок влечёт штраф по ч. 5 ст. 13.11 КоАП (ред. с 30.05.2025) — для юрлица 50 000–90 000 ₽. При повторном невыполнении — ч. 5.1 ст. 13.11, штраф 300 000–500 000 ₽. Если нарушение, ставшее предметом предписания, также квалифицировано как самостоятельный состав — штрафы суммируются.
5. Куда обжаловать постановление РКН?
С 28.12.2025 (ФЗ-508) постановления по ст. 13.11 КоАП рассматривают мировые судьи. Обжалование — в районный суд по месту рассмотрения дела. Срок подачи жалобы — 10 суток с вручения копии постановления. При обжаловании важно применить ст. 4.1 КоАП (смягчающие) или ст. 4.1.1 (замена на предупреждение для микропредприятий при первичном нарушении — кроме ч. 15 и ч. 18).
Итог
18 индикаторов РКН охватывают весь жизненный цикл обработки ПДн на сайте: от уведомления в реестре до прав субъектов и локализации данных. Каждый незакрытый пункт — самостоятельный состав по ст. 13.11 КоАП с отдельным штрафом. С 30.05.2025 совокупный риск по нескольким составам для среднего бизнеса измеряется миллионами рублей.
DATUM сопровождает операторов ПДн при проверках РКН, проводит аудит сайта по 18 индикаторам и защищает от штрафов по ст. 13.11 КоАП в арбитраже. Практика «Ветров и партнёры» по 152-ФЗ — с 2014 года.
18 июля 2027 года