аналитика 3 октября 2026 По состоянию на 3 октября 2026

Документарная проверка РКН: что готовить

Документарная проверка Роскомнадзора — истребование документов об обработке персональных данных без выезда на объект. Оператор получает запрос и обязан предоставить ответ в установленный срок.

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей. Непредставление документов, выявленное в ходе проверки, открывает составы от ч. 3 (30–60 тыс. ₽ за отсутствие политики) до ч. 14 (10–15 млн ₽ за крупную утечку). Мораторий на плановые проверки действовал до 2025 года; сейчас плановые проверки возобновились.

→ Если вы юрист компании и получили запрос РКН — ниже точный перечень документов, порядок ответа и риски по каждой позиции.

Документарная проверка — наиболее распространённый инструмент контроля Роскомнадзора в 2025–2026 годах. В отличие от выездной она не требует присутствия инспектора на объекте, поэтому применяется и как самостоятельная мера, и как предварительный этап перед выездом. Для юриста, который ведёт комплаенс по 152-ФЗ, документарная проверка — прежде всего проверка качества организационно-распорядительной документации: наличия, актуальности и юридической корректности каждого документа из перечня ст. 18.1 ФЗ-152.

Что такое документарная проверка РКН и чем она отличается от других форм контроля?

Роскомнадзор проводит контроль в четырёх формах: плановая проверка, внеплановая проверка, документарная проверка и профилактический визит. Документарная проверка выделяется тем, что вся работа ведётся через запросы и ответы: инспектор направляет перечень документов, оператор обязан их предоставить в срок, указанный в запросе.

Основание для внеплановой документарной проверки — жалоба субъекта персональных данных, сведения об инциденте, сработавший индикатор риска или поручение прокуратуры. Плановые проверки формируются на основании ежегодного плана, публикуемого на сайте РКН; с 2023 года после снятия моратория они постепенно возобновились для операторов с повышенным профилем риска.

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры для обеспечения соблюдения требований закона, в том числе разработать документы, определяющие политику и порядок обработки персональных данных, и обеспечить их опубликование или иной неограниченный доступ.»

Профилактический визит отличается от проверки: он носит консультативный характер, не влечёт составления протокола. Однако отказ от профвизита может стать одним из индикаторов риска при формировании плана следующей проверки. Юристу важно отличать форму контроля, указанную в документах РКН, — от этого зависит порядок ответа и последствия нарушений.

Какие индикаторы риска использует РКН при назначении документарной проверки?

РКН применяет систему индикаторов риска при формировании планов проверок и при принятии решения о внеплановой проверке. Перечень индикаторов утверждён подзаконными актами, регулирующими порядок государственного контроля в сфере персональных данных. Типовые индикаторы, которые систематически встречаются в практике 2025–2026 годов:

Отсутствие оператора в реестре операторов ПДн при наличии признаков обработки (сайт собирает данные, трудовые отношения с работниками).
Жалоба субъекта персональных данных на неправомерную обработку или отказ в ответе на запрос.
Сообщение об утечке данных в СМИ или даркнете без уведомления РКН в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152.
Несоответствие политики конфиденциальности на сайте требованиям ч. 2 ст. 18.1 ФЗ-152: отсутствие целей, оснований, сроков хранения.
Наличие на сайте форм сбора данных без баннера согласия на cookies или без ссылки на политику.
Превышение срока ответа на запрос субъекта — более 10 рабочих дней (ст. 20 ФЗ-152).
Истечение срока действия ранее выданного предписания без подтверждения исполнения.

Получили запрос от РКН — что делать в первые 48 часов?

Запрос РКН содержит перечень документов и срок ответа. Типичная ошибка юриста — отвечать неполно или в последний день, что создаёт дополнительный повод для претензий. Если у вас нет части документов или они не соответствуют актуальным требованиям — срок начал идти в момент получения запроса.

Юристы DATUM проводят экспресс-аудит документарного досье за 3 рабочих дня и помогают сформировать ответ на запрос РКН в полном объёме.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие документы запрашивает РКН при документарной проверке?

Перечень документов в запросе РКН формируется под конкретный повод и профиль оператора, однако существует устойчивый базовый набор, который проверяется в большинстве случаев. Ниже — группировка по тематическим блокам, которые охватывает ст. 18.1 ФЗ-152 и сопутствующие нормы.

Блок 1. Уведомление и реестр. Оператор обязан подать уведомление о намерении обрабатывать ПДн по ст. 22 ФЗ-152 через форму Приказа РКН № 180. РКН проверяет: подано ли уведомление, соответствует ли содержание реестровой записи фактической обработке. Несоответствие (устаревшие цели, отсутствие трансграничной передачи при её наличии) — самостоятельное основание для протокола по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽).

Блок 2. Политика обработки ПДн. Политика должна быть опубликована на сайте или иным образом обеспечивать неограниченный доступ (ч. 2 ст. 18.1 ФЗ-152). Обязательные разделы: цели, правовые основания, категории субъектов, перечень ПДн, сроки обработки, порядок реализации прав субъектов, сведения о трансграничной передаче. Отсутствие политики или её неопубликование — ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽).

Блок 3. Согласия субъектов. Для обработки, требующей согласия по ст. 6 ФЗ-152, — форма согласия с реквизитами по ст. 9. С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025): не в составе трудового договора, оферты или политики. РКН проверяет как форму согласия, так и порядок его получения. Обработка без письменного согласия, когда оно требуется, или с нарушением состава — ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽).

Блок 4. Организационно-распорядительная документация. Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152), регламент реагирования на инциденты, инструкции для сотрудников, имеющих доступ к ПДн, журнал учёта запросов субъектов и их исполнения, перечень лиц, допущенных к обработке.

Блок 5. Поручение обработки. Если оператор передаёт обработку третьему лицу (облачный провайдер, CRM, HR-сервис), необходим договор-поручение по п. 3 ст. 6 ФЗ-152 с перечнем действий, целью и обязательством конфиденциальности. Ответственность за действия обработчика несёт оператор.

Блок 6. Технические меры защиты. Документы об определении уровня защищённости ИСПДн по ПП РФ № 1119, модель угроз, технические меры по Приказу ФСТЭК № 21. В документарной проверке РКН, как правило, запрашивает организационные документы, а не техническую документацию ФСТЭК — но приказы о принятых мерах должны быть в наличии.

Блок 7. Трансграничная передача. Если ПДн граждан РФ передаются за рубеж — уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152 и подтверждение соответствия порядку, установленному подзаконным актом. Нарушение требований локализации (ч. 5 ст. 18 ФЗ-152) — ч. 8 ст. 13.11 КоАП (1–6 млн ₽).

Что подготовить к документарной проверке РКН

Выписка из реестра операторов ПДн (pd.rkn.gov.ru) — актуальность содержания по фактической обработке.
Политика обработки персональных данных — опубликована, содержит обязательные разделы по ч. 2 ст. 18.1 ФЗ-152.
Согласия субъектов в форме отдельного документа по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156).
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
Договоры-поручения с обработчиками (облака, CRM, HR-сервисы) по п. 3 ст. 6 ФЗ-152.

Как проходит документарная проверка: сроки и порядок взаимодействия

РКН направляет запрос с перечнем документов. Срок ответа указывается в самом запросе; как правило, он составляет от 10 до 20 рабочих дней. Документы предоставляются на бумаге или в электронном виде — в зависимости от формы запроса. Ответ оформляется сопроводительным письмом с описью вложений.

После получения документов инспектор анализирует их на соответствие требованиям ФЗ-152. Если обнаружены нарушения — составляется акт проверки, на основании которого выносится предписание об устранении нарушений или сразу возбуждается дело об административном правонарушении. Срок исполнения предписания устанавливается в самом предписании; по общему правилу — от 30 до 90 дней.

«Ст. 21 ФЗ-152 — при выявлении утечки оператор обязан уведомить РКН в течение 24 часов с момента обнаружения; через 72 часа — направить отчёт о результатах внутреннего расследования (Приказ РКН № 187 от 14.11.2022, действует с 01.03.2023).»

Неисполнение предписания РКН в установленный срок — самостоятельный состав правонарушения. Санкция зависит от того, по какой части ст. 13.11 было вынесено предписание. При повторном нарушении после предписания суды, как правило, отказывают в замене штрафа на предупреждение по ст. 4.1.1 КоАП.

Если вы юрист и предписание РКН уже получено — срок его исполнения идёт. Обжалование предписания не приостанавливает его действие автоматически. Юристы DATUM оценят законность предписания и предложат оптимальную стратегию: исполнение, обжалование или оба инструмента параллельно.

Защитить от штрафа в арбитраже

Типичные сценарии при документарной проверке: ситуация, риск, стратегия

Сценарий 1. Документы частично отсутствуют или устарели. Ситуация: юрист получает запрос РКН и обнаруживает, что политика обработки ПДн датирована 2020 годом, не отражает актуальные цели и не опубликована на новом сайте. Согласия работников включены в трудовой договор — не отвечают требованиям ФЗ-156 с 01.09.2025. Риск: ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽) по согласиям + ч. 3 (30–60 тыс. ₽) по политике. Стратегия: подготовить актуализированные документы одновременно с ответом на запрос, приложить их к ответу как свидетельство устранения нарушений — это учитывается как смягчающее обстоятельство по ст. 4.2 КоАП.

Сценарий 2. Отсутствует уведомление в реестре РКН или запись устарела. Ситуация: компания ведёт CRM-систему, обрабатывает ПДн клиентов и сотрудников несколько лет, но уведомление не было подано. Либо уведомление подано, но в нём не указана трансграничная передача через облачный сервис (AWS, Google Workspace). Риск: ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽). Стратегия: до получения акта подать уведомление или изменение к уведомлению через pd.rkn.gov.ru по форме Приказа РКН № 180 — добровольное устранение нарушения до составления протокола существенно снижает размер санкции.

Сценарий 3. Проверка инициирована по факту утечки без уведомления РКН. Ситуация: данные клиентов появились в даркнете, СМИ опубликовали информацию. РКН возбудил внеплановую проверку. Уведомление по Приказу РКН № 187 не было направлено в течение 24 часов, поскольку компания не имела регламента реагирования. Риск: ч. 11 ст. 13.11 КоАП (1–3 млн ₽) за неуведомление + ч. 12–14 в зависимости от числа субъектов (3–15 млн ₽). Стратегия: параллельно с ответом на запрос направить запоздалое уведомление и отчёт, представить доказательства принятых мер защиты — это влияет на квалификацию и размер санкции.

Как применяются ст. 4.1 и ст. 4.1.1 КоАП при нарушениях, выявленных проверкой

После составления протокола и вынесения постановления по ст. 13.11 КоАП у оператора есть два инструмента снижения санкции. Первый — ст. 4.1.1 КоАП: замена штрафа на предупреждение для субъектов малого и среднего предпринимательства при первичном нарушении и отсутствии ущерба третьим лицам. Норма не применяется к ч. 15 и ч. 18 ст. 13.11 (оборотные составы). Второй — ст. 4.1 КоАП, примечание 3.4-2: при документально подтверждённых инвестициях в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.

В делах АС Москвы № А40-351064/2025 (оператор образовательной платформы) и АС Санкт-Петербурга № А56-4733/2026 (платформа инвестиционных проектов) суды применяли смягчающие обстоятельства при определении размера штрафа: первичность нарушения, статус субъекта, оперативное реагирование. Оба дела квалифицированы по ч. 14 ст. 13.11 КоАП (утечка более 100 000 субъектов, штраф 10–15 млн ₽ по общей норме); итоговые суммы существенно снижены с учётом смягчающих.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, участие в проверке, обжалование предписания.
Аудит соответствия 152-ФЗ — проверка 38 позиций ОРД, отчёт с приоритетами.
Защита при штрафе в арбитраже — обжалование протокола и постановления по ст. 13.11 КоАП.

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка состоит из трёх шагов. Первый — проверить наличие и актуальность уведомления в реестре операторов на pd.rkn.gov.ru: содержание должно совпадать с фактической обработкой. Второй — проверить комплектность ОРД: политика обработки ПДн, согласия субъектов в форме отдельного документа (с 01.09.2025 по ФЗ-156), приказ о назначении ответственного по ст. 22.1 ФЗ-152, договоры-поручения с обработчиками, регламент реагирования на инциденты. Третий — убедиться, что все документы актуальны: отражают действующий состав ПДн, цели, основания и сроки обработки.

2. Какие индикаторы риска использует РКН?

К типовым индикаторам относятся: отсутствие оператора в реестре РКН при наличии признаков обработки ПДн; жалобы субъектов; публикации об утечках без уведомления РКН; несоответствие политики конфиденциальности требованиям ч. 2 ст. 18.1 ФЗ-152; формы сбора данных без ссылки на политику; просроченные предписания. Перечень индикаторов утверждён подзаконными актами, регулирующими порядок государственного контроля в сфере ПДн. Наличие сразу нескольких индикаторов существенно повышает вероятность внеплановой проверки.

3. Можно ли отказаться отвечать на запрос РКН?

Отказ или непредоставление документов в установленный срок — самостоятельное нарушение, которое влечёт административную ответственность. Оператор обязан ответить на запрос в сроки, указанные в нём. Если запрос содержит явные процессуальные нарушения (ненадлежащий орган, истёкшие полномочия инспектора) — это основание для юридического оспаривания, но не для молчания. Правильный ответ — направить мотивированное возражение с указанием на конкретные нарушения процедуры.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания в установленный срок квалифицируется как отдельное правонарушение. Размер санкции определяется составом, по которому вынесено предписание. При повторном нарушении суды, как правило, отказывают в применении ст. 4.1.1 КоАП (замена штрафа предупреждением). Кроме того, систематическое неисполнение предписаний является самостоятельным индикатором риска для назначения следующей проверки, в том числе выездной.

5. Куда обжаловать постановление РКН?

После ФЗ-508 от 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд, затем — в суд субъекта РФ. Срок подачи жалобы — 10 суток с момента вручения или получения постановления (ст. 30.3 КоАП). Одновременно с обжалованием можно заявить о применении ст. 4.1 или ст. 4.1.1 КоАП, если основания не были учтены при первоначальном рассмотрении. Приказ РКН № 180 и Приказ РКН № 187 нарушены — это влияет на квалификацию, но не на подсудность.

Итог

Документарная проверка РКН проверяет не технические системы, а документарное досье оператора: уведомление в реестре, политику обработки ПДн, согласия субъектов, ОРД и договоры с обработчиками. Каждый отсутствующий или устаревший документ — самостоятельный состав по ст. 13.11 КоАП с санкцией от 30 тыс. до 15 млн ₽. После ФЗ-420 от 30.11.2024 диапазоны штрафов существенно выросли, а за повторные нарушения введён оборотный штраф до 500 млн ₽.

Юристы DATUM сопровождают документарные проверки РКН с 2014 года: готовят ответы на запросы, актуализируют ОРД, обжалуют предписания и постановления по ст. 13.11 КоАП в мировых судах и вышестоящих инстанциях.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

3 октября 2026 года