Перейти к содержанию
услуга 14 августа 2027 По состоянию на 14 августа 2027

Эффективная защита перед РКН: 7 ошибок

Семь ошибок, которые превращают визит Роскомнадзора в штраф по ст. 13.11 КоАП, — все они системные и устранимые до проверки.
С 30.05.2025 действует расширенная редакция ст. 13.11 КоАП (ФЗ-420): 18 составов, оборотный штраф до 500 млн ₽ при повторной утечке. Каждая из семи ошибок — самостоятельное основание для протокола.
→ Если вы юрист и готовите компанию к проверке РКН — разберите ошибки и закройте их до визита инспектора.

Роскомнадзор применяет плановые и внеплановые проверки, а с 2023 года — профвизиты и индикаторы риска. Юрист, который пришёл к клиенту после получения уведомления о проверке, обнаруживает одни и те же пробелы: устаревший реестр операторов, согласия в теле договора, отсутствующие регламенты. Ниже — семь ошибок в порядке убывания частоты и краткий план их устранения.

Кому подходит эта услуга и что вы получите?

Услуга рассчитана на юриста или правового советника, который ведёт комплаенс оператора ПДн: розничная сеть, финтех, клиника, EdTech, производство с онлайн-каналом. Формат работы — сопровождение РКН: от предпроверочного аудита до представления интересов на месте и обжалования предписания.

На выходе клиент получает: заключение о соответствии по чек-листу из 38 пунктов, актуализированный пакет ОРД, сопровождение инспектора в ходе проверки, позицию для обжалования при необходимости.

Получили уведомление о проверке РКН?

Если юрист компании уже держит уведомление о плановой или внеплановой проверке — у вас, как правило, от 10 до 30 дней на подготовку. Этого достаточно, чтобы закрыть большинство из семи ошибок и снизить риск штрафа. Юристы DATUM подготовят пакет документов, сопроводят инспектора и при необходимости обжалуют предписание.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие 7 ошибок чаще всего выявляет РКН при проверке?

Ошибка 1. Уведомление в реестре не отражает реальную обработку

Оператор подал уведомление по ст. 22 ФЗ-152 один раз и забыл об изменениях. РКН сверяет заявленные цели, категории ПДн и трансграничные передачи с тем, что обнаруживает на месте. Расхождение — состав по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽). Форма актуализации уведомления — Приказ РКН №180 от 28.10.2022.

«Ст. 22 ФЗ-152 обязывает оператора уведомить РКН об изменении сведений в течение 10 рабочих дней.»

Ошибка 2. Согласие на обработку ПДн встроено в договор или оферту

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие должно быть отдельным документом. Согласие, объединённое с договором, офертой или политикой конфиденциальности, не соответствует ст. 9 ФЗ-152. Штраф по ч. 2 ст. 13.11 — 300 тыс. — 700 тыс. ₽; при повторности по ч. 2.1 — 1–1,5 млн ₽.

Ошибка 3. Политика обработки ПДн не опубликована или устарела

Ст. 18.1 ФЗ-152 требует публикации политики с обязательными разделами: цели, правовые основания, состав ПДн, сроки, меры защиты. Отсутствие или несоответствие требованиям — ч. 3 ст. 13.11 (30–60 тыс. ₽). Невысокий штраф не означает отсутствие предписания об устранении.

Ошибка 4. Не назначен ответственный за обработку ПДн

Ст. 22.1 ФЗ-152 обязывает каждого оператора-юрлицо назначить ответственное лицо и закрепить его приказом. Отсутствие приказа или формальное назначение без полномочий фиксируется инспектором как нарушение ч. 1 ст. 13.11 (150–300 тыс. ₽).

Ошибка 5. Договоры с подрядчиками не содержат поручения обработки

Если оператор передаёт ПДн подрядчику — маркетинговому агентству, облачному провайдеру, аутсорсинговому колл-центру — без письменного поручения по п. 3 ст. 6 ФЗ-152, он несёт ответственность за действия подрядчика как за собственные. Арбитражная практика подтверждает: отсутствие поручения при доказанной передаче — самостоятельный состав.

Ошибка 6. Локализация ПДн не обеспечена при использовании зарубежных сервисов

Ч. 5 ст. 18 ФЗ-152 требует первичного сбора и хранения ПДн граждан РФ в базах данных в России. Использование Salesforce, HubSpot, зарубежных CRM или CRM на серверах в ЕС без локализации — ч. 8 ст. 13.11 (1–6 млн ₽); повторно — ч. 9 (6–18 млн ₽). РКН применяет индикаторы риска для выявления подобных случаев.

«Ч. 8 ст. 13.11 КоАП — невыполнение требований локализации ПДн граждан РФ (ч. 5 ст. 18 ФЗ-152): штраф для юрлица 1 000 000 — 6 000 000 ₽.»

Ошибка 7. Отсутствует регламент реагирования на утечку и уведомления РКН

Ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН №187 от 14.11.2022 устанавливают: 24 часа — первичное уведомление об инциденте, 72 часа — отчёт о результатах расследования. Если в компании нет регламента, первичное уведомление при реальном инциденте опаздывает или содержит ошибки. Неуведомление или нарушение срока — ч. 11 ст. 13.11 (1–3 млн ₽).

Если юрист выявил одну или несколько из этих ошибок — их можно устранить до проверки. DATUM проведёт аудит по 38 пунктам и закроет пробелы в ОРД.

Заказать аудит 152-ФЗ

Как строится работа по сопровождению проверки РКН?

Работа разбита на пять этапов.

  1. Предпроверочный аудит. Сверка реестра операторов, ОРД, согласий и технических мер с актуальными требованиями ФЗ-152. Результат — список критичных пробелов с приоритизацией.
  2. Устранение нарушений. Актуализация уведомления по Приказу РКН №180, подготовка отдельных согласий по ФЗ-156, обновление политики по ст. 18.1, оформление поручений подрядчикам.
  3. Подготовка к визиту. Инструктаж сотрудников, которые будут взаимодействовать с инспектором. Формирование папки с документами для предъявления.
  4. Сопровождение инспектора. Юрист DATUM присутствует на проверке, отвечает на вопросы инспектора, контролирует процессуальные сроки и формулировки акта.
  5. Обжалование предписания (при необходимости). Если инспектор выдал предписание или составил протокол — подготовка позиции для обжалования с применением ст. 4.1 и ст. 4.1.1 КоАП.

Что показывает практика: два сценария

Сценарий 1. Ритейлер (Сибирский ФО, осень 2025) получил уведомление о плановой проверке. Юрист компании самостоятельно провёл внутренний аудит и обнаружил три ошибки из семи: устаревший реестр, отсутствие поручений подрядчикам, политика не публиковалась на сайте. За три недели до проверки DATUM устранил нарушения и подготовил документацию. Инспектор выдал одно замечание без протокола. Без подготовки вероятный итог — три состава, суммарный штраф в сотни тысяч рублей.

Сценарий 2. Медтех-компания (Центральный ФО, начало 2026) обратилась уже после внеплановой проверки: инспектор зафиксировал отсутствие отдельных согласий (ч. 2 ст. 13.11) и нарушение локализации (ч. 8 ст. 13.11). DATUM оспорил протокол по ч. 8 — суд принял доводы о том, что первичный сбор проходил в российской базе, зарубежная CRM использовалась только для аналитики уже обезличенных данных. Штраф по ч. 2 снижен с учётом смягчающих обстоятельств по ст. 4.1 КоАП.

Что подготовить до проверки РКН

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru — сверить с реальной обработкой
  • Отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025)
  • Актуальная политика обработки ПДн на сайте — с разделами по ч. 2 ст. 18.1
  • Приказ о назначении ответственного лица по ст. 22.1 ФЗ-152
  • Письменные поручения обработки со всеми подрядчиками, получающими ПДн

Услуги DATUM по теме

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка начинается с аудита реестра операторов: сведения в уведомлении должны соответствовать реальной обработке. Далее — проверка ОРД: политика на сайте, отдельные согласия по ст. 9 ФЗ-152, приказ об ответственном по ст. 22.1, поручения подрядчикам. Отдельно — технические меры: уровень защищённости по ПП РФ №1119 и выполнение мер по Приказу ФСТЭК №21. Минимальный срок подготовки — 2–3 недели.

2. Какие индикаторы риска применяет РКН?

РКН использует индикаторы риска для назначения внеплановых проверок. К типовым относятся: отсутствие оператора в реестре, жалобы субъектов ПДн, сведения об утечке в открытых источниках, несоответствие политики конфиденциальности требованиям ст. 18.1 ФЗ-152, факты трансграничной передачи без уведомления РКН. Мораторий на плановые проверки малого бизнеса не распространяется на внеплановые по индикаторам риска.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Оператор обязан ответить на запрос РКН в установленный срок — как правило, 10 рабочих дней. Непредставление ответа или уклонение квалифицируется как воспрепятствование проверке и влечёт самостоятельную административную ответственность должностного лица. Юрист компании вправе участвовать в формулировании ответа и присутствовать при проверке.

4. Что грозит за невыполнение предписания РКН?

Неисполнение предписания об устранении нарушений влечёт административную ответственность по ст. 19.5 КоАП (штраф для юрлица — до 500 тыс. ₽), а также повторную проверку. Если нарушение, указанное в предписании, связано с обработкой ПДн, возможно возбуждение нового дела по соответствующей части ст. 13.11 КоАП. Обжаловать предписание можно в суде в течение 10 дней с момента получения.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление обжалуется в районный суд в течение 10 суток с момента вручения. В арбитражных судах рассматриваются дела, связанные с обжалованием ненормативных правовых актов РКН. При наличии оснований для снижения штрафа применяются ст. 4.1 (смягчающие обстоятельства) и ст. 4.1.1 КоАП (замена на предупреждение для микропредприятий при первичном нарушении).

Итог

Семь ошибок — устаревший реестр, согласие в договоре, отсутствующая политика, нет ответственного лица, нет поручений подрядчикам, нарушение локализации, отсутствие регламента реагирования — покрывают большинство оснований для протокола по ст. 13.11 КоАП. Каждая из них устраняется до проверки при наличии времени и плана.

DATUM сопровождает операторов ПДн при проверках РКН с 2014 года в рамках практики «Ветров и партнёры». Юристы присутствуют на проверке, формируют позицию для обжалования и применяют ст. 4.1, ст. 4.1.1 КоАП для снижения штрафа.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420), оборотные штрафы с 30.05.2025, подсудность мировым судьям (ФЗ-508).

14 августа 2027 года