Индикаторы риска для внеплановой проверки РКН
Юрист, анализирующий комплаенс по 152-ФЗ, сталкивается с одной и той же проблемой: непонятно, что именно привлекает внимание регулятора. Плановые проверки — редкость, мораторий периодически продлевается. Но внеплановые визиты не подпадают под мораторий в полном объёме: они назначаются при выявлении конкретных признаков нарушений. Этот материал разбирает, какие именно признаки формируют основания для внеплановой проверки, как они фиксируются РКН и что делать, чтобы убрать их до визита инспектора.
Что такое индикаторы риска и как РКН их применяет?
Риск-ориентированный надзор в сфере персональных данных введён как часть общей реформы контрольной деятельности. Роскомнадзор ведёт мониторинг операторов в фоновом режиме: анализирует реестр операторов ПДн на pd.rkn.gov.ru, публично доступные сайты, жалобы субъектов, уведомления об инцидентах и сведения из других ведомств.
Индикатор риска — не нарушение само по себе, а сигнал о вероятном нарушении. Роскомнадзор утверждает их в виде отдельного нормативного акта. При срабатывании одного или нескольких индикаторов регулятор вправе провести профилактический визит или назначить внеплановую документарную либо выездную проверку.
Принципиальное отличие внеплановой проверки от плановой: она не включается в ежегодный план и не публикуется заранее. Оператор узнаёт о ней из уведомления РКН непосредственно перед началом — или уже на этапе запроса документов. При этом мораторий на плановые проверки, введённый Правительством, на внеплановые проверки по индикаторам риска не распространяется в случаях, прямо установленных законом.
Какие индикаторы риска фиксирует Роскомнадзор в 2025–2026 годах?
На основании анализа нормативных актов РКН и практики проверок можно выделить следующие группы индикаторов.
Группа 1. Отсутствие в реестре операторов. Оператор обрабатывает ПДн, но уведомление по ст. 22 ФЗ-152 не подано или подано с нарушением срока. РКН сверяет данные реестра с информацией о реально действующих компаниях: выписки ЕГРЮЛ, открытые сайты с формами сбора данных, публичные оферты. Несовпадение — основание для проверки. Штраф за неуведомление по ч. 10 ст. 13.11 КоАП — 100 000–300 000 ₽.
Группа 2. Отсутствие или несоответствие политики конфиденциальности. Сайт оператора собирает данные через форму, но ссылка на политику отсутствует или политика не содержит обязательных разделов по ч. 2 ст. 18.1 ФЗ-152. Автоматический мониторинг сайтов РКН выявляет это в течение нескольких недель после появления формы. Штраф по ч. 3 ст. 13.11 — 30 000–60 000 ₽ за отсутствие публикации, но при выездной проверке возможны составы по ч. 1 и ч. 2 той же статьи.
Группа 3. Жалобы субъектов персональных данных. Каждая жалоба субъекта, поданная через портал РКН, фиксируется и учитывается при оценке риска. Критический порог — две и более жалобы за 12 месяцев на одного оператора по схожим основаниям (отказ уничтожить данные, нераскрытие информации об обработке, рассылки без согласия). Практика показывает, что именно жалобы субъектов — наиболее частый триггер внеплановых проверок в сегменте e-commerce и HR.
Группа 4. Уведомление об инциденте с ПДн. Оператор направил первичное уведомление об утечке по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187. Само по себе уведомление не является нарушением — напротив, его отсутствие хуже. Но любое уведомление автоматически инициирует проверку достоверности сведений и полноты принятых мер. Чем крупнее утечка — тем выше вероятность выездной проверки.
Группа 5. Публикации в СМИ и утечки в открытый доступ. РКН отслеживает публикации об утечках в профильных изданиях и телеграм-каналах (Утечки информации, DLBI и аналоги). Появление базы оператора в даркнете или публичное обсуждение инцидента без уведомления регулятора — двойной индикатор: утечка плюс нарушение срока уведомления по ч. 11 ст. 13.11 (штраф 1 000 000–3 000 000 ₽).
Группа 6. Истечение срока исполнения предписания. Если по итогам предыдущей проверки РКН выдал предписание об устранении нарушений, а в указанный срок устранение не подтверждено — это самостоятельное основание для внеплановой проверки без дополнительных индикаторов. Невыполнение предписания также образует состав по ч. 5 ст. 13.11 КоАП.
Группа 7. Обработка специальных категорий ПДн без надлежащих оснований. Оператор заявил в реестре обработку специальных категорий (здоровье, судимость, биометрия) или обрабатывает их де-факто, но правовые основания в политике и ОРД не проработаны. РКН в рамках документарной проверки запрашивает подтверждение оснований по ст. 10 ФЗ-152.
Нашли совпадения с индикаторами риска — что делать?
Каждый подтверждённый индикатор — это конкретный документ или процедура, которой не хватает в вашей системе. Юристы DATUM проведут аудит по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений до визита инспектора. Стоимость аудита — от 100 000 ₽. Стоимость штрафа после проверки — от 150 000 ₽ до 500 000 000 ₽ при повторной утечке.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Как РКН проводит внеплановую проверку после срабатывания индикатора?
Порядок внеплановых проверок в области ПДн регулируется ФЗ-248 о государственном контроле и отраслевыми регламентами РКН. После фиксации индикатора риска возможны три сценария.
Профилактический визит. Инспектор приезжает без права составления протокола — только для разъяснений и оценки готовности. Отказ от профилактического визита оператор вправе мотивировать письменно, но на практике отказ увеличивает вероятность последующей плановой или внеплановой проверки с полномочиями.
Документарная внеплановая проверка. РКН направляет запрос документов: уведомление из реестра, политика обработки ПДн, приказ о назначении ответственного по ст. 22.1 ФЗ-152, согласия субъектов, договоры с обработчиками, технические меры защиты. Срок ответа на запрос — устанавливается в самом запросе, как правило 10 рабочих дней.
Выездная внеплановая проверка. Назначается при наличии оснований, требующих осмотра: инцидент с ПДн, жалоба субъекта с конкретными обстоятельствами, неисполнение предписания. Инспектор вправе запрашивать документы, проводить осмотр, опрашивать сотрудников. По итогам — акт, предписание, протокол по ст. 13.11 КоАП.
Что подготовить для снижения риска проверки
- Уведомление в реестре операторов РКН (pd.rkn.gov.ru) с актуальными сведениями об обработке — включая все новые категории ПДн и цели, появившиеся после первичной подачи.
- Политика обработки персональных данных, опубликованная на сайте, с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 и датой актуализации не позднее 12 месяцев назад.
- Отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025) — не совмещённые с договором или офертой.
- Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с актуальной датой и подписью руководителя.
- Регламент реагирования на инциденты: процедура фиксации факта утечки и уведомления РКН в течение 24 часов по Приказу РКН №187 от 14.11.2022.
Типовые сценарии: как индикаторы приводят к штрафу
Сценарий 1. Оператор не в реестре, сайт собирает данные. Интернет-магазин запустил форму регистрации и программу лояльности. Уведомление по ст. 22 ФЗ-152 не подавалось — руководство считало, что оно нужно только крупным компаниям. РКН зафиксировал несоответствие в ходе мониторинга. Документарная проверка выявила также отсутствие политики конфиденциальности. Итог: протокол по ч. 1 и ч. 10 ст. 13.11 КоАП, штраф в совокупности в диапазоне нескольких сотен тысяч рублей. Стратегия: подать уведомление в реестр и опубликовать политику до получения запроса — срок реакции после мониторинга РКН обычно составляет от 2 до 6 недель.
Сценарий 2. Жалоба субъекта + устаревшее уведомление. Бывший сотрудник направил оператору требование об уничтожении своих ПДн. Оператор не ответил в установленный срок (10 рабочих дней по ст. 20 ФЗ-152). Субъект подал жалобу в РКН. В ходе документарной проверки выяснилось, что реестровое уведомление не обновлялось три года и не отражает фактические цели обработки. РКН выдал предписание об устранении и составил протокол по ч. 4 и ч. 5 ст. 13.11. Стратегия: после каждого изменения в составе обрабатываемых данных подавать изменённое уведомление; журнал обращений субъектов с входящими датами — обязателен.
Сценарий 3. Утечка в открытый доступ без уведомления. Данные клиентов торговой сети оказались в открытом доступе. Оператор обнаружил факт через неделю из публикации в профильном telegram-канале — уже после того, как база была проиндексирована. Первичное уведомление по ч. 3.1 ст. 21 ФЗ-152 не было подано в 24-часовой срок. Внеплановая выездная проверка подтвердила нарушение. Штраф по ч. 11 ст. 13.11 КоАП составил 1 000 000–3 000 000 ₽, дополнительно составлен протокол по ч. 12 (объём утечки превысил 1 000 субъектов). Стратегия: регламент реагирования на инциденты с назначенным ответственным и круглосуточным каналом эскалации сокращает время реакции до 4–6 часов.
Если вы юрист и уже получили запрос документов от РКН или уведомление о проверке — у вас, как правило, 10 рабочих дней на ответ. Юристы DATUM подготовят полный пакет документов и выстроят позицию в диалоге с инспектором.
Подготовиться к проверке РКНКак это применяется на практике
Кейс 1. Производственная компания Уральского ФО (осень 2025) получила запрос документов от территориального управления РКН. Поводом стала жалоба бывшего контрагента на неправомерное использование его контактных данных в рассылке. При аудите выяснилось: уведомление в реестре было подано в 2019 году и не обновлялось, политика обработки ПДн на сайте не соответствовала требованиям ч. 2 ст. 18.1 ФЗ-152, согласие контрагента на рассылку отсутствовало. Компания обратилась к юристам до срока ответа на запрос, успела обновить реестровое уведомление и политику, направила письменные пояснения. По итогам проверки выдано предписание без составления протокола об административном правонарушении.
Кейс 2. Региональная клиника (Приволжский ФО, начало 2026) подала уведомление об утечке данных пациентов (около 4 000 субъектов) в течение 20 часов после обнаружения инцидента. Через 68 часов направила отчёт о результатах внутреннего расследования по Приказу РКН №187. Внеплановая документарная проверка подтвердила факт утечки, однако зафиксировала соблюдение процедуры уведомления. Арбитражный суд региона применил ст. 4.1 КоАП и назначил штраф ближе к нижней границе диапазона по ч. 12 ст. 13.11 КоАП. ⚠️ Точный номер дела и сумма — менеджер уточняет при публикации.
Связанные услуги DATUM
- Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписания
- Аудит соответствия 152-ФЗ — проверка всех индикаторов риска по чек-листу из 38 пунктов, от 100 000 ₽
- Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП
Частые вопросы
1. Как подготовиться к проверке РКН?
Подготовка включает четыре направления: актуализацию реестрового уведомления по ст. 22 ФЗ-152, обновление политики обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, проверку комплектности ОРД (приказ о назначении ответственного, согласия субъектов, договоры с обработчиками) и проверку технических мер защиты по уровню защищённости ИСПДн согласно ПП РФ №1119. Минимальный срок качественной подготовки — 3–4 недели. При получении уведомления о проверке — немедленно фиксировать дату и подключать юриста.
2. Какие индикаторы риска применяет РКН?
Роскомнадзор применяет риск-ориентированный подход: отсутствие в реестре операторов, отсутствие или несоответствие политики конфиденциальности на сайте, жалобы субъектов за последние 12 месяцев, уведомление об инциденте с ПДн, публикации об утечке в открытом доступе, неисполнение предписания по итогам предыдущей проверки, обработка специальных категорий ПДн без надлежащих оснований по ст. 10 ФЗ-152. Два и более совпавших индикатора существенно увеличивают вероятность внеплановой проверки.
3. Можно ли отказаться отвечать на запрос РКН?
Отказ от ответа на запрос документов в рамках документарной проверки не предусмотрен законом и влечёт самостоятельный состав нарушения. Оператор вправе запросить продление срока при наличии уважительных причин, обжаловать основания проверки в установленном порядке, а при выездной проверке — потребовать предъявления распоряжения о её проведении и служебных удостоверений инспекторов. Содержательный ответ с приложением документов всегда предпочтительнее игнорирования.
4. Что грозит за невыполнение предписания РКН?
Невыполнение требования субъекта, его представителя или РКН об уточнении, блокировании или уничтожении ПДн в установленные сроки образует состав по ч. 5 ст. 13.11 КоАП — штраф для юрлица 50 000–90 000 ₽. При повторном нарушении по ч. 5.1 той же статьи — 300 000–500 000 ₽. Отдельно: неисполнение предписания как такового является самостоятельным основанием для назначения внеплановой проверки и может повлечь составление новых протоколов по существу выявленных нарушений.
5. Куда обжаловать постановление РКН?
Постановление по делу об административном правонарушении, вынесенное должностным лицом РКН, обжалуется в вышестоящий орган (руководителю территориального управления или центральный аппарат РКН) или в суд. С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025). Срок обжалования — 10 суток с момента вручения или получения копии постановления. Если штраф назначен по оборотным составам (ч. 15 или ч. 18 ст. 13.11), замена на предупреждение по ст. 4.1.1 КоАП невозможна.
Итог
Индикаторы риска для внеплановой проверки РКН — это операционализированный перечень слабых мест, которые регулятор проверяет в первую очередь. Отсутствие в реестре операторов, несоответствие политики конфиденциальности, жалобы субъектов и нарушение сроков уведомления об инцидентах — каждый из этих признаков в отдельности не гарантирует проверку, но их сочетание делает её практически неизбежной.
DATUM сопровождает операторов при проверках РКН с 2014 года в рамках практики «Ветров и партнёры». Аудит по чек-листу из 38 пунктов позволяет выявить закрытые индикаторы и устранить их до визита инспектора, а не в режиме ответа на запрос.