Истребование документов при проверке РКН
Роскомнадзор проводит плановые и внеплановые проверки операторов персональных данных на основании ФЗ-152 и регуляторных приказов. Центральный инструмент — истребование документов: регулятор направляет перечень запрашиваемых материалов, оператор обязан их представить в установленный срок. Юрист компании оказывается в позиции, где нужно одновременно оценить полноту пакета ОРД, устранить противоречия и выстроить коммуникацию с инспектором — не допустив при этом ни избыточного раскрытия, ни молчания, квалифицируемого как уклонение.
Какие документы вправе истребовать РКН при проверке?
Объём запрашиваемых материалов определяется предметом проверки, который зафиксирован в приказе о её проведении. Как правило, РКН истребует три группы документов.
Первая группа — организационно-распорядительная документация. Это политика обработки персональных данных (обязательна по ч. 2 ст. 18.1 ФЗ-152), приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152, регламент реагирования на инциденты, перечни обрабатываемых категорий ПДн, договоры-поручения с обработчиками.
Вторая группа — правовые основания обработки. Согласия субъектов по ст. 9 ФЗ-152 (с 01.09.2025 — отдельный документ по ФЗ-156 от 24.06.2025), договоры, содержащие условия об обработке, внутренние локальные акты, регулирующие обработку данных работников по ст. 86–88 ТК РФ.
Третья группа — технические и процессуальные материалы. Сведения об информационных системах ПДн (ИСПДн), результаты классификации по ПП РФ №1119 с определением уровня защищённости, документация по мерам защиты согласно Приказу ФСТЭК №21, журналы обращений субъектов и журналы инцидентов.
Помимо документов, РКН вправе запросить уведомление о намерении обрабатывать ПДн (ст. 22 ФЗ-152, форма по Приказу РКН №180 от 28.10.2022) и сведения об актуальности записи в реестре операторов. Если в реестре отражены устаревшие сведения, а реальная обработка шире заявленной — это самостоятельное нарушение.
Получили запрос РКН с перечнем истребуемых документов?
Для юриста компании первые 48 часов после получения запроса — самые критичные. Состав и полнота представленного пакета определяют тактику инспектора на все последующие этапы проверки. Ошибка в этот период сужает возможности защиты при составлении акта и обжаловании предписания.
Подготовиться к проверке РКН+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Как проходит истребование документов: порядок и сроки
Плановые проверки проводятся на основании ежегодного плана РКН, размещаемого на сайте регулятора. Внеплановые — по индикаторам риска, жалобам субъектов или в связи с утечкой. С 2022 года действует мораторий на плановые проверки субъектов малого и среднего предпринимательства, однако он не распространяется на внеплановые проверки и профвизиты.
Профилактический визит — отдельная форма взаимодействия с регулятором: РКН уведомляет оператора не менее чем за пять рабочих дней, инспектор приходит и консультирует без составления акта. Оператор вправе отказаться от профвизита, направив уведомление. Однако отказ нередко переводит ситуацию в русло внеплановой проверки.
При документарной проверке РКН направляет запрос с перечнем материалов и сроком их представления — как правило, 10 рабочих дней. При выездной проверке инспектор вправе запросить документы непосредственно на месте. Сроки представления ответа на письменный запрос устанавливаются в самом запросе; нарушение срока фиксируется в акте.
Что подготовить до проверки РКН
- Актуальная запись в реестре операторов ПДн на pd.rkn.gov.ru — сведения соответствуют реальной обработке.
- Политика обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте и на носителях в офисе.
- Согласия субъектов в форме отдельного документа (для согласий с 01.09.2025 — требования ФЗ-156).
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
- Журнал обращений субъектов и журнал инцидентов с ПДн за последние 12 месяцев.
Какие индикаторы риска использует РКН для назначения внеплановой проверки?
Индикаторы риска — формализованные признаки, при наличии которых РКН вправе назначить внеплановую проверку без ожидания планового цикла. Они утверждены подзаконным актом РКН и охватывают несколько сценариев.
Первый индикатор — оператор не включён в реестр, но его обработка ПДн выявлена регулятором: через жалобу субъекта, мониторинг сайта или сведения об утечке. Второй — уведомление об утечке не направлено в установленные 24 часа по ч. 3.1 ст. 21 ФЗ-152, либо в отчёте за 72 часа отсутствуют сведения, предусмотренные Приказом РКН №187 от 14.11.2022. Третий — жалоба субъекта на отказ оператора предоставить информацию об обработке его данных в срок, установленный ст. 20 ФЗ-152 (10 рабочих дней). Четвёртый — несоответствие опубликованной политики обработки ПДн требованиям ч. 2 ст. 18.1 ФЗ-152, выявленное при мониторинге сайта.
Каждый из этих индикаторов — самостоятельное основание. Если компания одновременно не включена в реестр и не имеет публичной политики, РКН вправе оформить протоколы по нескольким частям ст. 13.11 КоАП в рамках одной проверки.
Если юрист компании обнаружил, что реестровая запись устарела или политика не опубликована до получения запроса РКН — каждый день промедления увеличивает число оснований для протокола. Срок на устранение после начала проверки значительно короче, чем до неё.
Подготовиться к проверке РКНТиповые ситуации при истребовании документов
Ситуация 1. Запрос по итогам жалобы субъекта. Субъект направил в РКН жалобу на то, что оператор не ответил на его обращение об уточнении ПДн в установленный срок. РКН инициировал внеплановую документарную проверку и запросил: журнал обращений субъектов, согласие субъекта на обработку, переписку с ним и журнал инцидентов. Оператор не вёл журнал обращений и не мог подтвердить дату поступления запроса. В акте зафиксировано нарушение ст. 20 ФЗ-152 (невыполнение обязанности по предоставлению информации) — основание для протокола по ч. 4 ст. 13.11 КоАП (штраф для юрлица 40 000–80 000 ₽). Стратегия: вести журнал с момента первого обращения любого субъекта; при поступлении жалобы — немедленно проверить фактическую дату ответа.
Ситуация 2. Выездная проверка после утечки. Оператор направил уведомление об утечке в РКН с нарушением срока — через 31 час вместо 24. РКН назначил внеплановую выездную проверку и запросил полный пакет ОРД, политику, договоры с обработчиками, журнал инцидентов и технические акты об инциденте. Часть договоров с подрядчиками не содержала условий об обработке ПДн по поручению (ст. 6 ч. 3 ФЗ-152). В акте зафиксированы два нарушения: несвоевременное уведомление об утечке (ч. 11 ст. 13.11, штраф 1–3 млн ₽) и отсутствие надлежащих договоров с обработчиками (ч. 1 ст. 13.11, штраф 150 000–300 000 ₽). Стратегия: настроить процедуру мониторинга инцидентов так, чтобы 24-часовой срок стартовал с момента обнаружения, а не подтверждения факта утечки.
Ситуация 3. Несоответствие реестровой записи. При плановой проверке инспектор сопоставил уведомление в реестре с фактической деятельностью компании: оператор расширил перечень обрабатываемых категорий ПДн (добавил биометрические данные для СКУД), но реестровую запись не обновил. РКН запросил документацию по СКУД, договоры с поставщиком системы, согласия работников и акты классификации ИСПДн. Обновлённое согласие в форме отдельного документа (ФЗ-156 от 24.06.2025) отсутствовало. Зафиксировано нарушение ч. 2 ст. 13.11 КоАП (обработка без надлежащего согласия, штраф 300 000–700 000 ₽). Стратегия: при любом изменении состава обработки незамедлительно обновлять реестровую запись через форму Приказа РКН №180.
Что грозит за непредставление документов или их несоответствие требованиям?
Непредставление документов в установленный срок фиксируется в акте проверки как самостоятельное нарушение. Это основание для составления протокола по ч. 1 ст. 13.11 КоАП (обработка ПДн в случаях, не предусмотренных законом, или несовместимая с целями) либо по специальной части в зависимости от содержания нарушения. Штраф для юрлица по ч. 1 — от 150 000 до 300 000 ₽ в редакции с 30.05.2025.
Если документы представлены, но содержат нарушения, инспектор квалифицирует каждое из них отдельно. Оператор, не опубликовавший политику по ч. 2 ст. 18.1 ФЗ-152, получает протокол по ч. 3 ст. 13.11 (30 000–60 000 ₽). Обработка без согласия или с согласием, не отвечающим требованиям ст. 9 ФЗ-152, — ч. 2 ст. 13.11 (300 000–700 000 ₽). Неуведомление или несвоевременное уведомление об утечке — ч. 11 ст. 13.11 (1–3 млн ₽).
По итогам проверки РКН выдаёт предписание об устранении нарушений. Невыполнение предписания в установленный срок — самостоятельный состав административного правонарушения с повторным штрафом. При повторных нарушениях ч. 1, ч. 2, ч. 5 ст. 13.11 применяются усиленные санкции по ч. 1.1, ч. 2.1, ч. 5.1.
Практика Арбитражного суда показывает: суды при обжаловании постановлений РКН применяют ст. 4.1.1 КоАП (замена штрафа предупреждением) для субъектов малого предпринимательства при первичном нарушении и отсутствии причинённого вреда. Оборотные составы по ч. 15 и ч. 18 ст. 13.11 под ст. 4.1.1 не подпадают.
Кейс 1. Производственная компания Уральского ФО (осень 2025) получила запрос РКН в рамках внеплановой документарной проверки по жалобе бывшего работника. Журнал обращений субъектов отсутствовал, политика обработки ПДн была опубликована, но не содержала раздела о сроках хранения. Юрист компании самостоятельно направил ответ без привлечения специализированного юриста. В акте зафиксированы два нарушения, РКН выдал предписание и составил два протокола. Штраф составил несколько сотен тысяч рублей. При сопровождении специалистом по ч. 4.1 КоАП удалось бы обосновать малозначительность по второму составу и снизить итоговую сумму.
Кейс 2. Торговая компания Центрального ФО (начало 2026), ранее привлекавшаяся к ответственности по ч. 1 ст. 13.11, прошла повторную проверку по индикатору риска (несоответствие реестровой записи). РКН запросил обновлённую документацию. Компания представила пакет ОРД, собранный по новым требованиям, в срок. По итогам проверки нарушений не выявлено, предписание не выдавалось. Вывод: опережающая подготовка ОРД и актуализация реестровой записи снимают большинство оснований для протоколов.
Услуги DATUM по теме
- Сопровождение проверок РКН — подготовка к проверке, участие в переговорах с инспектором, обжалование предписания.
- Аудит соответствия 152-ФЗ — проверка полноты ОРД по чек-листу из 38 пунктов до прихода РКН.
- Защита при штрафе в арбитраже — оспаривание протокола и постановления, применение ст. 4.1 и ст. 4.1.1 КоАП.
Частые вопросы
1. Как подготовиться к проверке РКН?
Подготовка включает три блока. Во-первых, проверить актуальность записи в реестре операторов на pd.rkn.gov.ru: категории ПДн, цели обработки, перечень ИСПДн должны соответствовать реальной деятельности. Во-вторых, собрать и проверить ОРД: политику по ч. 2 ст. 18.1 ФЗ-152, согласия субъектов в соответствии с требованиями ст. 9 ФЗ-152 (с 01.09.2025 — отдельный документ), приказ об ответственном по ст. 22.1, договоры с обработчиками. В-третьих, наладить журналирование: обращения субъектов и инциденты с ПДн должны фиксироваться с датой и содержанием.
2. Какие индикаторы риска использует РКН?
Основные индикаторы: оператор не включён в реестр при фактической обработке ПДн; уведомление об утечке не направлено в 24 часа по ч. 3.1 ст. 21 ФЗ-152 или отчёт за 72 часа не представлен по Приказу РКН №187; субъект пожаловался на отказ в предоставлении информации об обработке его данных; политика обработки ПДн не опубликована или не отвечает требованиям ч. 2 ст. 18.1 ФЗ-152. Каждый из этих индикаторов самостоятельно инициирует внеплановую проверку.
3. Можно ли отказаться отвечать на запрос РКН?
Отказ от представления документов в ответ на законный запрос РКН при проверке невозможен без правовых последствий. Непредставление документов в срок фиксируется в акте и является основанием для протокола по ст. 13.11 КоАП. Оператор вправе оспорить законность самого запроса или предмета проверки в судебном порядке, однако до вынесения судебного акта об отмене — обязан исполнять требования регулятора. При профвизите оператор вправе отказаться, направив письменное уведомление.
4. Что грозит за невыполнение предписания РКН?
Невыполнение предписания РКН в установленный срок образует самостоятельный состав административного правонарушения и влечёт повторный штраф. Кроме того, это учитывается при квалификации последующих нарушений как повторных по ч. 1.1, ч. 2.1, ч. 5.1 ст. 13.11 КоАП, что существенно увеличивает санкцию. При злостном неисполнении предписания РКН вправе обратиться в суд с иском об ограничении деятельности оператора.
5. Куда обжаловать постановление РКН?
С 28.12.2025 (ФЗ-508 от 28.12.2025) постановления по делам об административных правонарушениях по ст. 13.11 КоАП рассматриваются мировыми судьями. Постановление мирового судьи обжалуется в районный суд, затем в суд субъекта РФ. Срок обжалования — 10 суток с момента получения постановления. При обжаловании применяются ст. 4.1 и ст. 4.1.1 КоАП — снижение штрафа или замена предупреждением для субъектов малого предпринимательства при первичном нарушении.
Итог
Истребование документов при проверке РКН — это не формальная процедура, а содержательная проверка соответствия всей системы обработки ПДн требованиям ФЗ-152. Состав пакета, который оператор представляет в ответ на запрос, определяет как объём выявленных нарушений, так и пространство для защиты при составлении акта и обжаловании предписания. Опережающая подготовка ОРД и актуализация реестровой записи снимают большинство оснований для протоколов ещё до визита инспектора.
Практика DATUM по сопровождению проверок РКН охватывает все стадии: от проверки реестровой записи и ОРД до участия в переговорах с инспектором и обжалования предписания. Специализация команды — ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 и арбитражная защита операторов ПДн.