аналитика 27 августа 2027 По состоянию на 27 августа 2027

IT-аккредитация и проверки РКН

IT-аккредитованная компания — оператор ПДн в полном смысле ст. 22 ФЗ-152: льготы по налогам и тарифам не освобождают от обязанности уведомить Роскомнадзор, хранить ПДн на территории РФ и отвечать на запросы субъектов.

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 составов. Штраф за нарушение локализации (ч. 8) — 1–6 млн ₽, за повторное — 6–18 млн ₽. Неуведомление РКН об утечке — 1–3 млн ₽ (ч. 11). При повторной утечке — оборотный штраф до 500 млн ₽ (ч. 15).

→ Если вы юрист IT-компании и готовитесь к проверке РКН или уже получили запрос — ниже конкретные нормы, риски и последовательность действий.

С 2023 года Роскомнадзор проводит проверки в том числе по индикаторам риска: жалоба субъекта, утечка в даркнет, несоответствие сведений в реестре операторов. IT-аккредитованные компании находятся под действием общего моратория на плановые проверки, но внеплановые проверки, профилактические визиты и запросы документов под мораторий не подпадают. Статья разбирает, как именно устроена проверочная логика РКН применительно к IT-сектору, какие документы запрашиваются в первую очередь и как выстроить защиту до вынесения постановления.

Распространяется ли мораторий на проверки РКН для IT-компаний?

Мораторий на плановые государственные проверки малого и среднего бизнеса, установленный Правительством РФ на 2023–2025 годы, формально распространяется на плановые проверки РКН. Однако инструментарий Роскомнадзора шире плановых проверок.

Роскомнадзор располагает тремя механизмами контроля, которые не блокируются мораторием. Первый — профилактический визит: инспектор приходит без протокола, но вправе фиксировать нарушения и выдавать предписание. Второй — запрос документов вне рамок проверки: направляется на основании ст. 23.1 ФЗ-152, ответить нужно в установленный срок. Третий — внеплановая проверка по индикаторам риска: утечка, жалоба субъекта, публикация данных в открытом доступе.

«Ст. 23.1 ФЗ-152 наделяет Роскомнадзор правом запрашивать у оператора документы и информацию, необходимые для контроля, вне рамок плановой проверки.»

Для IT-компании это означает: мораторий снижает риск планового визита, но не исключает реагирование на индикатор риска. По данным РКН, в 2024 году зафиксировано более 135 случаев утечек — именно утечки остаются главным триггером внеплановых проверок в IT-секторе.

Какие индикаторы риска РКН применяет к IT-компаниям?

Индикаторы риска для целей внеплановой проверки определены подзаконными актами РКН. Для IT-компаний актуальны несколько групп.

Первая группа — несоответствие уведомления реальной обработке. Компания указала в реестре операторов (pd.rkn.gov.ru) одни цели и категории, а фактически обрабатывает шире: биометрию, специальные категории, данные несовершеннолетних. РКН сопоставляет уведомление по Приказу РКН №180 с публично доступной политикой конфиденциальности и условиями сервиса.

Вторая группа — утечка, подтверждённая в даркнете или открытых источниках. РКН мониторит телеграм-каналы и специализированные ресурсы. Обнаружение базы с email, телефонами или паролями пользователей IT-сервиса автоматически формирует основание для проверки по ч. 3.1 ст. 21 ФЗ-152.

Третья группа — жалоба субъекта: отказ в предоставлении информации об обработке, игнорирование запроса на уничтожение данных, отсутствие политики конфиденциальности на сайте.

«Ч. 3.1 ст. 21 ФЗ-152: при выявлении утечки оператор обязан уведомить Роскомнадзор в течение 24 часов и представить отчёт о расследовании через 72 часа.»

Получили запрос РКН или уведомление о проверке?

Запрос документов от РКН — это уже стадия проверочного производства. У оператора есть ограниченное время на ответ, и каждая ошибка в комплекте документов формирует дополнительный состав нарушения по ст. 13.11 КоАП. Неуведомление о намерении обрабатывать ПДн — штраф 100–300 тыс. ₽ (ч. 10 ст. 13.11); нарушение локализации — 1–6 млн ₽ (ч. 8).

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что проверяет РКН в IT-компании: перечень документов и типовые нарушения

Стандартный запрос РКН включает несколько групп документов. Понимание этого перечня позволяет юристу компании провести предварительный self-аудит без участия регулятора.

Что подготовить до прихода РКН

Актуальное уведомление об обработке ПДн в реестре pd.rkn.gov.ru (Приказ РКН №180): цели, категории, сроки, трансграничка — должны совпадать с фактической обработкой.
Политика обработки ПДн, опубликованная на сайте: разделы по ч. 2 ст. 18.1 ФЗ-152 — цели, правовые основания, категории, сроки, порядок обращений субъектов.
Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152) с подписью руководителя.
Согласия субъектов (в т. ч. работников по ст. 9 ФЗ-152 в ред. ФЗ-156 с 01.09.2025) — отдельные документы, не встроенные в договор или оферту.
Договоры с подрядчиками, обрабатывающими ПДн по поручению (п. 3 ст. 6 ФЗ-152): должны содержать перечень действий, цели, обязанность конфиденциальности.

Типовые нарушения, которые РКН фиксирует в IT-компаниях: политика конфиденциальности не опубликована или содержит общие фразы без обязательных реквизитов (ч. 3 ст. 13.11 — 30–60 тыс. ₽); уведомление в реестре не обновлялось после запуска нового продукта или расширения географии; согласия работников до сих пор включены в трудовой договор, что с 01.09.2025 недопустимо по ФЗ-156; отсутствие договора с поручением при использовании облачных CRM или аналитических сервисов.

Локализация ПДн и IT-аккредитация: где пересекаются риски?

IT-аккредитация не создаёт исключений из требования ч. 5 ст. 18 ФЗ-152. Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться в базах данных, расположенных на территории России.

Проблемная зона для IT-компаний — использование зарубежных облачных сервисов. AWS, Google Cloud, Microsoft Azure как основное или резервное хранилище пользовательских данных создаёт нарушение ч. 5 ст. 18 при отсутствии российского первичного хранилища. С 01.07.2025 требования к локализации ужесточены ФЗ-233: первичный сбор данных также должен происходить на территории РФ.

«Ч. 8 ст. 13.11 КоАП (ред. с 30.05.2025): нарушение требований локализации — штраф для юрлица 1 000 000 — 6 000 000 ₽. Повторное нарушение (ч. 9) — 6 000 000 — 18 000 000 ₽.»

Вторая зона — трансграничная передача. Если IT-компания использует зарубежные аналитические сервисы (пиксели, SDK, A/B-тесты), данные российских пользователей передаются за рубеж. До передачи в страну, не обеспечивающую адекватную защиту, необходимо уведомить РКН в соответствии со ст. 12 ФЗ-152. Отсутствие уведомления и нарушение условий передачи фиксируются при проверке отдельным составом.

Если вы юрист IT-компании и локализация не завершена — у РКН есть все инструменты зафиксировать это без планового визита. Штраф по ч. 8 ст. 13.11 начинается от 1 млн ₽, повторный — от 6 млн ₽. Время на устранение ограничено.

Защитить от штрафа 13.11

Как применяется ст. 272.1 УК и ст. 13.11 КоАП при утечке в IT-компании

С 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421): незаконные использование, передача, сбор или хранение компьютерной информации, содержащей ПДн. Максимальное наказание по ч. 5 — до 10 лет лишения свободы при тяжких последствиях. Для юриста IT-компании это означает персональную уголовную экспозицию при осознанном участии в нарушении.

Административная ответственность по ст. 13.11 КоАП за утечку строится по числу затронутых субъектов. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ (ч. 12); от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13); свыше 100 000 — 10–15 млн ₽ (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

Ключевой вопрос при защите — наличие или отсутствие своевременного уведомления РКН. Неуведомление или несвоевременное уведомление об инциденте (ч. 11 ст. 13.11) — отдельный состав, штраф 1–3 млн ₽. Таким образом, при крупной утечке компания может получить сразу три постановления: по ч. 11 (неуведомление), по ч. 12–14 (сам факт утечки) и по ч. 8 (если обнаружена проблема с локализацией).

Как это выглядит на практике: типовые сценарии

Сценарий 1. Утечка через подрядчика. IT-компания (Центральный ФО, осень 2025) использовала сторонний маркетинговый сервис для рассылок. Сервис подвергся атаке, данные ~15 000 пользователей утекли в открытый доступ. Договора с поручением на обработку ПДн не было. РКН возбудил дело по ч. 13 ст. 13.11 (утечка 10 000 – 100 000 субъектов, штраф 5–10 млн ₽) и по ч. 11 (неуведомление об инциденте, штраф 1–3 млн ₽). Ответственность оператора за действия подрядчика подтверждена принципом: отсутствие договора-поручения не освобождает от ответственности — оператор сам выбрал ненадёжного обработчика.

Сценарий 2. Профвизит и несоответствие уведомления. SaaS-компания (Северо-Западный ФО, начало 2026) получила профилактический визит РКН. Инспектор сопоставил уведомление в реестре операторов с публичной политикой конфиденциальности: компания запустила модуль аналитики поведения и биометрию для входа через камеру, не обновив уведомление и не получив письменного согласия субъектов на обработку биометрических данных. Составлен протокол по ч. 2 ст. 13.11 (обработка без надлежащего согласия, 300–700 тыс. ₽) и по ч. 16 (обработка биометрических ПДн с нарушением ст. 11 ФЗ-152). Предписание выдано на устранение в 30 дней. Компания обжаловала постановление, представив доказательства введения нового модуля в течение последних 45 дней и начала работы по переоформлению согласий. Размер штрафа по ч. 2 снижен мировым судьёй до минимума с учётом смягчающих обстоятельств.

Сценарий 3. Оборотный штраф после повторной утечки. Крупный IT-маркетплейс (Приволжский ФО) привлекался к ответственности по ч. 12 ст. 13.11 в 2025 году. В 2026 году зафиксирована повторная утечка — свыше 200 000 субъектов. Основание для применения ч. 15 (оборотный штраф): повторность по ч. 12–14 в течение года. Стратегия защиты — доказательство инвестиций в ИБ свыше 0,1% совокупной выручки за три предшествующих года по ст. 4.1 КоАП (примечание 3.4-2): при подтверждении размер штрафа снижается до 1/10 минимального, но не менее 15 млн ₽ и не более 50 млн ₽.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка документов, представление интересов, обжалование предписания.
Аудит соответствия 152-ФЗ — чек-лист из 38 пунктов, отчёт с приоритизированным планом устранения.
Защита при штрафе в арбитраже — оспаривание протокола и постановления, применение ст. 4.1 и ст. 4.1.1 КоАП.

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка включает четыре блока: актуализация уведомления в реестре операторов (Приказ РКН №180) — цели, категории, сроки, трансграничка; приведение политики обработки ПДн в соответствие с ч. 2 ст. 18.1 ФЗ-152; переоформление согласий работников и пользователей в отдельные документы по ст. 9 ФЗ-152 (ред. ФЗ-156, с 01.09.2025); проверка договоров с подрядчиками на наличие условия о поручении обработки ПДн. Рекомендуется провести внутренний аудит минимум за 30 дней до предполагаемой проверки.

2. Какие индикаторы риска использует РКН?

К основным индикаторам относятся: факт утечки, зафиксированный в открытых источниках или даркнете; жалоба субъекта на нарушение его прав по ст. 14–21 ФЗ-152; расхождение между уведомлением в реестре операторов и публичной политикой конфиденциальности; отсутствие сведений об операторе в реестре при наличии публичного сбора данных; трансграничная передача без уведомления РКН по ст. 12 ФЗ-152. При наличии индикатора РКН вправе инициировать внеплановую проверку без соблюдения ограничений моратория.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Запрос документов, направленный РКН в рамках ст. 23.1 ФЗ-152, является обязательным для исполнения. Игнорирование или немотивированный отказ образует самостоятельный состав нарушения и свидетельствует о недобросовестности оператора, что суды учитывают как отягчающее обстоятельство. Если запрос содержит требования, выходящие за пределы полномочий РКН, их правомерность следует оспаривать в процессуальном порядке — через обжалование действий должностного лица, но не через уклонение от ответа.

4. Что грозит за невыполнение предписания РКН?

Неисполнение предписания РКН в установленный срок влечёт ответственность по ч. 1 ст. 19.5 КоАП — штраф для юридических лиц до 500 тыс. ₽. Кроме того, неустранённое нарушение создаёт основание для повторного производства по ст. 13.11 КоАП с квалификацией нарушения как повторного, что существенно увеличивает размер санкции. По отдельным составам — например, нарушению локализации (ч. 8) — повторность переводит штраф в диапазон 6–18 млн ₽ (ч. 9).

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 суток с момента вручения. Постановление, вынесенное по делу, возбуждённому в период с 30.05.2025 по 27.12.2025 арбитражным судом, обжалуется в суд апелляционной инстанции по правилам АПК. При обжаловании важно сформировать доказательную базу: факт принятия мер по ст. 18.1 ФЗ-152, инвестиции в ИБ, отсутствие вреда субъектам — для применения ст. 4.1 и ст. 4.1.1 КоАП.

Итог

IT-аккредитация не создаёт иммунитета от проверок РКН: мораторий блокирует только плановые визиты, но не профилактические, не запросы документов и не внеплановые проверки по индикаторам риска. С 30.05.2025 диапазон санкций по ст. 13.11 КоАП охватывает от 30 тыс. ₽ за отсутствие политики до 500 млн ₽ оборотного штрафа при повторной утечке.

Юрист IT-компании, который провёл аудит уведомления в реестре операторов, актуализировал договоры с подрядчиками и переоформил согласия до 01.09.2025, существенно сужает доказательную базу инспектора на любой стадии — от профвизита до арбитражного обжалования. DATUM сопровождает IT-операторов на всех этапах взаимодействия с РКН: от подготовки ОРД до оспаривания постановлений в суде.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг, биометрия в ЕБС (572-ФЗ), антиотмывочный контроль и 115-ФЗ.

27 августа 2027 года