Перейти к содержанию
аналитика 21 апреля 2027 По состоянию на 21 апреля 2027

Как снизить категорию риска РКН: 5 шагов

Категория риска определяет частоту проверок: высокий риск — плановая проверка раз в 2 года, средний — раз в 3 года, низкий — только внеплановые.
Роскомнадзор рассчитывает категорию по индикаторам: наличие в реестре операторов, полнота уведомления, наличие политики обработки ПДн, зафиксированные утечки и жалобы субъектов. Снижение категории — управляемый процесс с понятным алгоритмом.
→ Если вы юрист и ведёте комплаенс по 152-ФЗ — ниже пошаговый алгоритм снижения категории риска до профилактического визита или низкого уровня.

С 30.05.2025 санкции по ст. 13.11 КоАП расширены до 18 частей: штраф за повторную утечку — от 1 до 3% годовой выручки, не менее 20 млн рублей. В этих условиях категория риска по реестру РКН перестала быть формальностью: она определяет, когда придёт плановая проверка и насколько жёстким будет первичный аудит инспектора. Юрист, отвечающий за комплаенс, получает инструмент управления — пять последовательных шагов, каждый из которых снижает расчётный балл РКН.

Что такое категория риска РКН и как она рассчитывается?

Роскомнадзор применяет риск-ориентированный подход к надзору в соответствии с Федеральным законом № 248-ФЗ «О государственном контроле». Каждому оператору персональных данных присваивается одна из категорий: высокий, значительный, средний, умеренный или низкий риск. Категория определяет плановую периодичность контрольных мероприятий.

Расчёт строится на показателях тяжести потенциального вреда и вероятности его наступления. На вероятность влияют конкретные индикаторы риска, утверждённые постановлением Правительства РФ. К ключевым относятся: отсутствие или устаревшие сведения в реестре операторов ПДн, несоответствие политики обработки требованиям ч. 2 ст. 18.1 ФЗ-152, ранее выявленные нарушения по ст. 13.11 КоАП, жалобы субъектов ПДн, зафиксированные утечки, переданные в РКН по Приказу № 187.

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры, обеспечивающие исполнение закона, в том числе опубликовать политику обработки ПДн и обеспечить её соответствие установленным требованиям. Нарушение влечёт штраф по ч. 3 ст. 13.11 КоАП до 60 000 рублей и увеличивает расчётный балл риска.»

Индикаторы риска — это сигналы, которые РКН собирает в автоматическом режиме: через реестр операторов на pd.rkn.gov.ru, через базу уведомлений об инцидентах, через поступающие жалобы. Юрист, знающий, какие именно индикаторы весят больше, может целенаправленно их устранить — и тем самым снизить категорию ещё до плановой проверки.

Какие индикаторы риска у РКН?

Перечень индикаторов риска нарушения обязательных требований в сфере ПДн закреплён подзаконным актом РКН. На практике юристы работают с несколькими группами индикаторов, которые наиболее часто фиксируются при проверках.

Группа 1 — реестр операторов. Отсутствие в реестре или несоответствие сведений в уведомлении реальной обработке. Оператор, который не подал уведомление по ст. 22 ФЗ-152 или указал неполный перечень целей и категорий ПДн, получает один из наиболее весомых индикаторов. Приказ РКН № 180 от 28.10.2022 определяет обязательные разделы уведомления.

Группа 2 — политика конфиденциальности. Отсутствие политики обработки ПДн на сайте или несоответствие её содержания требованиям ч. 2 ст. 18.1 ФЗ-152. Проверяется автоматически — РКН мониторит доступность страницы /privacy или аналогов.

Группа 3 — инциденты. Неуведомление или несвоевременное уведомление об утечке по ч. 3.1 ст. 21 ФЗ-152. Срок первичного уведомления — 24 часа с момента обнаружения. Через 72 часа — отчёт о результатах расследования по Приказу РКН № 187. Каждое просроченное уведомление фиксируется в истории оператора.

Группа 4 — жалобы субъектов. Поступившие в РКН жалобы на нарушение прав субъектов ПДн: отказ в предоставлении информации по ст. 20 ФЗ-152, игнорирование требований об уничтожении или уточнении ПДн по ст. 21.

Группа 5 — ранее выявленные нарушения. Предписания и постановления по ст. 13.11 КоАП, вынесенные в предшествующие периоды, напрямую увеличивают расчётный балл риска.

Юрист проводит аудит — как быстро выявить активные индикаторы?

Если вы ведёте комплаенс и не уверены, какие именно индикаторы риска активны по вашему оператору, — стандартная проверка реестра и политики занимает 30 минут, но полный срез требует анализа истории уведомлений, жалоб и соответствия ОРД. До плановой проверки может оставаться меньше года. Чем раньше устранён индикатор, тем меньше шансов, что он войдёт в расчёт.

Защитить от штрафа по ст. 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как снизить категорию риска РКН: 5 последовательных шагов

Шаг 1. Актуализируйте уведомление в реестре операторов ПДн.

Проверьте сведения на pd.rkn.gov.ru. Убедитесь, что перечень целей обработки, категорий ПДн, оснований, третьих лиц и трансграничных передач отражает реальную обработку. Если с момента первичного уведомления появились новые системы или контрагенты — подайте уведомление об изменении по форме Приказа РКН № 180. Срок включения изменений в реестр — 30 дней. Несоответствие реестра факту — один из наиболее весомых индикаторов риска, устраняется за один рабочий день.

Шаг 2. Приведите политику обработки ПДн в соответствие ч. 2 ст. 18.1 ФЗ-152.

Политика должна содержать: цели и правовые основания обработки, перечень категорий субъектов и ПДн, порядок и условия обработки, права субъектов и порядок их реализации. Политика должна быть опубликована в открытом доступе — обычно на странице сайта, доступной без авторизации. РКН проверяет наличие документа автоматически. Отсутствие или формальный текст без обязательных разделов — нарушение ч. 3 ст. 13.11 КоАП, штраф до 60 000 рублей и фиксированный индикатор риска.

Шаг 3. Назначьте ответственного за обработку ПДн по ст. 22.1 ФЗ-152.

Оператор-юрлицо обязан приказом назначить лицо, ответственное за организацию обработки ПДн. Это требование ч. 1 ст. 22.1. Сведения об ответственном и его контактные данные должны быть опубликованы — на сайте или в составе политики. Отсутствие приказа и публичных контактов — отдельный индикатор при проверке. Устраняется в день подписания приказа.

Шаг 4. Закройте историю просроченных уведомлений об инцидентах.

Если в прошлом были утечки, по которым уведомление направлялось с нарушением срока или не направлялось совсем, — это история в базе РКН. Новые уведомления, поданные строго в срок (24/72 часа по Приказу № 187), постепенно меняют «окраску» истории оператора. Параллельно имеет смысл внедрить регламент реагирования на инциденты — его наличие при проверке рассматривается как митигирующее обстоятельство.

Шаг 5. Устраните открытые предписания и постановления РКН.

Неисполненное предписание — прямой индикатор высокого риска. Невыполнение предписания в установленный срок квалифицируется как самостоятельное правонарушение по ч. 1 ст. 19.5 КоАП. Если предписание обжалуется — факт обжалования и соблюдение процессуальных сроков фиксируется в деле. После вынесения решения в пользу оператора запись об открытом нарушении снимается.

Что подготовить для снижения категории риска

  • Актуальная выписка из реестра операторов ПДн с pd.rkn.gov.ru — соответствие реальной обработке проверяется построчно
  • Опубликованная политика обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152 — доступна без авторизации
  • Приказ о назначении ответственного по ст. 22.1 ФЗ-152 с публикацией контактных данных
  • Регламент реагирования на инциденты с описанием порядка уведомления за 24/72 часа по Приказу РКН № 187
  • Журнал учёта обращений субъектов ПДн — фиксирует соблюдение сроков по ст. 20 ФЗ-152

Как работает профилактический визит и чем он отличается от проверки?

Профилактический визит — мероприятие без составления акта и без штрафных санкций. РКН вправе предложить оператору профвизит как альтернативу плановой проверке. Оператор вправе отказаться — отказ не является нарушением. Однако профвизит при низкой категории риска практически исключает внеплановую проверку в ближайший период.

При плановой проверке инспектор вправе запросить любые документы, связанные с обработкой ПДн: ОРД, согласия, технические регламенты, журналы. По итогам составляется акт, который может содержать предписание. Неисполнение предписания — отдельный состав по КоАП. При профвизите инспектор консультирует, не штрафует.

«Ст. 13.11 ч. 11 КоАП — неуведомление РКН об инциденте с ПДн или нарушение 24-часового срока первичного уведомления влечёт штраф для юрлица от 1 000 000 до 3 000 000 рублей. Каждое такое событие фиксируется в истории оператора и увеличивает расчётный балл категории риска.»

Мораторий на плановые проверки, действовавший в 2022–2023 годах, для РКН не распространялся на надзор в сфере ПДн в полном объёме. С 2024 года плановые проверки возобновлены по утверждённому плану. Оператор вправе проверить, включён ли он в план, через сервис прокуратуры или сайт РКН.

Матрица сценариев: как юрист снижает категорию риска

Сценарий 1. Оператор не в реестре, проверка анонсирована за 30 дней.

Ситуация: компания не подавала уведомление по ст. 22 ФЗ-152, обрабатывает ПДн клиентов и работников. РКН направил уведомление о плановой проверке. Доказательная база: нет записи в реестре, нет политики. Вероятный исход без действий: протокол по ч. 1 ст. 13.11 КоАП (штраф 150–300 тыс. рублей) + протокол по ч. 3 (до 60 тыс. рублей) + предписание. Стратегия: в течение 3 рабочих дней подать уведомление по Приказу № 180, опубликовать политику, подготовить пакет ОРД. Факт подачи до начала проверки рассматривается как смягчающее обстоятельство по ст. 4.2 КоАП.

Сценарий 2. Предписание РКН не исполнено, срок истёк.

Ситуация: по итогам предыдущей проверки вынесено предписание об устранении нарушений ч. 2 ст. 13.11 (нарушения согласия). Срок исполнения — 30 дней, прошло 45. Вероятный исход: протокол по ч. 1 ст. 19.5 КоАП (неисполнение законного предписания), штраф для юрлица до 500 000 рублей + новый индикатор риска в истории оператора. Стратегия: исполнить предписание немедленно, уведомить РКН об исполнении с приложением доказательств, подать ходатайство об учёте смягчающих обстоятельств. Параллельно — оценить основания для обжалования самого предписания, если оно вынесено с процессуальными нарушениями.

Сценарий 3. Компания получила внеплановую проверку после жалобы субъекта.

Ситуация: субъект ПДн направил жалобу в РКН на отказ предоставить информацию в 10-рабочих-дневный срок по ст. 20 ФЗ-152. РКН инициировал внеплановую проверку. Доказательная база: нет журнала обращений субъектов, нет фиксации ответа. Вероятный исход: протокол по ч. 4 ст. 13.11 КоАП (штраф 40–80 тыс. рублей) + повышение категории риска. Стратегия: до начала проверки восстановить переписку, сформировать доказательства направления ответа субъекту, внедрить журнал учёта обращений. При наличии ответа субъекту — оспорить основание для проверки.

Если вы юрист и ведёте комплаенс-аудит перед проверкой РКН — каждый незакрытый индикатор увеличивает вероятность протокола. Сопровождение РКН включает анализ активных индикаторов, подготовку ОРД и представление интересов при проверке.

Подготовиться к проверке РКН

Как это применяется на практике

Кейс 1. Юридическая служба торговой компании (Сибирский ФО, осень 2025) получила уведомление о плановой проверке РКН за 30 дней. Аудит показал: уведомление в реестре устарело — не отражало трёх новых контрагентов-обработчиков, политика не содержала раздела о правах субъектов, приказ о назначении ответственного отсутствовал. За 10 рабочих дней юрист подал уточнённое уведомление по Приказу № 180, актуализировал политику, оформил приказ. При проверке инспектор зафиксировал устранение нарушений до её начала — составил акт без предписания, категория риска снижена до умеренного уровня.

Кейс 2. По делу о неуведомлении об утечке ПДн (арбитражный суд региона, начало 2026, аналогичное case_S2_pkr_analitika): оператор направил первичное уведомление через 31 час после обнаружения инцидента вместо установленных 24 часов. РКН возбудил дело по ч. 11 ст. 13.11 КоАП. Юрист оператора представил доказательства: время фиксации события в SIEM-системе, время направления уведомления с УКЭП. Суд учёл, что просрочка составила менее 10 часов, формирование отчёта за 72 часа было соблюдено, нарушение первичное. Штраф снижен до минимального предела санкции. Индикатор риска в истории оператора остался, однако полное соблюдение 72-часового регламента по Приказу № 187 зафиксировано как смягчающее обстоятельство.

Услуги DATUM по теме

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка включает пять обязательных блоков: актуализация уведомления в реестре операторов, приведение политики обработки ПДн в соответствие ч. 2 ст. 18.1 ФЗ-152, наличие приказа о назначении ответственного по ст. 22.1, пакет ОРД (согласия, регламенты, журналы обращений субъектов) и регламент реагирования на инциденты по Приказу РКН № 187. Срок подготовки с нуля — от 10 рабочих дней. Начинать следует не позднее чем за 3 недели до анонсированной даты проверки.

2. Какие индикаторы риска у РКН?

Ключевые группы индикаторов: отсутствие или несоответствие сведений в реестре операторов, нарушения требований к политике обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, зафиксированные просрочки уведомлений об инцидентах по Приказу РКН № 187, жалобы субъектов ПДн в РКН, открытые предписания и постановления по ст. 13.11 КоАП. Каждый индикатор имеет собственный вес в расчёте итогового балла риска.

3. Можно ли отказаться отвечать на запрос РКН?

Оператор обязан отвечать на запросы РКН в рамках контрольных мероприятий — это требование Федерального закона № 248-ФЗ и ФЗ-152. Отказ от взаимодействия или непредставление запрошенных документов в срок квалифицируется как воспрепятствование проведению проверки — самостоятельный состав по КоАП с отдельными санкциями. Оспорить можно объём и основание запроса, но не сам факт взаимодействия с надзорным органом.

4. Что грозит за невыполнение предписания РКН?

Неисполнение предписания в установленный срок образует состав по ч. 1 ст. 19.5 КоАП. Для юридических лиц штраф составляет до 500 000 рублей. Одновременно открытое неисполненное предписание — один из наиболее весомых индикаторов риска, который автоматически поднимает категорию оператора. Повторное неисполнение предписания РКН может повлечь административное приостановление деятельности.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд по месту вынесения в течение 10 суток с момента получения. Если постановление вынесено самим РКН как должностным лицом — обжалование в вышестоящий орган или районный суд. При наличии оснований по ст. 4.1 КоАП (инвестиции в ИБ не менее 0,1% выручки за 3 года) штраф по оборотным составам может быть снижен до 1/10 минимального размера, но не менее 15 млн рублей.

Итог

Категория риска РКН — управляемый параметр. Пять шагов: актуализация реестра, политика по ст. 18.1, назначение ответственного, регламент уведомлений об инцидентах и закрытие открытых предписаний — устраняют большинство весомых индикаторов. Снижение категории переводит оператора с режима плановых проверок раз в 2 года на профилактический визит или категорию низкого риска.

Практика DATUM по сопровождению проверок РКН включает анализ активных индикаторов, подготовку полного пакета ОРД и представление интересов оператора при контрольных мероприятиях.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.

21 апреля 2027 года