Перейти к содержанию
аналитика 25 апреля 2027 По состоянию на 25 апреля 2027

Как вести себя на проверке РКН

Проверка Роскомнадзора по 152-ФЗ — это административная процедура с чёткими процессуальными правами и обязанностями оператора ПДн.
С 30.05.2025 за нарушения, выявленные на проверке, применяются новые санкции ст. 13.11 КоАП в редакции ФЗ-420: от 30 тыс. ₽ за отсутствие политики до 500 млн ₽ за повторную утечку по оборотному составу ч. 15.
Если вы юрист и ведёте компанию к проверке РКН — ниже структурированный план действий: до, во время и после.

Плановые и внеплановые проверки РКН проводятся по регламентам, закреплённым в ФЗ-248 «О государственном контроле» и отраслевом административном регламенте Роскомнадзора. Профилактический визит, индикаторы риска и мораторий 2025 года изменили тактику регулятора: давление смещается от плановых визитов к документальным и внеплановым. Материал разбирает каждую стадию и ошибки, которые превращают технические нарушения в административные протоколы.

Какие виды проверок проводит РКН и чем они различаются?

Роскомнадзор применяет три формата контроля в сфере ПДн. Каждый формат имеет разный правовой режим, сроки и последствия для оператора.

Плановая проверка включается в ежегодный план, публикуемый на сайте РКН и proverki.gov.ru. Оператор обязан быть уведомлён не менее чем за три рабочих дня до начала. Срок — до 20 рабочих дней (для крупных операторов — до 40). На весь период 2022–2030 в отношении субъектов МСП действует мораторий на плановые проверки, но операторы с высоким индикатором риска могут попасть в план через исключения.

Внеплановая проверка назначается при поступлении жалобы субъекта ПДн, выявлении индикаторов риска, по поручению прокуратуры или Правительства, а также при контроле исполнения ранее выданного предписания. Уведомление — не позднее чем за 24 часа. Именно внеплановые проверки дают основной поток протоколов по ст. 13.11 КоАП.

Профилактический визит — новый инструмент после 2022 года. Формально не является проверкой: инспектор разъясняет обязательные требования без права составления протокола. Отказаться от профвизита оператор вправе, уведомив РКН за три рабочих дня. Однако отказ фиксируется и повышает вероятность последующей внеплановой проверки.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Отсутствие в реестре операторов — самостоятельное основание для внеплановой проверки и штрафа 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП в редакции с 30.05.2025.»

Реестр операторов на pd.rkn.gov.ru — первое, что смотрит инспектор. Если запись отсутствует или содержит устаревшие данные, протокол составляется ещё до изучения документации.

Получили уведомление о проверке РКН — что делать в первые сутки?

Внеплановая проверка объявляется за 24 часа. Этого времени достаточно, чтобы оценить реальный разрыв между документацией и требованиями РКН, расставить приоритеты и выстроить тактику взаимодействия с инспектором. Ошибки первого дня — признание несуществующих нарушений, предоставление лишних документов, неверная квалификация состава — сужают возможности в дальнейшем.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие индикаторы риска использует РКН для назначения внеплановой проверки?

С 2023 года РКН официально перешёл на риск-ориентированный контроль. Перечень индикаторов риска утверждён отдельным приказом и пересматривается. Юристу важно знать актуальный список, чтобы заблаговременно снизить профиль риска клиента.

К типовым индикаторам относятся: отсутствие оператора в реестре при наличии публичного сайта со сбором ПДн; жалоба субъекта, поданная через портал РКН; публикация данных о предполагаемой утечке в открытых источниках; несоответствие между уведомлением по форме Приказа РКН №180 и фактически наблюдаемой обработкой; истечение срока исполнения ранее выданного предписания.

Отдельный индикатор — трансграничная передача ПДн без уведомления РКН. Использование зарубежных аналитических сервисов (счётчики, CRM, маркетинговые платформы) при отсутствии соответствующего раздела в уведомлении фиксируется как признак нарушения ст. 12 ФЗ-152.

«Ст. 19 ФЗ-152 — оператор обязан принимать технические и организационные меры защиты ПДн. Уровень защищённости (УЗ-1..УЗ-4) определяется по ПП РФ №1119. Состав мер — по Приказу ФСТЭК №21. Отсутствие документально подтверждённых мер — отдельное нарушение, выявляемое при проверке.»

Снижение риск-профиля — это не только документация. Реальная история взаимодействия с РКН (своевременные уведомления, ответы на запросы субъектов, добровольные корректировки в реестре) формирует у инспектора картину добросовестного оператора ещё до начала проверки.

Как правильно вести себя непосредственно на проверке?

Поведение представителя оператора на проверке напрямую влияет на квалификацию нарушений и размер санкций. Базовые правила применимы к любому формату — документальному, выездному, внеплановому.

До начала проверки: убедитесь, что инспектор предъявил распоряжение (приказ) о проведении проверки с указанием оснований, предмета, сроков и состава проверяющих. Принять копию распоряжения — право оператора, закреплённое в ФЗ-248. Без надлежащего распоряжения проверка незаконна.

Во время проверки: предоставляйте только те документы, которые прямо запрошены. Не давайте устных пояснений, которые выходят за пределы вопросов. Все передаваемые материалы — по описи с подписью инспектора. Фиксируйте каждое устное замечание инспектора письменно — это основа для последующего обжалования предписания.

При составлении акта: акт проверки подписывает уполномоченный представитель оператора. Несогласие с выводами фиксируется в акте отдельной строкой: «С выводами не согласен, возражения будут представлены в установленный срок». Подписание акта без возражений существенно осложняет последующее обжалование.

Что подготовить до начала проверки

  • Выписка из реестра операторов ПДн на pd.rkn.gov.ru с актуальными сведениями (уведомление по форме Приказа РКН №180)
  • Политика обработки персональных данных, опубликованная на сайте (ст. 18.1 ч. 2 ФЗ-152), и приказ о её утверждении
  • Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152) с квалификационными документами
  • Комплект согласий: работников — в редакции с 01.09.2025 (ФЗ-156), клиентов — с обязательными реквизитами ст. 9 ФЗ-152
  • Журнал учёта обращений субъектов ПДн за последние 12 месяцев с отметками о сроках ответа по ст. 20 ФЗ-152

Отдельного внимания требует момент составления протокола об административном правонарушении. Протокол — не приговор: он фиксирует позицию РКН, но оператор вправе представить объяснения, которые войдут в материалы дела. Объяснения должны быть краткими, фактическими и адресовать конкретный вменяемый состав ст. 13.11 КоАП.

Если вы юрист и инспектор РКН уже на месте или только что вручил распоряжение — фиксация каждого шага с этого момента определяет исход дела. Штраф по ч. 12 ст. 13.11 КоАП начинается от 3 млн ₽; по ч. 15 оборотного состава — от 20 млн ₽.

Защитить от штрафа 13.11

Типовые сценарии проверок и их исходы

Сценарий 1. Внеплановая проверка по жалобе субъекта. Клиент интернет-магазина пожаловался в РКН на получение рекламных рассылок после отзыва согласия. Инспектор запросил документацию: политику, форму согласия, журнал отзывов. Оператор предоставил политику, но не смог подтвердить фиксацию отзыва согласия с конкретной датой. Итог: протокол по ч. 5 ст. 13.11 КоАП (невыполнение требования субъекта об уничтожении ПДн) — штраф в диапазоне 50–90 тыс. ₽ для юрлица. Стратегия: вести журнал отзывов согласий в CRM с автоматической меткой даты и архивировать подтверждения.

Сценарий 2. Документальная проверка после публикации об утечке. IT-компания (Центральный ФО, зима 2026) оказалась в базе утечек, опубликованной на тематическом форуме. РКН инициировал внеплановую проверку. Компания не была зарегистрирована в реестре операторов. Дополнительно выявлено: политика конфиденциальности не содержала раздел о правах субъектов. Составлено два протокола: по ч. 10 ст. 13.11 (неуведомление — 100–300 тыс. ₽) и по ч. 3 (отсутствие надлежащей политики — 30–60 тыс. ₽). Юрист компании обжаловал протоколы: по ч. 3 добился переквалификации, по ч. 10 — минимального размера штрафа с учётом смягчающих обстоятельств.

Сценарий 3. Контрольная проверка исполнения предписания. После плановой проверки 2024 года оператор получил предписание устранить 4 нарушения за 3 месяца. К назначенной дате устранены 3 из 4: не обновлена форма согласия на сайте. Инспектор составил протокол за неисполнение предписания. Дополнительно: поскольку нарушение по согласию продолжалось, составлен протокол по ч. 2 ст. 13.11 (300–700 тыс. ₽). Совокупность двух протоколов превысила стоимость своевременного обновления формы в 30 раз. Стратегия: фиксировать исполнение каждого пункта предписания письменным актом с датой, не ждать истечения срока.

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка строится вокруг четырёх направлений: реестр операторов (актуальное уведомление по форме Приказа РКН №180), организационно-распорядительная документация (политика, приказы, согласия, журналы), технические меры защиты в соответствии с уровнем защищённости по ПП РФ №1119 и Приказом ФСТЭК №21, а также журнал обращений субъектов. Аудит соответствия по чек-листу из 38 пунктов до проверки позволяет устранить нарушения, которые иначе превратятся в протоколы. Подробнее — Аудит соответствия 152-ФЗ.

2. Какие индикаторы риска у РКН?

Ключевые индикаторы: отсутствие в реестре операторов при наличии публичного сайта со сбором ПДн; жалоба субъекта через портал РКН; публикация об утечке в открытых источниках; трансграничная передача без уведомления; истечение срока исполнения ранее выданного предписания. Перечень индикаторов риска утверждён отдельным приказом регулятора и периодически обновляется.

3. Можно ли отказаться отвечать на запрос РКН?

Оператор обязан исполнять запросы и предписания Роскомнадзора в установленные сроки. Игнорирование запроса образует самостоятельный состав нарушения. Вместе с тем оператор вправе: запросить продление срока ответа, представить мотивированные возражения, обжаловать предписание в административном или судебном порядке. Отвечать следует строго на поставленные вопросы, без добровольного расширения предмета запроса.

4. Что грозит за невыполнение предписания РКН?

Неисполнение предписания в установленный срок влечёт административную ответственность по ч. 1 ст. 19.5 КоАП: для юридических лиц — штраф 10–20 тыс. ₽. Дополнительно составляется протокол по существу нарушения, которое не было устранено: например, ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽ за ненадлежащее согласие). Если предписание касается устранения последствий утечки, неисполнение учитывается при квалификации повторности по ч. 15 ст. 13.11.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 суток с момента вручения (ст. 30.3 КоАП). При обжаловании возможно применение ст. 4.1.1 КоАП — замена штрафа на предупреждение для субъектов МСП при первичном нарушении (кроме ч. 15 и ч. 18 ст. 13.11). По оборотным составам — снижение через ст. 4.1 КоАП при документально подтверждённых инвестициях в ИБ.

Итог

Результат проверки РКН определяется не в момент прихода инспектора, а задолго до него: актуальностью реестра операторов, качеством ОРД, работоспособностью процедур реагирования на обращения субъектов. Правильное поведение непосредственно на проверке — фиксация, ограничение предмета ответов, мотивированные возражения в акте — существенно сужает объём вменяемых нарушений и открывает процессуальные возможности при обжаловании.

Практика DATUM охватывает сопровождение операторов на всех стадиях: от подготовки документации до представления интересов в суде по протоколам ст. 13.11 КоАП. Работаем с операторами из реестра и теми, кто в него ещё не включён.

Услуги DATUM по теме

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.