Перейти к содержанию
инструкция 14 февраля 2027 По состоянию на 14 февраля 2027

Карта рисков обработки ПДн

Карта рисков обработки персональных данных — структурированный перечень правовых угроз, организационных пробелов и технических уязвимостей, которые создают основания для штрафа, предписания или возбуждения дела по ст. 272.1 УК РФ.
С 30.05.2025 действуют 18 частей ст. 13.11 КоАП в редакции ФЗ-420: штрафы от 30 тыс. до 500 млн ₽, оборотная ответственность при повторной утечке — 1–3% годовой выручки. Каждый незакрытый риск — самостоятельный состав нарушения.
→ Если вы юрист и составляете комплаенс-программу по 152-ФЗ — ниже пошаговая инструкция по построению карты рисков и закрытию каждого из них.

Карта рисков — это не абстрактный документ из методичек. Это рабочий инструмент юриста, который позволяет за один проход выявить все основания, по которым Роскомнадзор вправе составить протокол. Инструкция ниже охватывает шесть блоков рисков: от уведомления в реестре до согласий по новым требованиям ФЗ-156 от 24.06.2025. По каждому блоку — норма, состав нарушения, размер штрафа и конкретное закрывающее действие.

Шаг 1. Проверьте статус в реестре операторов РКН

Первый и самый очевидный риск — отсутствие уведомления или несоответствие реестровых сведений фактической обработке. Ст. 22 ФЗ-152 обязывает оператора уведомить Роскомнадзор до начала обработки персональных данных. Форма уведомления утверждена Приказом РКН №180 от 28.10.2022, подача — через pd.rkn.gov.ru с использованием ЕСИА или УКЭП.

«Ч. 10 ст. 13.11 КоАП (ред. с 30.05.2025) — неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку ПДн — штраф для юрлица 100 000–300 000 ₽.»

Риск не закрывается фактом однократной подачи уведомления. Если с момента регистрации изменились цели обработки, перечень категорий ПДн, состав субъектов или появился новый трансграничный получатель — оператор обязан направить уведомление об изменении сведений. Проверьте текущую запись в реестре по ИНН на pd.rkn.gov.ru и сравните с фактической практикой обработки. Расхождение — самостоятельный риск.

Закрывающее действие: актуализация уведомления в реестре через личный кабинет РКН, приведение всех полей в соответствие с реальными процессами обработки.

Шаг 2. Оцените состав организационно-распорядительной документации

Ст. 18.1 ФЗ-152 обязывает оператора принять меры, обеспечивающие выполнение требований закона. Конкретный состав этих мер — локальные акты: политика обработки ПДн, приказ о назначении ответственного, перечни лиц, имеющих доступ, регламент реагирования на обращения субъектов, инструкции для работников. Отсутствие политики конфиденциальности в открытом доступе — отдельный состав по ч. 3 ст. 13.11 КоАП.

«Ч. 3 ст. 13.11 КоАП — невыполнение обязанности по опубликованию политики обработки ПДн согласно ст. 18.1 — штраф для юрлица 30 000–60 000 ₽.»

Политика должна содержать: наименование и адрес оператора, цели и правовые основания обработки, перечень обрабатываемых категорий, описание мер защиты, порядок реализации прав субъектов, сведения о трансграничной передаче — если она осуществляется. Требования к содержанию закреплены в ч. 2 ст. 18.1 ФЗ-152. Шаблон из интернета, скопированный без адаптации, не закрывает риск — он создаёт новый, поскольку содержит несоответствующие фактические сведения.

Что проверить в составе ОРД

  • Политика обработки ПДн опубликована на сайте и актуальна по содержанию
  • Приказ о назначении ответственного по ст. 22.1 подписан, лицо квалифицировано
  • Перечень лиц с доступом к ПДн актуален и утверждён
  • Регламент реагирования на запросы субъектов описывает сроки (10 рабочих дней по ст. 20)
  • Инструктаж работников задокументирован, листы ознакомления подписаны

Закрывающее действие: аудит состава ОРД по чек-листу из 38 позиций, разработка недостающих документов, публикация политики по адресу, указанному на сайте.

Нужен полный пакет ОРД под текущие требования?

Если юрист выявил пробелы в документации, но не хватает ресурса закрыть их быстро — типовой срок устранения нарушений по ч. 3 ст. 13.11 КоАП не ждёт. DATUM собирает полный комплект ОРД под ключ: политика, согласия в редакции ФЗ-156, приказы, регламенты — с учётом фактической структуры обработки конкретного оператора.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Проверьте правомерность оснований обработки и состав согласий

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований для обработки ПДн. Для каждого процесса обработки должно быть обозначено конкретное основание — согласие субъекта, исполнение договора, выполнение законной обязанности и т. д. Нарушение этого правила — ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Если обработка ведётся вовсе без правового основания или в целях, несовместимых с заявленными, — состав тот же.

Отдельный блок риска — согласия. С 01.09.2025 в силу вступили изменения в ч. 1 ст. 9 ФЗ-152, внесённые ФЗ-156 от 24.06.2025: согласие на обработку ПДн оформляется отдельным документом и не может быть совмещено с договором, офертой, политикой или иным документом. Согласия, встроенные в трудовой договор, пользовательское соглашение или форму регистрации, с 01.09.2025 не соответствуют требованиям закона для новых субъектов.

«Ч. 2 ст. 13.11 КоАП — обработка ПДн без письменного согласия (когда оно требуется) или нарушение требований к составу согласия — штраф для юрлица 300 000–700 000 ₽. Повторное нарушение (ч. 2.1) — 1 000 000–1 500 000 ₽.»

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия, порядок его отзыва. Отсутствие хотя бы одного реквизита — нарушение ч. 2 ст. 13.11. Ранее полученные согласия переоформлять не требуется — обратной силы ФЗ-156 не имеет. Новые согласия с 01.09.2025 — только отдельным документом.

Закрывающее действие: ревизия всех форм согласий, исключение совмещённых документов для новых субъектов, разработка отдельных форм согласий с полным составом реквизитов.

Как проверить назначение ответственного по ст. 22.1 ФЗ-152?

Ст. 22.1 ФЗ-152 обязывает оператора-юридическое лицо назначить лицо, ответственное за организацию обработки ПДн. Требования к квалификации такого лица установлены в ч. 4 ст. 22.1: юридическое образование или опыт работы в сфере защиты ПДн не менее двух лет. Назначение формализуется приказом с указанием обязанностей.

Типичные нарушения: ответственный назначен формально — системным администратором или бухгалтером без соответствующей квалификации; приказ есть, но должностная инструкция не описывает реальный функционал; сотрудник уволен, новый не назначен. Каждый из этих случаев фиксируется при проверке РКН как нарушение ч. 1 ст. 13.11 КоАП в части несоблюдения мер по ст. 18.1.

Альтернатива штатному ответственному — DPO-аутсорсинг. Внешний исполнитель принимает функцию ответственного по ст. 22.1 на абонентском обслуживании, включая ответы на запросы субъектов в установленные сроки. Это особенно актуально для компаний, в которых юрист не специализируется на 152-ФЗ.

Закрывающее действие: проверка приказа о назначении, актуальность должностной инструкции, квалификация ответственного или передача функции на аутсорсинг.

Шаг 5. Идентифицируйте риски трансграничной передачи и локализации

Ч. 5 ст. 18 ФЗ-152 требует, чтобы запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан России производились в базах данных, расположенных на территории РФ. Нарушение этого требования — ч. 8 ст. 13.11 КоАП, штраф для юрлица 1 000 000–6 000 000 ₽. Повторное нарушение (ч. 9) — 6 000 000–18 000 000 ₽.

«Ч. 8 ст. 13.11 КоАП — невыполнение обязанности по локализации ПДн граждан РФ в базах данных на территории России — штраф для юрлица 1 000 000–6 000 000 ₽.»

Практический риск: использование зарубежных CRM, облачных хранилищ, HR-систем или маркетинговых платформ (Salesforce, HubSpot, зарубежные CDN) для первичной обработки данных российских пользователей без локального зеркала. После ужесточения требований к локализации с 01.07.2025 (ФЗ-233) правоприменение стало жёстче. Отдельный риск — трансграничная передача в страны без адекватной защиты ПДн без предварительного уведомления РКН по ст. 12 ФЗ-152.

Закрывающее действие: картографирование потоков данных (data flow mapping), выявление зарубежных получателей и систем хранения, перевод первичной обработки на российскую инфраструктуру или уведомление РКН о трансграничной передаче в установленном порядке.

Если юрист обнаружил использование зарубежных систем для обработки ПДн — риск по ч. 8 ст. 13.11 КоАП составляет до 6 млн ₽ при первом нарушении. DATUM проведёт аудит потоков данных и подготовит план устранения нарушений локализации.

Заказать аудит 152-ФЗ

Шаг 6. Проверьте готовность к реагированию на утечку и запросы субъектов

Два отдельных блока риска, которые часто остаются за рамками базовой ОРД: порядок реагирования на инциденты и порядок ответа на запросы субъектов. Ч. 3.1 ст. 21 ФЗ-152 устанавливает: при выявлении утечки оператор обязан уведомить РКН в течение 24 часов, а через 72 часа направить отчёт о результатах внутреннего расследования (Приказ РКН №187 от 14.11.2022). Неуведомление — ч. 11 ст. 13.11 КоАП, штраф 1 000 000–3 000 000 ₽.

«Ч. 11 ст. 13.11 КоАП — неуведомление или несвоевременное уведомление РКН об инциденте с ПДн в 24 часа — штраф для юрлица 1 000 000–3 000 000 ₽.»

По запросам субъектов: ст. 20 ФЗ-152 устанавливает срок предоставления информации — 10 рабочих дней с даты обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Невыполнение этой обязанности — ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽). Отдельная угроза — требование субъекта уничтожить или уточнить ПДн: нарушение сроков исполнения — ч. 5 ст. 13.11 (50 000–90 000 ₽), повторно — ч. 5.1 (300 000–500 000 ₽).

Закрывающее действие: разработка и утверждение регламента реагирования на инциденты (с указанием ответственного, каналов уведомления РКН и сроков), журнала учёта запросов субъектов, типовых форм ответов на обращения.

Типовые сценарии нарушений при проверке РКН

Сценарий 1. Уведомление есть, но реестр устарел. Компания в Сибирском ФО подала уведомление в реестр в 2020 году. К 2025 году добавились новые сервисы, изменился состав субъектов и появился подрядчик в Казахстане. При плановой проверке РКН зафиксировал расхождение между реестровыми данными и фактической обработкой — протокол по ч. 1 ст. 13.11 (150 000–300 000 ₽) и отдельно по трансграничной передаче без уведомления. Стратегия: до проверки провести аудит уведомления, направить обновлённые сведения в РКН, оформить уведомление о трансграничной передаче.

Сценарий 2. Согласия в трудовом договоре после 01.09.2025. Юрист торговой сети (Центральный ФО, конец 2025) при ревизии HR-документации обнаружил, что новые согласия работников на обработку ПДн включены в раздел трудового договора. После 01.09.2025 такое согласие не соответствует требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Каждый новый работник — потенциальный субъект жалобы в РКН. Штраф по ч. 2 ст. 13.11 — 300 000–700 000 ₽. Стратегия: немедленная разработка отдельных форм согласий, получение подписей от всех работников, принятых после 01.09.2025.

Сценарий 3. Отсутствие регламента реагирования — утечка через подрядчика. IT-компания (Северо-Западный ФО, начало 2026) пострадала от утечки данных через субподрядчика, обрабатывавшего ПДн клиентов по договору поручения. Регламента реагирования не было, уведомление в РКН направили на 4-е сутки. Протокол по ч. 11 ст. 13.11 — штраф в диапазоне 1–3 млн ₽. Принцип ответственности оператора за действия подрядчика подтверждён судебной практикой: поручение обработки не снимает ответственности с оператора. Стратегия: утвердить регламент до инцидента, включить в договор поручения обязанность подрядчика немедленно уведомлять оператора о признаках инцидента.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный комплект включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1, приказ о назначении ответственного по ст. 22.1, согласия субъектов (отдельные документы с 01.09.2025 — ФЗ-156), перечень лиц с доступом к ПДн, регламент реагирования на инциденты и запросы субъектов, журнал учёта обращений. Полный пакет ОРД насчитывает 38 позиций — не все обязательны для каждого оператора, состав зависит от видов обработки.

2. Как составить политику обработки ПДн?

Политика должна содержать наименование и реквизиты оператора, цели и правовые основания обработки по каждому процессу, категории обрабатываемых ПДн и субъектов, описание мер защиты, сведения о трансграничной передаче, порядок реализации прав субъектов. Требования установлены ч. 2 ст. 18.1 ФЗ-152. Политика должна быть опубликована в открытом доступе — на сайте оператора. Использование чужого шаблона без адаптации под фактические процессы не закрывает риск по ч. 3 ст. 13.11 КоАП — инспектор РКН проверяет соответствие содержания политики реальной практике.

3. Кого назначить ответственным по ст. 22.1?

Ч. 4 ст. 22.1 ФЗ-152 требует юридического образования или опыта работы в сфере защиты ПДн не менее двух лет. Назначение оформляется приказом с описанием функционала. На практике требованиям соответствуют штатный юрист со специализацией в области ПДн или внешний DPO-аутсорсер. Назначение системного администратора или бухгалтера без соответствующей квалификации формально не закрывает требование ст. 22.1 и создаёт риск при проверке.

4. Можно ли использовать шаблон политики из интернета?

Шаблон из открытого доступа, как правило, не отражает фактическую структуру обработки конкретного оператора: не те цели, не те категории ПДн, не те основания, не описана трансграничная передача. При проверке РКН инспектор сопоставляет текст политики с реальными процессами. Расхождение фиксируется как нарушение ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽) или ч. 1 той же статьи (150 000–300 000 ₽) — в зависимости от существенности несоответствия. Шаблон допустим как каркас, но требует полной адаптации под конкретного оператора.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн — исключительно отдельный документ. ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152: согласие не может быть частью договора, оферты, пользовательского соглашения или иного документа. Обязательные реквизиты: ФИО субъекта, его контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, порядок отзыва. Ранее полученные согласия переоформлять не нужно — ФЗ-156 не имеет обратной силы. Новые согласия для субъектов, вступивших в отношения с оператором после 01.09.2025, — только по новым правилам.

6. Что происходит, если 24 часа на уведомление об утечке уже прошли?

Срок 24 часа по ч. 3.1 ст. 21 ФЗ-152 не восстанавливается. Нарушение срока первичного уведомления — самостоятельный состав по ч. 11 ст. 13.11 КоАП (1 000 000–3 000 000 ₽). При этом уведомлять РКН необходимо и после истечения срока — отказ от уведомления только усугубляет положение. Важно зафиксировать момент фактического обнаружения инцидента, принятые меры и причины задержки: они учитываются как смягчающие обстоятельства по ст. 4.1 КоАП. Параллельно стоит оценить возможность применения ст. 4.1.1 КоАП для замены штрафа предупреждением — если компания является субъектом МСП и нарушение совершено впервые.

Итог

Карта рисков обработки ПДн — это рабочий инструмент юриста, а не декларативный документ. Шесть блоков, описанных в инструкции, охватывают все ключевые составы нарушений по ст. 13.11 КоАП: от неуведомления РКН (100 000–300 000 ₽) до несоблюдения требований к согласиям после 01.09.2025 (300 000–700 000 ₽) и нарушения локализации (1 000 000–6 000 000 ₽). Закрытие каждого риска требует конкретного закрывающего действия — документа, регламента или технической меры.

Практика DATUM по 152-ФЗ охватывает полный цикл: от построения карты рисков и разработки ОРД до сопровождения проверок РКН и защиты в арбитраже. Юристы DATUM работают с операторами из всех секторов — от ретейла и IT до медицины и финансовых услуг.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

14 февраля 2027 года