аналитика 4 декабря 2026 По состоянию на 4 декабря 2026

Категории риска РКН: 5 уровней

Q: Какие индикаторы риска у РКН?

Индикаторы риска — формализованные признаки нарушений, при выявлении которых РКН назначает внеплановую проверку. Типовые: отсутствие оператора в реестре, несоответствие реестровой записи фактической обработке, отсутствие политики на сайте, зафиксированная утечка ПДн, неуведомление РКН об инциденте за 24 часа по ч. 3.1 ст. 21 ФЗ-152, жалобы субъектов, передача ПДн за рубеж без уведомления о трансграничной передаче по ст. 12 ФЗ-152. Перечень индикаторов утверждён отдельным приказом Роскомнадзора.

Q: Что грозит за невыполнение предписания РКН?

Невыполнение предписания РКН — основание для повторного возбуждения административного дела и квалифицируется как повторное нарушение. По повторным составам ст. 13.11 КоАП штрафы существенно выше: ч. 1.1 — 300–500 тыс. ₽, ч. 2.1 — 1–1,5 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15 ст. 13.11: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Предписание исполняется, а возражения подаются параллельно через суд.

Q: Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 суток со дня вручения. Помимо обжалования по существу, применяются ст. 4.1 КоАП (снижение штрафа при инвестициях в ИБ от 0,1% выручки за три года) и ст. 4.1.1 КоАП (замена штрафа предупреждением для субъектов МСП при первичном нарушении, кроме ч. 15 и ч. 18).

Категории риска РКН — это пять уровней (высокий, значительный, средний, умеренный, низкий), по которым Роскомнадзор распределяет операторов персональных данных для планирования проверок.

Присвоенная категория определяет периодичность плановых проверок: от ежегодных при высоком риске до полного исключения из плана при низком. С 30.05.2025 действует обновлённая ст. 13.11 КоАП — 18 составов нарушений, оборотный штраф до 500 млн ₽.

→ Если вы юрист, обеспечивающий комплаенс компании по 152-ФЗ, и не уверены в присвоенной категории риска — это основание начать с аудита реестровой записи и ОРД.

Риск-ориентированный подход к надзору применяется Роскомнадзором с 2017 года. Он означает, что не все операторы проверяются с одинаковой частотой: объём надзорной нагрузки зависит от категории риска, которую регулятор присваивает по совокупности индикаторов. Для юриста это означает, что правильная «настройка» записи оператора в реестре и своевременное устранение индикаторов прямо влияет на вероятность плановой проверки. В этом материале — как работает система пяти категорий, какие индикаторы риска использует РКН и что делать, если категория уже присвоена.

Как устроена система пяти категорий риска РКН?

Роскомнадзор применяет риск-ориентированный подход на основании Постановления Правительства РФ № 1101 от 30.06.2021 (Положение о федеральном государственном контроле в сфере персональных данных). Документ закрепляет пять категорий риска и критерии их присвоения. Оценку проводит РКН самостоятельно — оператор узнаёт о присвоенной категории через реестр операторов на pd.rkn.gov.ru или уведомление.

Пять категорий и периодичность плановых проверок:

Высокий риск — плановая проверка не чаще одного раза в год.
Значительный риск — не чаще одного раза в два года.
Средний риск — не чаще одного раза в три года.
Умеренный риск — не чаще одного раза в пять лет.
Низкий риск — плановые проверки не проводятся.

Присвоение категории — административное решение РКН. Оператор вправе оспорить его, направив возражение с обоснованием. При изменении обстоятельств (устранение нарушений, обновление ОРД, пересмотр состава обрабатываемых данных) категория может быть пересмотрена в сторону снижения.

«ПП РФ № 1101 от 30.06.2021 устанавливает критерии отнесения операторов ПДн к категориям риска и периодичность плановых проверок в зависимости от присвоенной категории.»

Важно различать плановую и внеплановую проверку. Категория риска влияет только на частоту плановых проверок. Внеплановая проверка может быть назначена в любой момент — по жалобе субъекта, по итогам профилактического визита или при выявлении индикаторов риска. Мораторий на проверки малого и среднего бизнеса, действовавший с 2022 года, на плановые проверки РКН распространяется ограниченно — надзор в сфере ПДн выведен из-под общего моратория.

Какие индикаторы риска использует Роскомнадзор?

Индикаторы риска — это формализованные признаки нарушений, при выявлении которых РКН вправе назначить внеплановую проверку без предварительного уведомления оператора. Перечень утверждён отдельным приказом Роскомнадзора и включает обстоятельства, которые регулятор может установить дистанционно.

Типовые индикаторы риска, применяемые на практике:

Отсутствие оператора в реестре операторов персональных данных при наличии сайта, собирающего ПДн.
Несоответствие фактической обработки сведениям, указанным в уведомлении (Приказ РКН № 180 от 28.10.2022).
Отсутствие на сайте опубликованной политики обработки персональных данных (ч. 2 ст. 18.1 ФЗ-152).
Зафиксированная утечка ПДн — сведения о компрометации базы данных в открытых источниках или даркнете.
Неуведомление РКН об инциденте в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152).
Наличие жалоб субъектов, поступивших в РКН и не рассмотренных оператором в установленный срок.
Передача ПДн граждан РФ в зарубежные системы без уведомления о трансграничной передаче по ст. 12 ФЗ-152.

Регулятор отслеживает часть индикаторов автоматически. Мониторинг открытых источников, включая утечки в даркнете, РКН ведёт в рамках собственной системы обнаружения. По данным за 2025 год, аналитики F6 Threat Intelligence зафиксировали около 250 публичных утечек объёмом порядка 767 млн строк — это потенциальные триггеры для внеплановых проверок по каждому затронутому оператору.

Проверяли ли вы реестровую запись в последние шесть месяцев?

Если юрист не проверял актуальность уведомления оператора в реестре РКН — фактическая обработка может существенно расходиться с заявленной. Это один из прямых индикаторов риска, который РКН использует для назначения внеплановой проверки. Устранить расхождение можно до того, как оно попадёт в протокол.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что входит в состав проверки РКН и как проходит профвизит?

Роскомнадзор проводит четыре вида надзорных мероприятий: документарную проверку, выездную проверку, профилактический визит и наблюдение. Профилактический визит (профвизит) — это менее жёсткий инструмент: инспектор выезжает к оператору, консультирует, но не составляет протокол по итогам визита. При этом выявленные нарушения могут стать основанием для внеплановой проверки.

В рамках документарной или выездной проверки РКН типично запрашивает:

Уведомление о намерении обрабатывать ПДн и актуальную выписку из реестра.
Политику обработки персональных данных с отметками о публикации на сайте.
Согласия субъектов — отдельные документы по ст. 9 ФЗ-152 (с 01.09.2025 — требование ФЗ-156).
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
Договоры поручения обработки с подрядчиками — по п. 3 ст. 6 ФЗ-152.
Журналы учёта обращений субъектов и сроки ответов по ст. 20 ФЗ-152.
Технические меры защиты применительно к уровню защищённости (ПП РФ № 1119, Приказ ФСТЭК № 21).

Срок проверки — не более 20 рабочих дней. Оператор вправе ходатайствовать о продлении срока для подготовки документов. Возражения на акт проверки подаются в течение 15 рабочих дней.

Что подготовить до проверки РКН

Актуальная выписка из реестра операторов на pd.rkn.gov.ru — соответствие фактической обработке.
Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте.
Отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025).
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
Журнал учёта обращений субъектов с входящими запросами за последние 12 месяцев.

Как категория риска связана со штрафами по ст. 13.11 КоАП?

Категория риска и административная ответственность — не одно и то же, но они взаимосвязаны. Высокая категория риска означает более частые плановые проверки, которые с большей вероятностью выявят нарушения. Нарушения квалифицируются по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (действует с 30.05.2025).

«Ст. 13.11 КоАП в редакции с 30.05.2025 содержит 18 частей. За утечку от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ (ч. 12). За утечку более 100 000 субъектов — 10–15 млн ₽ (ч. 14). За повторную утечку — оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽ (ч. 15).»

Для юриста принципиально важно следующее: при выявлении нарушений в ходе проверки РКН одновременно возбуждается административное дело. С 28.12.2025 (ФЗ-508) дела по ст. 13.11 рассматривают мировые судьи — это меняет тактику обжалования. Штраф за неопубликованную политику — 30–60 тыс. ₽ (ч. 3 ст. 13.11), за обработку без надлежащего согласия — 300–700 тыс. ₽ (ч. 2). При повторном нарушении по ч. 2 — 1–1,5 млн ₽ (ч. 2.1).

Отдельно стоит уголовная ответственность по ст. 272.1 УК РФ, введённой ФЗ-421 от 30.11.2024 (действует с 11.12.2024). Незаконные сбор, хранение, использование или передача компьютерной информации с ПДн образуют самостоятельный состав. По ч. 5 — тяжкие последствия — лишение свободы до 10 лет. Это касается не только внутренних нарушителей, но и руководителей, осведомлённых о незаконной обработке.

Практика: как категория риска влияет на исход дела

Ситуация 1. Торговая компания (Центральный ФО, осень 2025) с высокой категорией риска не обновила уведомление в реестре после расширения перечня обрабатываемых категорий ПДн. При плановой проверке РКН выявил расхождение и возбудил дело по ч. 1 ст. 13.11 КоАП. Штраф составил от 150 тыс. ₽. Юрист компании оспорил постановление, указав на устранение нарушения до вынесения решения — суд снизил штраф до минимума по ч. 1.

Ситуация 2. IT-компания (Северо-Западный ФО, начало 2026) с умеренной категорией риска получила внеплановую проверку после жалобы субъекта. В ходе проверки выявлено: согласия работников включены в тексты трудовых договоров, что после 01.09.2025 нарушает ст. 9 ФЗ-152 в редакции ФЗ-156. Возбуждено дело по ч. 2 ст. 13.11 — штраф в диапазоне 300–700 тыс. ₽. Доработка согласий была проведена до рассмотрения дела мировым судьёй, что позволило применить ст. 4.1.1 КоАП и заменить штраф на предупреждение как для субъекта малого предпринимательства при первичном нарушении.

Если юрист получил запрос РКН или уведомление о плановой проверке — срок на подготовку ограничен. Сопровождение с первого дня снижает риск штрафа по существу.

Защитить от штрафа по ст. 13.11

Частые вопросы

1. Как подготовиться к проверке РКН?

Начните с проверки актуальности записи в реестре операторов на pd.rkn.gov.ru — фактический состав обрабатываемых ПДн должен совпадать с уведомлением по форме Приказа РКН № 180. Далее: проверьте наличие и содержание политики обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, убедитесь в отдельном оформлении согласий субъектов по ст. 9 ФЗ-152 (с 01.09.2025 — требование ФЗ-156), наличии приказа об ответственном по ст. 22.1, договоров поручения обработки с подрядчиками. Полный пакет ОРД — 38 документов.

2. Какие индикаторы риска у РКН?

Индикаторы риска — это формализованные признаки нарушений, при выявлении которых РКН назначает внеплановую проверку. Типовые: отсутствие оператора в реестре, несоответствие реестровой записи фактической обработке, отсутствие политики на сайте, зафиксированная утечка ПДн, неуведомление РКН об инциденте за 24 часа по ч. 3.1 ст. 21 ФЗ-152, жалобы субъектов, передача ПДн за рубеж без уведомления о трансграничной передаче по ст. 12 ФЗ-152. Перечень индикаторов утверждён отдельным приказом Роскомнадзора.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Отказ предоставить документы по запросу РКН в ходе проверки образует самостоятельный состав нарушения и может быть квалифицирован как воспрепятствование надзорной деятельности. Оператор обязан обеспечить доступ к запрашиваемым документам в установленный срок. Вместе с тем оператор вправе представлять возражения на акт проверки в течение 15 рабочих дней и оспаривать предписание в административном и судебном порядке.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания РКН в установленный срок — основание для повторного возбуждения административного дела и, как правило, квалифицируется как повторное нарушение. По повторным составам ст. 13.11 КоАП штрафы существенно выше: ч. 1.1 — 300–500 тыс. ₽, ч. 2.1 — 1–1,5 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15 ст. 13.11: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Предписание исполняется, а возражения подаются параллельно через суд.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 суток со дня вручения. Ранее выданные постановления арбитражных судов (период 30.05.2025 — 27.12.2025) обжалуются в апелляционную инстанцию арбитражного суда. Помимо обжалования по существу, применяются ст. 4.1 КоАП (смягчение штрафа при инвестициях в ИБ от 0,1% выручки за три года — снижение до 1/10 минимума) и ст. 4.1.1 КоАП (замена штрафа предупреждением для субъектов МСП при первичном нарушении, кроме ч. 15 и ч. 18).

Итог

Система пяти категорий риска РКН определяет частоту плановых проверок, но не исключает внеплановых при наличии индикаторов. Категория снижается при устранении индикаторов — это инструмент управления надзорной нагрузкой, а не статичная метка. Нарушения, выявленные в ходе проверки, с 30.05.2025 квалифицируются по обновлённой ст. 13.11 КоАП с существенно выросшими штрафами.

DATUM сопровождает операторов при проверках РКН, готовит ОРД и обжалует постановления по ст. 13.11 КоАП в мировых и районных судах. Практика ведётся с 2014 года.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписания.
Аудит соответствия 152-ФЗ — проверка реестровой записи, ОРД, согласий и технических мер.
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Уведомления и проверки РКН, обжалование постановлений по ст. 13.11 КоАП (ФЗ-420), защита от оборотных штрафов с 30.05.2025.

4 декабря 2026 года