инструкция 14 января 2027 По состоянию на 14 января 2027

Кейс предписания РКН по политике: типовые нарушения

Предписание РКН по политике обработки ПДн — это формальный документ, обязывающий оператора устранить конкретное нарушение ст. 18.1 ФЗ-152 в установленный срок.

Неисполнение предписания влечёт штраф по ч. 3 ст. 13.11 КоАП до 60 000 ₽ за отсутствие политики — и повторный протокол уже по ч. 1 ст. 13.11 с диапазоном 150 000–300 000 ₽. С 01.09.2025 добавилось требование ФЗ-156 к отдельным согласиям.

→ Если вы юрист и анализируете предписание РКН — этот разбор покажет типовые пробелы политики и шаги по их закрытию.

Роскомнадзор выносит предписания по политике обработки персональных данных при каждой плановой и большинстве внеплановых проверок. По данным регулятора за 2023 год, несоответствие политики требованиям ч. 2 ст. 18.1 ФЗ-152 входит в тройку наиболее частых оснований для возбуждения дела по ст. 13.11 КоАП. Ниже — разбор того, что именно проверяет РКН, какие нарушения фиксируются чаще всего, и как устранить их до следующей проверки.

Шаг 1. Определите, какие именно пункты политики нарушают ст. 18.1 ФЗ-152

Ст. 18.1 ФЗ-152 обязывает оператора принять документ, определяющий политику обработки персональных данных, и обеспечить его неограниченный доступ. Ч. 2 той же статьи устанавливает минимальный перечень разделов: цели и правовые основания обработки, категории субъектов и ПДн, порядок соблюдения прав субъектов, перечень принятых мер защиты, сведения об ответственном лице по ст. 22.1 ФЗ-152. Предписание РКН, как правило, содержит прямую ссылку на нарушенный пункт — изучите его буквально.

«Ст. 18.1 ч. 2 ФЗ-152 — оператор обязан опубликовать политику обработки ПДн с обязательными разделами: цели, правовые основания, категории ПДн, меры защиты, порядок соблюдения прав субъектов, сведения об ответственном лице.»

Типовые нарушения, которые РКН фиксирует в предписаниях: политика опубликована в виде файла с паролем или в форматах, недоступных без специального ПО; разделы о правовых основаниях обработки отсутствуют или ссылаются только на согласие, тогда как реальная обработка идёт по нескольким основаниям ст. 6 ФЗ-152; сведения об ответственном лице по ст. 22.1 не указаны или указаны в форме «юридический отдел» без конкретного физического лица; меры защиты описаны на уровне «применяем антивирус» без привязки к уровню защищённости по ПП РФ №1119.

Шаг 2. Проверьте соответствие политики требованиям после 01.09.2025

С 01.09.2025 вступила в силу новая редакция ст. 9 ФЗ-152 по ФЗ-156 от 24.06.2025: согласие на обработку ПДн оформляется отдельным документом и не может быть включено в договор, оферту или политику конфиденциальности. Это означает: любая формулировка в политике вида «продолжая пользоваться сайтом, вы даёте согласие» — нарушение.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 — с 01.09.2025 согласие субъекта оформляется отдельным документом, не объединяется с договором, политикой или офертой.»

Юрист, работающий с предписанием, должен пройти по тексту политики и убрать из неё любые упоминания о том, что она сама по себе является согласием. Одновременно проверьте: если ваш клиент использует cookies как инструмент сбора ПДн — позиция РКН рассматривает cookies как персональные данные, и согласие на их обработку должно быть отдельным актом, на который политика может только ссылаться.

Получили предписание РКН по политике конфиденциальности?

Срок исполнения предписания — как правило, 30 дней. После его истечения инспектор вправе составить повторный протокол, а также возбудить дело об административном правонарушении по ч. 1 ст. 13.11 КоАП. Юристы DATUM оценят предписание, выявят все затронутые нормы и подготовят актуальную редакцию политики.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте уведомление в реестре РКН и его соответствие политике

Уведомление о намерении обрабатывать ПДн по ст. 22 ФЗ-152 подаётся через pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022. Типовая проблема: политика описывает одни цели и категории ПДн, а в реестре уведомления значатся другие. РКН сравнивает эти два документа непосредственно в ходе проверки.

«Ст. 22 ФЗ-152 — оператор уведомляет РКН о намерении обрабатывать ПДн до начала обработки. За неуведомление или несоответствие сведений — ч. 10 ст. 13.11 КоАП, штраф 100 000–300 000 ₽.»

Практика: наиболее частое расхождение — оператор добавил новые категории субъектов (например, начал вести базу соискателей или клиентов через CRM), но не подал уведомление об изменении сведений по той же форме. Второе по частоте расхождение — цель «маркетинговые коммуникации» в политике и её отсутствие в реестре. Устраните расхождения до подачи ответа на предписание, иначе РКН зафиксирует повторное нарушение.

Шаг 4. Назначьте ответственного по ст. 22.1 ФЗ-152 и отразите это в политике

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн. Ч. 4 той же статьи устанавливает требования к квалификации: это должен быть сотрудник, знакомый с требованиями ФЗ-152. Назначение оформляется приказом. В политике должны быть указаны должность, подразделение и контактные данные ответственного — адрес электронной почты для обращений субъектов.

РКН при проверке запрашивает приказ о назначении и сверяет его с данными, указанными в политике и уведомлении в реестре. Несоответствие — типовое основание для предписания. Если ответственный уволился или сменился, приказ и политику необходимо актуализировать и подать уведомление об изменении сведений в реестр.

Что подготовить для исполнения предписания РКН по политике

Текущий текст политики обработки ПДн с отметками о том, какие разделы отсутствуют или не соответствуют ч. 2 ст. 18.1 ФЗ-152.
Выписку из реестра операторов ПДн (pd.rkn.gov.ru) для сверки целей и категорий с политикой.
Приказ о назначении ответственного по ст. 22.1 ФЗ-152 с актуальными данными сотрудника.
Отдельные формы согласий субъектов в редакции, соответствующей ст. 9 ФЗ-152 после 01.09.2025 (ФЗ-156).
Подтверждение публикации политики в открытом доступе (ссылка на страницу сайта или документ без пароля).

Шаг 5. Подготовьте ответ на предписание и скорректируйте ОРД

Ответ на предписание РКН подаётся в письменной форме с приложением доказательств устранения нарушений: новая редакция политики с датой принятия, скриншот публичного размещения, обновлённое уведомление в реестре, приказ о назначении ответственного. Срок, указанный в предписании, — пресекательный: если ответ не поступил в установленное время, инспектор составляет протокол об административном правонарушении.

Одновременно приведите в соответствие весь пакет ОРД: положение об обработке ПДн, регламент реагирования на запросы субъектов, журнал учёта обращений. Политика — один документ из минимального пакета; если при исполнении предписания вскрылись нарушения в других документах, устраните их до следующей проверки, а не после.

Как применяются типовые предписания на практике

Кейс 1. Производственная компания (Уральский ФО, осень 2025) получила предписание РКН по итогам плановой проверки: в политике отсутствовал раздел о мерах защиты и не были указаны контактные данные ответственного по ст. 22.1. Юрист компании подготовил новую редакцию политики, оформил приказ о назначении ответственного и подал ответ на предписание в течение 21 дня. РКН закрыл предписание без возбуждения дела по ст. 13.11 КоАП.

Кейс 2. Розничная сеть (Центральный ФО, зима 2025–2026) при проверке столкнулась с ситуацией, когда политика содержала формулировку о том, что согласие является частью договора-оферты. После 01.09.2025 это нарушает ст. 9 ФЗ-152 в ред. ФЗ-156. РКН выдал предписание и одновременно составил протокол по ч. 2 ст. 13.11 КоАП (штраф для юрлица 300 000–700 000 ₽). В арбитражном суде региона удалось добиться снижения штрафа с применением ст. 4.1 КоАП с учётом оперативного устранения нарушений.

Если политика конфиденциальности вашего клиента содержит согласия, объединённые с договором или офертой — это нарушение ст. 9 ФЗ-152 после 01.09.2025, основание для протокола по ч. 2 ст. 13.11 КоАП. Юристы DATUM подготовят актуальный комплект ОРД под ключ.

Собрать ОРД под ключ

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов: политика, согласия, приказы, регламенты.
Аудит соответствия 152-ФЗ — чек-лист из 38 пунктов с планом устранения нарушений.
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный пакет включает: политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, уведомление в реестре РКН по ст. 22 ФЗ-152, приказ о назначении ответственного по ст. 22.1, согласия субъектов в форме отдельного документа (с 01.09.2025 по ФЗ-156), регламент реагирования на запросы субъектов и журнал учёта обращений. При обработке специальных категорий ПДн дополнительно потребуются документы, обосновывающие основания обработки по ч. 2 ст. 10 ФЗ-152.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: цели и правовые основания обработки (со ссылками на конкретные пункты ст. 6 ФЗ-152), категории субъектов и ПДн, перечень третьих лиц, которым передаются данные, принятые меры защиты со ссылкой на уровень защищённости по ПП РФ №1119, порядок реализации прав субъектов и срок ответа (10 рабочих дней по ст. 20 ФЗ-152), контактные данные ответственного по ст. 22.1. Политика публикуется в открытом доступе на сайте оператора.

3. Кого назначить ответственным по ст. 22.1?

По ст. 22.1 ФЗ-152 ответственным назначается работник оператора — физическое лицо, а не отдел. Требований к наличию специального образования норма не содержит, однако ч. 4 ст. 22.1 предполагает, что сотрудник знаком с требованиями ФЗ-152. На практике назначают юриста, специалиста по безопасности или руководителя ИТ-подразделения. Назначение оформляется приказом руководителя организации; данные ответственного вносятся в политику и в уведомление в реестре РКН.

4. Можно ли использовать шаблон политики из интернета?

Шаблон из открытых источников не учитывает фактический состав обработки конкретного оператора: перечень ПДн, правовые основания, категории субъектов, третьих лиц и уровень защищённости ИСПДн. РКН при проверке сверяет политику с реальной практикой обработки, и расхождение само по себе является основанием для предписания. Шаблон допустим как отправная точка структуры, но требует обязательной адаптации под фактические процессы оператора.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие субъекта оформляется отдельным документом, не объединённым с договором, офертой или политикой. Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия или условие прекращения, подпись. Ранее полученные согласия переоформлять не требуется — ФЗ-156 не имеет обратной силы. Новые согласия, оформляемые после 01.09.2025, обязаны соответствовать обновлённым требованиям.

Итог

Предписание РКН по политике обработки ПДн — управляемый риск при условии, что оператор понимает конкретные нормы ст. 18.1 ФЗ-152 и знает, какие разделы политики регулятор проверяет в первую очередь. Изменения ФЗ-156 с 01.09.2025 добавили требование к раздельному оформлению согласий, что необходимо отразить в политике и в пакете ОРД.

Практика DATUM по ст. 18.1 ФЗ-152 включает сопровождение операторов при плановых и внеплановых проверках РКН, подготовку политик и полного пакета ОРД с 2014 года в рамках сети «Ветров и партнёры».

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

14 января 2027 года