аналитика 4 марта 2027 По состоянию на 4 марта 2027

Кейс проверки РКН в HR-департаменте

Проверка Роскомнадзора в HR-департаменте — это проверка соответствия обработки персональных данных работников требованиям ФЗ-152 и ст. 86–88 ТК РФ одновременно.

С 30.05.2025 за нарушения при обработке ПДн работников действует обновлённая ст. 13.11 КоАП в редакции ФЗ-420: штраф за обработку без надлежащего согласия — 300–700 тыс. ₽ (ч. 2), за повторное нарушение — 1–1,5 млн ₽ (ч. 2.1).

Если вы юрист и готовите HR-департамент к проверке — этот разбор описывает типовую последовательность: от получения уведомления до обжалования предписания. → Перейти к чек-листу подготовки

Кейс проверки РКН в HR — это один из наиболее частых сценариев в практике сопровождения операторов ПДн. HR-департамент обрабатывает персональные данные работников, соискателей, уволенных и внештатных исполнителей. При этом согласия нередко вписаны в трудовой договор, политика конфиденциальности не опубликована, а приказ о назначении ответственного отсутствует. Каждое из этих нарушений — самостоятельный состав ст. 13.11 КоАП. В этом материале — разбор типовых ситуаций и стратегия защиты от штрафов.

Какие основания у РКН для проверки HR-департамента?

Роскомнадзор проверяет операторов ПДн в плановом и внеплановом порядке. Плановые проверки проводятся на основании ежегодного плана; внеплановые — при поступлении жалобы субъекта, информации от государственных органов или при выявлении индикаторов риска.

С 2022 года РКН ввёл систему профилактических визитов — форму взаимодействия без вынесения предписания. По итогам профвизита инспектор составляет предписание о мерах профилактики; нарушения, выявленные при профвизите, могут стать основанием для внеплановой проверки.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Неуведомление или несвоевременное уведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП в редакции с 30.05.2025.»

Для HR-департаментов наиболее характерны следующие индикаторы риска, которые влекут внеплановую проверку или профвизит:

жалоба работника или соискателя на незаконное использование его данных;
отсутствие компании в реестре операторов ПДн на pd.rkn.gov.ru;
отсутствие политики обработки ПДн в публичном доступе (сайт, стенд);
сообщения в СМИ или даркнет-мониторинг РКН о возможной утечке кадровых данных;
несоответствие сведений в реестре фактической деятельности компании.

С введением ФЗ-420 риск-ориентированный подход РКН формализован: регулятор использует индикаторы риска нарушения обязательных требований, утверждённые приказом. Компании с несколькими индикаторами попадают в приоритетный план внеплановых мероприятий.

Получили уведомление о проверке РКН или уже идёт мероприятие?

Если вы юрист компании и РКН направил уведомление о проверке или запрос документов — у вас от 10 до 20 рабочих дней на подготовку ответа. Ошибка в перечне документов или пропуск срока дают РКН основание для протокола по ч. 1 ст. 13.11 КоАП. Юристы DATUM сопроводят проверку: подготовят документы, представят интересы компании на встрече с инспектором, обжалуют предписание при необходимости.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что именно проверяет РКН в HR: перечень типовых нарушений

Инспектор РКН при проверке HR-функции запрашивает документы по ст. 18.1 ФЗ-152 и фактически сопоставляет декларируемую обработку с реальной. Типовые нарушения делятся на три группы.

Группа 1 — нарушения в согласиях и правовых основаниях. С 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом (ФЗ-156 от 24.06.2025). Если согласие работника вписано в трудовой договор, оферту или анкету соискателя — оно не отвечает требованиям ч. 1 ст. 9 ФЗ-152 в действующей редакции. Штраф по ч. 2 ст. 13.11 — 300–700 тыс. ₽; при повторности — 1–1,5 млн ₽ по ч. 2.1.

Группа 2 — отсутствие или неполнота ОРД. Ст. 18.1 ФЗ-152 обязывает оператора иметь политику обработки ПДн в открытом доступе, назначить ответственного по ст. 22.1, обеспечить ознакомление работников. Отсутствие опубликованной политики — штраф 30–60 тыс. ₽ по ч. 3 ст. 13.11 (формально небольшой, но фиксируется в акте и усиливает другие составы).

Группа 3 — нарушения при реализации прав субъектов. Работник вправе запросить информацию о своих данных по ст. 14 ФЗ-152; оператор обязан ответить в течение 10 рабочих дней. Отсутствие журнала учёта обращений и просроченные ответы — состав ч. 4 ст. 13.11 (штраф 40–80 тыс. ₽).

Что подготовить перед проверкой РКН в HR

Выписку из реестра операторов ПДн с pd.rkn.gov.ru — актуальные сведения о целях, категориях, основаниях обработки.
Опубликованную политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152.
Отдельные согласия работников, соискателей и внештатных исполнителей в редакции после 01.09.2025 (ФЗ-156).
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
Журнал учёта обращений субъектов с входящими запросами за последние 12 месяцев и ответами на них.

Как выглядит типичная проверка: хронология от уведомления до акта

Плановая проверка начинается с уведомления, которое РКН направляет не позднее чем за 3 рабочих дня (для документарной) или за 24 часа (для выездной внеплановой). Уведомление содержит перечень документов для предоставления и сроки.

Документарная проверка: оператор направляет документы в электронном виде через ЕСИА или по запросу на бумажном носителе. Инспектор анализирует соответствие документов требованиям ФЗ-152. Срок проверки — не более 20 рабочих дней.

Выездная проверка: инспектор посещает офис, опрашивает ответственного, проверяет фактическую организацию обработки — как хранятся личные дела, как настроена 1С:ЗУП или аналогичная система, каков порядок доступа к данным работников. По итогам составляется акт. При выявлении нарушений — предписание и (или) протокол об административном правонарушении.

«Приказ РКН № 180 от 28.10.2022 — форма уведомления о намерении обрабатывать ПДн. Подача через pd.rkn.gov.ru с УКЭП или через ЕСИА. Срок включения в реестр — 30 дней после подачи уведомления по ч. 4 ст. 22 ФЗ-152.»

Мораторий на плановые проверки, введённый в 2022 году, к проверкам РКН применяется ограниченно: надзор в сфере ПДн признан отраслью с высоким риском причинения вреда, что позволяет РКН включать операторов в план проверок вне общего моратория.

Если вы юрист и акт проверки уже составлен — у вас 10 дней на подачу возражений на акт и 10 дней с даты вручения постановления на обжалование в арбитражном суде. Пропуск срока лишает возможности оспорить штраф по существу. Юристы DATUM оспорят протокол и постановление в арбитраже, применят ст. 4.1 и ст. 4.1.1 КоАП для смягчения или замены штрафа.

Защитить от штрафа 13.11

Три типовых сценария: ситуация, доказательства, исход, стратегия

Сценарий 1. Согласия в трудовом договоре до 01.09.2025. Ситуация: компания с 2019 года использует типовой трудовой договор, в котором вшита фраза «работник даёт согласие на обработку ПДн». Внеплановая проверка инициирована по жалобе уволенного сотрудника. Доказательства инспектора: форма договора, показания работника. Вероятный исход: протокол по ч. 2 ст. 13.11, штраф 300–700 тыс. ₽. Стратегия: до проверки — перейти на отдельные согласия по ФЗ-156; на стадии протокола — доказать, что нарушение устранено, просить замену на предупреждение по ст. 4.1.1 КоАП (при первичности и отсутствии вреда для субъекта).

Сценарий 2. Реестр РКН не обновлён после расширения бизнеса. Ситуация: компания уведомила РКН в 2020 году о базовой обработке ПДн, но с тех пор подключила облачную HRM-систему с хранением в ЦОД подрядчика, ввела биометрический СКУД. В реестре эти изменения не отражены. Доказательства инспектора: выгрузка из реестра vs. фактический перечень ИСПДн. Вероятный исход: протокол по ч. 1 ст. 13.11 (150–300 тыс. ₽) и дополнительно — за обработку биометрии без надлежащего основания по ч. 16 ст. 13.11. Стратегия: до проверки — подать уведомление об изменении сведений по форме Приказа РКН № 180; проверить наличие письменных согласий на биометрию по ст. 11 ФЗ-152.

Сценарий 3. Запрос РКН без возбуждения дела — профвизит. Ситуация: инспектор направляет запрос документов в рамках профилактического визита. Юрист компании расценивает это как проверку и отказывается предоставить внутренние регламенты, ссылаясь на коммерческую тайну. Исход: отказ предоставить документы при профвизите фиксируется в предписании о мерах профилактики и становится индикатором риска для последующей внеплановой проверки с расширенным перечнем требований. Стратегия: при профвизите — предоставить документы по перечню ФЗ-152, не выходя за его рамки; привлечь юриста для фильтрации документов, которые относятся к коммерческой тайне и не охватываются запросом РКН.

Как применяется практика по ст. 13.11 КоАП в HR-кейсах

Кейс 1. Производственное предприятие (Уральский ФО, осень 2025) получило внеплановую проверку по жалобе уволенного работника о распространении его данных другому работодателю без согласия. HR-директор предоставил инспектору журнал учёта обращений, где запрос уволенного был зафиксирован и отработан в течение 8 рабочих дней. Согласия на передачу данных третьим лицам отсутствовали, однако компания подтвердила, что передача была совершена подрядчиком кадрового аутсорсинга без уведомления оператора. РКН составил протокол по ч. 1 ст. 13.11 в отношении оператора; в арбитражном суде региона штраф снизили до минимального диапазона — с учётом того, что нарушение совершено через подрядчика и оператор принял меры по устранению. ⚠️ Конкретный номер дела и точная сумма штрафа — менеджер уточняет при публикации.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) прошла плановую проверку РКН с нулём предписаний: политика конфиденциальности была опубликована на корпоративном сайте и на внутреннем портале, отдельные согласия оформлены по форме ФЗ-156, в реестре РКН отражено облачное хранилище данных с указанием подрядчика и договора поручения по п. 3 ст. 6 ФЗ-152. По итогам проверки инспектор выдал одно рекомендательное замечание по детализации журнала учёта обращений субъектов. Компания сопровождалась DATUM в рамках DPO-аутсорсинга на протяжении 8 месяцев до проверки.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка документов, представление интересов, обжалование предписания.
Аудит соответствия 152-ФЗ — проверка ОРД, согласий и реестра до прихода инспектора.
Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП.

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка включает пять шагов: проверить актуальность уведомления в реестре операторов на pd.rkn.gov.ru; убедиться, что политика обработки ПДн опубликована и содержит обязательные разделы по ч. 2 ст. 18.1 ФЗ-152; привести согласия работников в соответствие с требованиями ст. 9 ФЗ-152 в редакции ФЗ-156 (отдельный документ с 01.09.2025); назначить ответственного по ст. 22.1 и оформить это приказом; проверить наличие журнала учёта обращений субъектов за последние 12 месяцев.

2. Какие индикаторы риска у РКН?

РКН использует индикаторы риска нарушения обязательных требований, утверждённые подзаконным актом регулятора. Для HR-функции наиболее типичны: отсутствие компании в реестре операторов ПДн; жалобы субъектов, поданные через портал РКН или направленные напрямую; отсутствие политики конфиденциальности в открытом доступе; несоответствие фактической обработки сведениям в реестре (например, добавление облачной HRM-системы без обновления уведомления по Приказу РКН № 180); выявленные публикации в СМИ о возможной утечке данных работников.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Оператор обязан предоставить документы по запросу РКН в рамках проверки или профилактического визита. Отказ или уклонение влекут самостоятельный административный состав по ст. 19.7 КоАП (непредоставление сведений государственному органу). Если запрос выходит за пределы ФЗ-152 или затрагивает коммерческую тайну — оператор вправе письменно мотивировать ограничение, предоставив документы, непосредственно относящиеся к предмету проверки.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания РКН в установленный срок является самостоятельным административным нарушением по ст. 19.5 КоАП. Для юридических лиц это штраф в десятки тысяч рублей, а при повторном неисполнении — возможно возбуждение дела о более серьёзных нарушениях. Помимо этого, неустранённое нарушение фиксируется в реестре РКН и учитывается при последующих проверках как отягчающее обстоятельство по ч. 1.1 ст. 13.11 КоАП.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 дней с даты вручения. Постановление РКН как должностного лица обжалуется в вышестоящий орган или арбитражный суд — в зависимости от того, кем оно вынесено. При обжаловании юрист вправе заявить о смягчающих обстоятельствах по ст. 4.1 КоАП и ходатайствовать о замене штрафа на предупреждение по ст. 4.1.1 КоАП при первичности нарушения и отсутствии вреда субъекту.

Итог

Проверка РКН в HR-департаменте — управляемый процесс при условии, что ОРД актуален, согласия приведены к требованиям ФЗ-156, а реестр операторов отражает фактическую обработку. Основные риски возникают там, где документы есть номинально, но не соответствуют реальной практике: согласие в договоре, политика без обязательных разделов, устаревшее уведомление в реестре.

Практика DATUM включает сопровождение проверок РКН в HR-функции, приведение ОРД в соответствие с актуальными требованиями и защиту от штрафов по ст. 13.11 КоАП — от стадии профвизита до арбитражного обжалования постановления.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ (ред. ФЗ-156), КЭДО, биометрия в СКУД, передача в зарплатных проектах, сопровождение проверок РКН в HR.

4 марта 2027 года