Перейти к содержанию
аналитика 4 февраля 2027 По состоянию на 4 февраля 2027

Кейс проверки РКН в интернет-магазине

Проверка Роскомнадзора в интернет-магазине — это не абстрактный риск: плановые проверки по утверждённому графику, внеплановые — по индикаторам риска или жалобам субъектов, профилактические визиты — без предупреждения за 24 часа.
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей, штрафы от 30 тыс. до 500 млн ₽. Интернет-магазин с cookies, программой лояльности и рассылками одновременно попадает под ч. 1, ч. 2, ч. 3 и ч. 10 ст. 13.11.
→ Если вы юрист и готовите компанию к проверке РКН — разберём, что проверяется, какие нарушения фиксируются и как строить защиту на каждом этапе.

Интернет-магазин обрабатывает персональные данные на каждом шаге: при регистрации, оформлении заказа, подписке на рассылку, участии в программе лояльности. По данным РКН, в 2024 году зафиксировано 135 случаев утечек с суммарным объёмом свыше 710 млн записей. Профилактические визиты Роскомнадзора в сегменте e-commerce участились с 2023 года — после введения индикаторов риска. Ниже — разбор реального хода проверки: от момента получения уведомления до итогового предписания и тактики защиты.

Как начинается проверка РКН в интернет-магазине?

Роскомнадзор вправе проводить три вида контрольных мероприятий в отношении операторов персональных данных. Плановая проверка включается в ежегодный план, который публикуется на сайте РКН. Внеплановая назначается при наличии индикаторов риска — перечень утверждён отдельным приказом РКН и включает, в частности, жалобы субъектов, сведения об утечках из открытых источников и несоответствие данных в реестре операторов фактической деятельности компании. Профилактический визит — самый лёгкий сценарий: инспектор приезжает с предложением оценить соответствие требованиям, выдаёт предписание об устранении без возбуждения административного дела.

На практике интернет-магазин чаще всего встречает внеплановую проверку. Основания: жалоба покупателя на нежелательную рассылку, обнаружение компании в реестре утечек, отсутствие в реестре операторов ПДн (уведомление по ст. 22 ФЗ-152 не подавалось). Уведомление о внеплановой проверке направляется за 24 часа, о плановой — за три рабочих дня. Срок проведения — не более 10 рабочих дней.

«Ст. 22 ФЗ-152 обязывает оператора уведомить РКН о намерении обрабатывать персональные данные до начала обработки. Неуведомление или несвоевременное уведомление — штраф по ч. 10 ст. 13.11 КоАП: от 100 тыс. до 300 тыс. ₽ для юридического лица (в редакции с 30.05.2025).»

Важно понимать архитектуру риска: даже если интернет-магазин стоит в реестре операторов, инспектор проверяет соответствие заявленных сведений фактической обработке. Если компания добавила программу лояльности или запустила таргетированную рекламу через Meta Pixel после подачи уведомления — реестровые данные устарели, и это самостоятельное нарушение.

Получили уведомление о проверке РКН?

У интернет-магазина есть 24 часа после получения уведомления о внеплановой проверке. За это время нужно собрать документы, назначить представителя и проверить реестровые данные. Опоздание с документами на проверке — самостоятельное основание для протокола по ч. 4 ст. 13.11 КоАП. Юристы DATUM подготовят к проверке и представят интересы компании перед инспектором РКН.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что проверяет инспектор РКН в интернет-магазине?

Проверочный лист РКН для операторов ПДн включает несколько блоков. Юристу, сопровождающему проверку, важно понимать, что инспектор смотрит не только на документы — он изучает сайт, формы сбора данных и логику обработки в системах.

Реестр операторов и уведомление. Инспектор запрашивает подтверждение, что уведомление по Приказу РКН №180 подано и сведения актуальны: цели обработки, категории данных, трансграничная передача, наименование систем. Если компания передаёт данные за рубеж (например, использует Mailchimp или HubSpot), это должно быть отражено в уведомлении и подкреплено соглашением с получателем.

Политика конфиденциальности и ОРД. Публично доступная политика — обязательное требование ч. 2 ст. 18.1 ФЗ-152. Инспектор проверяет наличие политики на сайте, полноту её содержания (цели, правовые основания, сроки хранения, порядок реализации прав субъекта) и соответствие фактической обработке. Организационно-распорядительная документация включает приказ о назначении ответственного по ст. 22.1 ФЗ-152, инструкции сотрудникам, журнал обращений субъектов.

Согласия субъектов. С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025) — не в теле договора оферты и не совмещённым с политикой конфиденциальности. Для интернет-магазина критичны три типа согласий: на обработку данных при регистрации, на рассылку (маркетинговые коммуникации) и на распространение (если данные передаются партнёрам по программе лояльности). Каждое — отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152.

Cookies и трекеры. РКН квалифицирует cookies как персональные данные при наличии связи с идентифицируемым лицом. Отсутствие баннера согласия на cookies, использование GA4 или Meta Pixel без уведомления о трансграничной передаче — типовые нарушения, которые инспектор выявляет за несколько минут на сайте.

Что подготовить к проверке РКН

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями об обработке
  • Политика конфиденциальности с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 и датой публикации
  • Отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции с 01.09.2025 (рассылки, программа лояльности, партнёрские передачи)
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
  • Журнал учёта обращений субъектов ПДн за последние 12 месяцев

Какие нарушения фиксируются чаще всего?

На основе практики проверок РКН в сегменте e-commerce можно выделить несколько системных нарушений.

Устаревшее уведомление в реестре. Компания подавала уведомление по Приказу РКН №180 три года назад, с тех пор запустила мобильное приложение, программу лояльности и интегрировала CRM от зарубежного провайдера. Фактическая обработка расширилась, но реестровые данные не обновлялись — нарушение ч. 7 ст. 22 ФЗ-152, штраф по ч. 10 ст. 13.11 КоАП.

Согласие в теле договора оферты. Большинство интернет-магазинов до 01.09.2025 включали текст согласия в пользовательское соглашение или оферту. С введением ФЗ-156 такая конструкция недействительна для новых согласий. Если согласие не выделено в отдельный документ — нарушение ч. 4 ст. 9 ФЗ-152, штраф по ч. 2 ст. 13.11: от 300 тыс. до 700 тыс. ₽.

Отсутствие механизма реализации прав субъекта. Ст. 20 ФЗ-152 обязывает оператора ответить на запрос субъекта в течение 10 рабочих дней. На практике многие интернет-магазины не ведут журнал обращений, не имеют назначенного ответственного, не обрабатывают запросы, поступающие на общий email. Нарушение фиксируется по ч. 4 ст. 13.11 КоАП: от 40 тыс. до 80 тыс. ₽ — и отдельно по каждому неотвеченному запросу.

Отсутствие политики конфиденциальности. Штраф по ч. 3 ст. 13.11 КоАП — от 30 тыс. до 60 тыс. ₽. Нарушение выявляется за одну минуту: инспектор заходит на сайт и проверяет наличие ссылки на политику в подвале.

Как выглядит матрица сценариев при проверке?

Разберём три типичных сценария, с которыми сталкиваются юристы при сопровождении проверок РКН в интернет-магазинах.

Сценарий 1: профилактический визит без предупреждения. Ситуация: инспектор РКН приезжает с предложением провести профилактический визит, ответственный сотрудник не знает, кто уполномочен взаимодействовать с регулятором. Доказательства: если компания не назначила ответственного по ст. 22.1 ФЗ-152 — это фиксируется в акте. Исход: профвизит не предполагает штрафа, но предписание об устранении становится основанием для внеплановой проверки через 30 дней. Стратегия: немедленно представить инспектору актуальные документы, назначить уполномоченного представителя, зафиксировать перечень замечаний в протоколе визита для последующей полемики.

Сценарий 2: внеплановая проверка по жалобе субъекта. Ситуация: покупатель пожаловался в РКН на получение рекламных рассылок после отписки. Инспектор запрашивает подтверждение наличия согласия на рассылку и доказательства его отзыва. Доказательства: если согласие включено в оферту (не отдельный документ) или механизма отписки нет — нарушение по ч. 2 ст. 13.11. Исход: штраф от 300 тыс. до 700 тыс. ₽ плюс предписание. Стратегия: до проверки обеспечить двойной opt-in для рассылок, хранить лог подписок и отписок, в пакете ОРД иметь отдельное согласие на маркетинговые коммуникации.

Сценарий 3: проверка после утечки данных. Ситуация: база клиентов интернет-магазина появилась на теневом форуме. РКН инициирует внеплановую проверку. Если утечка затронула от 1 тыс. до 10 тыс. субъектов — применяется ч. 12 ст. 13.11 КоАП (штраф 3–5 млн ₽). Дополнительно: если уведомление РКН об инциденте не направлено в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187) — штраф по ч. 11 ст. 13.11: от 1 млн до 3 млн ₽. Исход: совокупный штраф может составить 4–8 млн ₽. Стратегия: обеспечить круглосуточный мониторинг утечек, настроить процедуру реагирования на инциденты с чёткой цепочкой уведомлений, направить первичное уведомление в РКН как можно раньше — даже при неопределённости в объёме инцидента.

Если вы юрист и сопровождаете проверку РКН в интернет-магазине — у вас не более 10 рабочих дней на взаимодействие с инспектором. Ошибка в позиции при первом контакте сужает возможности в арбитраже. Юристы DATUM сопровождают проверки РКН с момента получения уведомления до обжалования предписания.

Защитить от штрафа 13.11

Как оспорить предписание или постановление РКН?

По итогам проверки РКН вправе выдать предписание об устранении нарушений и возбудить административное дело по ст. 13.11 КоАП. С 28.12.2025 (ФЗ-508) дела по ст. 13.11 рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 дней с момента вручения.

Ключевые инструменты защиты при обжаловании:

  • Ст. 4.1 КоАП — смягчающие обстоятельства: добровольное устранение нарушений, отсутствие умысла, первичность, незначительный вред. При инвестициях в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам (ч. 15, ч. 18 ст. 13.11) снижается до 1/10 минимального, но не менее 15 млн ₽ и не более 50 млн ₽ (примечание 3.4-2 ст. 4.1 КоАП).
  • Ст. 4.1.1 КоАП — замена штрафа на предупреждение: применима для микропредприятий и субъектов МСП при первичном нарушении и отсутствии вреда. Не применяется к ч. 15 и ч. 18 ст. 13.11 (оборотные составы).
  • Процессуальные нарушения: несоблюдение порядка уведомления о проверке, превышение сроков, составление протокола в отсутствие представителя без надлежащего извещения — основания для признания доказательств недопустимыми.

Обжалование предписания РКН (не постановления) — в арбитражный суд субъекта РФ по месту нахождения оператора. Срок — три месяца с момента получения предписания (ст. 198 АПК РФ). Для успешного обжалования важно зафиксировать нарушения процедуры проверки ещё на этапе взаимодействия с инспектором.

Практика: два кейса из e-commerce

Кейс 1. Интернет-ретейлер (Центральный ФО, осень 2025). Внеплановая проверка по жалобе субъекта на нежелательную рассылку. При проверке инспектор выявил три нарушения: согласие на рассылку было включено в пользовательское соглашение (не отдельный документ), политика конфиденциальности не обновлялась с 2021 года, ответственный по ст. 22.1 ФЗ-152 не назначен. Протоколы составлены по ч. 2, ч. 3 и ч. 10 ст. 13.11 КоАП. Юристы оспорили два протокола из трёх: по ч. 3 добились прекращения производства (политика была опубликована до проверки, инспектор ссылался на устаревшую версию страницы), по ч. 10 — замены штрафа на предупреждение по ст. 4.1.1 КоАП. Итоговый штраф по ч. 2 составил сумму в нижней части диапазона.

Кейс 2. Маркетплейс средней руки (Северо-Западный ФО, начало 2026). Плановая проверка. Компания не была включена в реестр операторов ПДн — уведомление по ст. 22 ФЗ-152 не подавалось с момента запуска (2019 год). Дополнительно: интеграция с зарубежным платёжным провайдером без уведомления РКН о трансграничной передаче. Протоколы по ч. 10 ст. 13.11 и по факту нарушения ч. 5 ст. 18 ФЗ-152. Юристы в ходе проверки представили доказательства того, что данные граждан РФ хранились в базах на территории РФ, а передача зарубежному провайдеру была ограничена техническими данными транзакций без ПДн субъектов. Протокол по нарушению локализации был прекращён; по ч. 10 — штраф в сотни тысяч рублей.

Услуги DATUM по теме

Частые вопросы

1. Как подготовиться к проверке РКН?

Проверьте наличие и актуальность уведомления в реестре операторов ПДн на pd.rkn.gov.ru, соответствие реестровых данных фактической обработке. Убедитесь, что политика конфиденциальности опубликована на сайте и соответствует требованиям ч. 2 ст. 18.1 ФЗ-152. Подготовьте отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции с 01.09.2025, приказ о назначении ответственного по ст. 22.1 и журнал обращений субъектов. Заранее определите, кто будет представлять компанию при взаимодействии с инспектором.

2. Какие индикаторы риска у РКН?

Индикаторы риска — основания для внеплановой проверки. Среди них: жалобы субъектов ПДн в РКН, сведения об утечке данных компании в открытых источниках или даркнете, отсутствие компании в реестре операторов либо несоответствие реестровых данных фактической деятельности, истечение срока исполнения ранее выданного предписания. Для интернет-магазинов дополнительный индикатор — использование зарубежных трекеров (GA4, Meta Pixel) без уведомления РКН о трансграничной передаче данных.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Оператор обязан исполнять запросы РКН в рамках проверки. Непредставление документов или воспрепятствование проверке — самостоятельное административное нарушение. Вместе с тем оператор вправе привлечь юридического представителя и взаимодействовать с инспектором через него. Ключевое правило: всё, что передаётся инспектору, фиксируется в описи; всё, что озвучивается устно, подтверждается письменно — это сужает основания для включения произвольных формулировок в акт проверки.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания РКН в установленный срок — основание для повторной внеплановой проверки и дополнительного административного производства по ч. 1.1 ст. 13.11 КоАП (повторное нарушение ч. 1 ст. 13.11): штраф для юридического лица от 300 тыс. до 500 тыс. ₽. Если предписание касается устранения нарушений, по которым уже вынесено постановление, — повторность квалифицируется по более тяжкой части. Предписание оспаривается в арбитражном суде в течение трёх месяцев.

5. Куда обжаловать постановление РКН?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025). Постановление мирового судьи обжалуется в районный суд по месту нахождения оператора в течение 10 дней с момента вручения. Если постановление вынесено РКН как органом (не судом) — обжалование в арбитражный суд субъекта РФ. При обжаловании применяйте ст. 4.1 КоАП (смягчающие) и ст. 4.1.1 КоАП (замена на предупреждение для МСП). Оборотные штрафы по ч. 15 и ч. 18 ст. 13.11 смягчаются через инвестиционную льготу по примечанию 3.4-2 ст. 4.1 КоАП.

Итог

Проверка РКН в интернет-магазине — многослойный процесс: от соответствия уведомления в реестре до корректности согласий и механизма реализации прав субъектов. Системные нарушения в e-commerce — согласие в теле оферты, устаревший реестр, отсутствие ответственного — фиксируются инспектором за первые 30 минут. Каждое нарушение тянет отдельный протокол по ст. 13.11 КоАП.

DATUM сопровождает проверки РКН в интернет-магазинах и маркетплейсах с момента получения уведомления: готовим документы, представляем интересы при взаимодействии с инспектором, обжалуем предписания и постановления в суде. Практика по 152-ФЗ и административным спорам с 2014 года.

Смотрите также

КЗ
Кирилл Захаров
Партнёр · Цифровые продукты
Партнёр практики DATUM по цифровым продуктам и e-commerce. Cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, программы лояльности, сопровождение проверок РКН в e-commerce.

4 февраля 2027 года