Кейс проверки РКН в SaaS-компании
С 2023 года Роскомнадзор планомерно включает технологические компании в программу плановых проверок и формирует профвизиты по индикаторам риска — жалобам субъектов, данным из реестра операторов, сведениям об утечках. SaaS-компания, обрабатывающая ПДн клиентов в мультиарендной среде, находится в зоне системного риска: один и тот же инцидент затрагивает данные нескольких тысяч субъектов одновременно. В этой статье — кейс сопровождения проверки РКН в SaaS-компании, анализ типичных нарушений и практическая стратегия для юриста.
Как проходит проверка Роскомнадзора в IT-компании?
Роскомнадзор проводит три вида контрольных мероприятий: плановые проверки, внеплановые проверки и профилактические визиты. Плановая проверка включает SaaS-компанию в план по формальным критериям — как правило, это 3 года с момента регистрации в реестре операторов или истечение срока исполнения предыдущего предписания. Внеплановая проверка инициируется по жалобе субъекта ПДн, по результатам профвизита или при обнаружении утечки.
Типичная хронология выглядит следующим образом. За 24 часа до начала проверки оператор получает уведомление. В течение 10 рабочих дней инспектор вправе запрашивать документы, проводить осмотр информационных систем и опрашивать сотрудников. По итогам составляется акт, а при выявлении нарушений — предписание и протокол по ст. 13.11 КоАП.
В SaaS-контексте проверяющий уделяет особое внимание нескольким вопросам. Первый — соответствие реальной обработки заявленной в реестре операторов: если компания расширила функциональность и начала обрабатывать спецкатегории ПДн (например, данные о здоровье через HR-модуль), а уведомление не обновлялось — это самостоятельный состав. Второй — локализация: хранение и первичная обработка ПДн граждан РФ должны происходить в базах данных на территории России согласно ч. 5 ст. 18 ФЗ-152. Третий — наличие поручений на обработку с каждым субарендодателем облачной инфраструктуры.
Какие индикаторы риска использует РКН при проверке SaaS?
С 2023 года регулятор применяет риск-ориентированный подход. Профвизит назначается при выявлении индикатора риска — формализованного признака возможного нарушения. Для технологических компаний характерны следующие индикаторы.
Первый — жалоба субъекта ПДн. Достаточно одного обращения в РКН с описанием отказа оператора предоставить информацию об обработке или уничтожить ПДн по требованию. Второй — несоответствие сведений в реестре: если домен компании фигурирует в публичном источнике, а уведомление не подавалось или подавалось более 3 лет назад без обновления — высокий риск профвизита. Третий — упоминание в реестре утечек: РКН ведёт реестр компрометаций, и факт публикации данных в открытом доступе автоматически создаёт основание для внеплановой проверки.
Четвёртый индикатор специфичен для SaaS — трансграничная передача данных. Если компания использует зарубежное облако (AWS, Azure, Google Cloud в юрисдикциях без адекватной защиты) и не уведомила РКН о трансграничной передаче в порядке ст. 12 ФЗ-152, это обнаруживается при анализе DNS и публичных сведений об инфраструктуре. Пятый — отсутствие или несоответствие политики обработки ПДн требованиям ч. 2 ст. 18.1 ФЗ-152: политика не опубликована на сайте, не содержит обязательных разделов или не обновлялась после вступления в силу новых норм.
Получили уведомление о проверке РКН или профвизит?
У SaaS-компании после получения уведомления о проверке — от 24 часов до 10 рабочих дней на подготовку документов. Ошибка в комплектации пакета или отсутствие поручений на обработку с подрядчиками создаёт новые составы прямо в ходе проверки. Юристы DATUM сопровождают проверки РКН: подготовка документов, представление интересов на инспекции, обжалование предписания.
Подготовиться к проверке РКНОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Типичные нарушения SaaS-оператора: что находит инспектор
По практике сопровождения проверок в IT-компаниях можно выделить пять системных нарушений, которые встречаются почти в каждом кейсе.
Нарушение первое — устаревшее уведомление в реестре. Компания уведомила РКН 3–4 года назад, затем добавила новые функции: корпоративный мессенджер с передачей данных в мобильное приложение, интеграции с HR-системами клиентов, обработку данных геолокации. Сведения в реестре не обновлялись. Инспектор фиксирует расхождение между реальной обработкой и заявленной — состав по ч. 1 ст. 13.11 КоАП, штраф от 150 до 300 тыс. ₽.
Нарушение второе — отсутствие поручений на обработку. SaaS-компания передаёт данные клиентов субподрядчикам: провайдеру облачной инфраструктуры, платёжному процессору, аналитическому сервису. Каждая такая передача — поручение обработки по п. 3 ч. 3 ст. 6 ФЗ-152. Без письменного поручения с закреплёнными требованиями безопасности оператор несёт полную ответственность за действия субподрядчика.
Нарушение третье — нарушение локализации. Первичная запись и систематизация ПДн граждан РФ происходит на серверах, физически расположенных в ЕС или США. Инспектор устанавливает это через анализ технической документации и договоров с облачными провайдерами. Штраф по ч. 8 ст. 13.11 КоАП — от 1 до 6 млн ₽. При повторном нарушении — ч. 9, от 6 до 18 млн ₽.
Нарушение четвёртое — несоответствие согласий. С 01.09.2025 согласие на обработку ПДн по ФЗ-156 должно быть оформлено отдельным документом, не встроенным в пользовательское соглашение или оферту. В большинстве SaaS-продуктов согласие по-прежнему интегрировано в текст договора или выражается через «галочку» без обязательных реквизитов. Состав по ч. 2 ст. 13.11 КоАП — штраф от 300 до 700 тыс. ₽.
Нарушение пятое — несоответствие технических мер уровню защищённости. SaaS-компания, обрабатывающая общие категории ПДн более 100 000 субъектов, обязана обеспечить УЗ-3 по ПП РФ №1119. Требования Приказа ФСТЭК №21 предусматривают конкретный базовый набор мер: идентификацию и аутентификацию, управление доступом, регистрацию событий безопасности. Отсутствие журналов событий или многофакторной аутентификации для привилегированных пользователей — типичный пример несоответствия.
Что подготовить к проверке РКН в SaaS-компании
- Актуальное уведомление в реестре операторов ПДн с pd.rkn.gov.ru — проверьте соответствие реальной обработке по всем разделам Приказа РКН №180.
- Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте и в мобильном приложении.
- Письменные поручения на обработку с каждым субподрядчиком (облако, аналитика, платёжный процессор) по п. 3 ч. 3 ст. 6 ФЗ-152.
- Отдельные согласия субъектов в редакции ФЗ-156 от 24.06.2025 — не встроенные в договор или оферту.
- Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 и регламент реагирования на инциденты по Приказу РКН №187.
Как проходила проверка РКН: разбор реального кейса
Кейс 1. IT-компания (Центральный ФО, осень 2025) — разработчик B2B SaaS для автоматизации HR-процессов. Реестр операторов — уведомление подано в 2022 году, не обновлялось. Облачная инфраструктура — гибридная: основная СУБД в российском ЦОД, резервные копии и аналитический модуль — на серверах европейского провайдера. РКН инициировал профвизит по индикатору риска — жалобе бывшего пользователя, которому отказали в уничтожении ПДн. Инспектор в ходе проверки установил четыре состава: устаревшее уведомление (ч. 1 ст. 13.11), отсутствие поручения с европейским провайдером (ч. 1 ст. 13.11), нарушение локализации по резервным копиям (ч. 8 ст. 13.11) и несоответствие формы согласия (ч. 2 ст. 13.11). Юристы, подключившиеся на стадии профвизита, оспорили квалификацию нарушения локализации: резервные копии, зашифрованные без возможности идентификации субъекта, были переквалифицированы как обезличенные данные. Протокол по ч. 8 был отозван; по остальным трём составам компания получила предписание об устранении нарушений в 30-дневный срок без финансовых санкций при первичности нарушений.
Кейс 2 (из реестра практики). Арбитражный суд одного из регионов в начале 2026 года рассматривал дело о штрафе за утечку ПДн через SaaS-платформу. Нарушитель — компания, которая использовала сторонний модуль аналитики без поручения на обработку. Суд подтвердил ответственность основного оператора за действия субподрядчика и указал: наличие сертификата соответствия у субподрядчика не освобождает оператора от обязанности оформить поручение по ст. 6 ФЗ-152. Штраф составил несколько сотен тысяч рублей; в апелляции размер не изменился.
Если вы юрист и сопровождаете SaaS-компанию при проверке РКН — ключевой риск на этапе подготовки документов: отсутствие поручений на обработку с каждым облачным подрядчиком создаёт отдельный состав по ст. 13.11 КоАП. До начала инспекции остаётся не больше 10 рабочих дней. Юристы DATUM защищают от штрафов по ст. 13.11 в арбитраже и сопровождают взаимодействие с РКН на всех стадиях.
Защитить от штрафа 13.11Матрица сценариев: как развивается проверка РКН в SaaS
Сценарий 1 — профвизит по жалобе субъекта. Пользователь направил в РКН обращение о том, что компания отказала в доступе к его ПДн в установленный срок. Срок по ст. 20 ФЗ-152 — 10 рабочих дней с момента обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Инспектор проверяет журнал обращений субъектов. Если записей нет или ответ не был направлен — состав по ч. 4 ст. 13.11, штраф от 40 до 80 тыс. ₽. Если требование об уничтожении ПДн не исполнено — ч. 5 ст. 13.11, штраф от 50 до 90 тыс. ₽. Стратегия: восстановить переписку, подтвердить факт ответа, проверить журнал и ввести процедуру учёта обращений субъектов до прихода инспектора.
Сценарий 2 — внеплановая проверка по факту утечки. Данные клиентов SaaS-компании оказались в открытом доступе. РКН включил компанию в реестр компрометаций. Внеплановая проверка назначена в течение 5 рабочих дней. Если уведомление об утечке не направлялось в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152 — автоматический состав по ч. 11 ст. 13.11, штраф от 1 до 3 млн ₽. Если утечка затронула более 10 000 субъектов — ч. 13 ст. 13.11, штраф от 5 до 10 млн ₽. Стратегия: немедленное уведомление РКН по Приказу РКН №187, параллельное внутреннее расследование, 72-часовой отчёт с описанием принятых мер — это снижает риск максимального штрафа и создаёт основания для применения ст. 4.1.1 КоАП при первичности.
Сценарий 3 — плановая проверка с полным аудитом документов. Компания включена в план проверок РКН. Инспектор запрашивает полный пакет ОРД: политику, согласия, приказы, поручения, журналы. Отсутствие любого из документов — самостоятельный состав. Отсутствие политики на сайте — ч. 3 ст. 13.11, штраф от 30 до 60 тыс. ₽. Устаревшее уведомление — ч. 10 ст. 13.11, штраф от 100 до 300 тыс. ₽. Несоответствие согласий — ч. 2 ст. 13.11, штраф от 300 до 700 тыс. ₽. Стратегия: провести предварительный аудит по ст. 18.1 ФЗ-152 за 2–3 месяца до проверки, устранить все нарушения с фиксацией факта устранения — это создаёт доказательную базу добросовестности для суда и РКН.
Как обжаловать предписание или постановление РКН?
Предписание об устранении нарушений можно оспорить в административном порядке — в вышестоящий орган РКН — или в суде. Постановление о назначении административного штрафа по ст. 13.11 КоАП с 28.12.2025 (ФЗ-508) рассматривается мировыми судьями. Апелляция — в районный суд. Срок обжалования постановления — 10 суток с момента вручения.
Основания для обжалования в SaaS-кейсах чаще всего следующие. Первое — неверная квалификация: инспектор квалифицировал действия по ч. 8 (локализация), тогда как данные фактически не содержат идентифицирующих признаков и могут быть признаны обезличенными. Второе — нарушение процедуры проверки: несоблюдение сроков уведомления, истребование документов за пределами предмета проверки. Третье — применение смягчающих обстоятельств: при первичности нарушения и отсутствии вреда субъектам суд вправе применить ст. 4.1.1 КоАП и заменить штраф предупреждением. Четвёртое — инвестиции в ИБ: при подтверждённых вложениях в информационную безопасность не менее 0,1% выручки за 3 года штраф по оборотным составам (ч. 15, ч. 18) снижается до 1/10 минимального размера по ст. 4.1 КоАП, но не менее 15 млн ₽ и не более 50 млн ₽.
Услуги DATUM по теме
- Сопровождение проверок РКН — подготовка к инспекции, представление интересов, обжалование предписания.
- Аудит соответствия 152-ФЗ — 38 контрольных точек, приоритизированный план устранения нарушений от 100 000 ₽.
- Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1.
Частые вопросы
1. Как подготовиться к проверке РКН?
Подготовка состоит из трёх этапов. Первый — аудит соответствия: проверьте реестр операторов, политику обработки ПДн, наличие поручений с подрядчиками и соответствие согласий требованиям ФЗ-156 от 24.06.2025. Второй — устранение нарушений с документальной фиксацией: каждое исправление создаёт доказательство добросовестности для РКН и суда. Третий — назначение ответственного по ст. 22.1 ФЗ-152 и отработка регламента реагирования на запросы инспектора в ходе проверки. Оптимальный срок — 2–3 месяца до плановой инспекции.
2. Какие индикаторы риска применяет РКН?
Роскомнадзор использует несколько типов индикаторов. Жалоба субъекта ПДн — наиболее частый триггер профвизита. Несоответствие сведений в реестре операторов реальной деятельности выявляется при мониторинге публичных источников. Факт утечки в открытом доступе или в реестре компрометаций РКН автоматически запускает внеплановую проверку. Для SaaS-компаний специфичен индикатор трансграничной передачи данных в зарубежную облачную инфраструктуру без уведомления РКН по ст. 12 ФЗ-152.
3. Можно ли отказаться отвечать на запрос РКН?
Нет. Оператор обязан предоставить запрошенные документы и сведения в установленный срок. Непредставление сведений по запросу органа контроля — самостоятельное правонарушение по ч. 1 ст. 19.4 КоАП РФ. В SaaS-практике встречаются попытки сослаться на коммерческую тайну: однако данные о составе и целях обработки ПДн, структуре информационных систем, мерах защиты не относятся к охраняемой тайне в контексте проверки РКН по ФЗ-152.
4. Что грозит за невыполнение предписания РКН?
Невыполнение предписания об устранении нарушений влечёт ответственность по ч. 1 ст. 19.5 КоАП — для юридического лица штраф от 10 до 20 тыс. ₽. Одновременно РКН вправе инициировать новую внеплановую проверку и зафиксировать нарушение повторно: повторные составы по ч. 1.1, ч. 2.1, ч. 5.1, ч. 9 ст. 13.11 КоАП влекут существенно более высокие санкции. При повторной утечке — оборотный штраф по ч. 15 ст. 13.11 от 1 до 3% годовой выручки, но не менее 20 млн ₽.
5. Куда обжаловать постановление РКН?
С 28.12.2025 (ФЗ-508 от 28.12.2025) постановления по ст. 13.11 КоАП рассматривают мировые судьи. Обжалование — в районный суд по месту рассмотрения дела в течение 10 суток с момента вручения постановления. Параллельно можно обжаловать предписание в административном порядке — в центральный аппарат РКН или в арбитражный суд. Наиболее эффективная стратегия для SaaS — оспаривание квалификации нарушения (особенно по ч. 8 о локализации) и применение смягчающих обстоятельств по ст. 4.1 КоАП.
Итог
Проверка Роскомнадзора в SaaS-компании охватывает одновременно несколько направлений: реестр операторов, локализация ПДн, поручения с подрядчиками, согласия субъектов и технические меры. Каждое направление — потенциальный самостоятельный состав по ст. 13.11 КоАП с санкциями от 30 тыс. ₽ до 18 млн ₽ за одно нарушение. Подготовка за 2–3 месяца и документальная фиксация устранения нарушений — единственная стратегия снижения санкций при первичном нарушении.
Практика DATUM по сопровождению проверок РКН в технологических компаниях показывает: большинство нарушений, зафиксированных в ходе инспекции, системно устраняемы за 3–4 недели при наличии готового плана действий и актуального комплекта ОРД.