аналитика 17 июня 2027 По состоянию на 17 июня 2027

Кого включают в план проверок РКН

Роскомнадзор включает оператора в план проверок по системе индикаторов риска — жалобы субъектов, утечки ПДн, несоответствие реестра и размер базы. Для юристов это означает: предсказуемость угрозы и возможность снизить вероятность попадания в план заранее.

С 30.05.2025 за нарушения по ст. 13.11 КоАП действуют оборотные штрафы до 500 млн ₽. Плановая и внеплановая проверки — разные триггеры, разные сроки и разный объём документов. Мораторий на плановые проверки бизнеса не распространяется на ПДн: надзор по 152-ФЗ выведен из-под общего моратория.

→ Если вы юрист компании и хотите понять, попадает ли оператор в план РКН в 2026–2027 годах — читайте дальше. Структура статьи: критерии включения, индикаторы риска, отличие плановой от внеплановой проверки, три типовых сценария и чек-лист готовности.

Роскомнадзор формирует ежегодный план проверок операторов персональных данных на основании методических документов и системы оценки рисков. Для юриста компании вопрос «попадём ли мы в план» — это вопрос приоритетности подготовки ОРД, а не абстрактная вероятность. В 2025 году РКН зафиксировал 118 случаев компрометации баз; по итогам полугодия — свыше 39 млн записей в утечках. Количество внеплановых проверок по факту инцидентов растёт. Понимание механики формирования плана позволяет снизить риски до того, как регулятор пришлёт уведомление.

По каким критериям РКН включает оператора в план проверок?

Плановые проверки проводятся на основании ч. 3 ст. 23 ФЗ-152 и подзаконных актов, утверждённых РКН. Периодичность — не чаще одного раза в три года для одного оператора. Однако включение в план не случайно: регулятор применяет риск-ориентированный подход, при котором частота и глубина проверки зависят от присвоенного оператору класса риска.

На класс риска влияют несколько факторов. Первый — объём обрабатываемых данных: операторы, обрабатывающие сведения более 100 000 субъектов, попадают в приоритетный периметр. Второй — категории ПДн: спецкатегории по ст. 10 ФЗ-152 (состояние здоровья, судимость, религиозные взгляды) и биометрические данные по ст. 11 ФЗ-152 повышают класс. Третий — наличие жалоб субъектов, поданных в РКН за предшествующий период. Четвёртый — несоответствие сведений в реестре операторов (Приказ РКН №180) фактической деятельности.

«Ст. 23 ФЗ-152 — государственный контроль за обработкой ПДн осуществляет уполномоченный орган (Роскомнадзор). Плановая проверка — не чаще одного раза в три года. Основания для внеплановой — жалобы, истечение срока предписания, поручение прокуратуры.»

Отдельную роль играет уведомление по ст. 22 ФЗ-152. Операторы, не подавшие уведомление или подавшие его с неполными сведениями, выявляются через автоматизированный мониторинг сайтов и открытых источников. Такое несоответствие само по себе является основанием для внеплановой проверки. Штраф за неуведомление по ч. 10 ст. 13.11 КоАП — 100 000–300 000 ₽ для юрлица.

Какие индикаторы риска использует РКН при формировании плана?

С 2023 года РКН применяет формализованную систему индикаторов риска. Это перечень конкретных признаков, каждый из которых при выявлении может инициировать контрольное мероприятие — в формате профилактического визита, документарной или выездной проверки.

Ключевые индикаторы, актуальные для операторов из коммерческого сектора:

Сообщение об утечке ПДн, поданное самим оператором или третьим лицом в РКН по Приказу РКН №187
Публикация в открытом доступе базы с ПДн граждан РФ, атрибутированной к оператору
Поступление двух и более жалоб от субъектов за 12 месяцев на одного оператора
Истечение срока исполнения ранее выданного предписания без подтверждения устранения нарушений
Обнаружение признаков трансграничной передачи ПДн граждан РФ без уведомления РКН (ст. 12 ФЗ-152)
Несоответствие сведений в реестре операторов фактически обрабатываемым категориям или целям

Профилактический визит — наиболее мягкая форма взаимодействия: без составления протокола, без санкций. Но он фиксирует состояние документации и может стать основанием для последующей внеплановой проверки, если нарушения не устранены в согласованный срок. Для юриста это точка входа: при правильной подготовке профвизит завершается без последствий.

Получили уведомление о проверке РКН или плановом визите?

Если вы юрист компании и документы по 152-ФЗ не приведены в порядок — времени меньше, чем кажется. Стандартный срок уведомления о плановой проверке — 3 рабочих дня до начала, о внеплановой выездной — 24 часа. Любая ошибка в первичных документах фиксируется в акте и становится основанием протокола.

Юристы DATUM подготовят компанию к проверке РКН: проведут предпроверочный аудит, выявят пробелы в ОРД, представят интересы компании при взаимодействии с инспектором и при необходимости обжалуют предписание.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Чем плановая проверка отличается от внеплановой?

Различие принципиально — по основаниям, срокам подготовки и допустимым действиям инспектора.

Плановая проверка включается в ежегодный план, публикуемый на сайте РКН до 31 декабря предшествующего года. Оператор вправе отслеживать план самостоятельно. Проверка проводится не чаще одного раза в три года. Срок предварительного уведомления — не менее чем за 3 рабочих дня. Предмет — соответствие всей деятельности по обработке ПДн требованиям ФЗ-152.

Внеплановая проверка инициируется при наступлении конкретных оснований: жалоба субъекта, истечение предписания, поручение прокуратуры, срабатывание индикатора риска. Уведомление о выездной внеплановой проверке направляется за 24 часа. Документарная — без предварительного предупреждения. Предмет — конкретное основание, указанное в распоряжении.

Мораторий на плановые проверки субъектов малого и среднего бизнеса, введённый в 2022–2023 годах, не распространяется на надзор в области ПДн: ст. 23 ФЗ-152 является специальной нормой по отношению к общим положениям о государственном контроле. Это подтверждено позицией РКН и арбитражной практикой.

Что подготовить до получения уведомления о проверке

Выписку из реестра операторов ПДн с pd.rkn.gov.ru — убедиться, что сведения соответствуют фактической обработке (цели, категории, получатели, сроки)
Актуальную политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликованную на сайте и датированную
Отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) — особенно для работников и пользователей сайта
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с подписью руководителя
Журнал учёта обращений субъектов и ответов на них за последние 12 месяцев — РКН запрашивает его в первую очередь

Как применяется мораторий на проверки и что считается исключением?

Постановления Правительства РФ о моратории на плановые проверки бизнеса, действовавшие в 2022–2024 годах и продлевавшиеся в последующие периоды, содержат перечень исключений. Надзор в сфере ПДн прямо включён в этот перечень как вид контроля, на который мораторий не распространяется.

На практике это означает: оператор из числа малого и среднего бизнеса не защищён от плановой проверки РКН ссылкой на общий мораторий. Исключение работает в обе стороны: крупный оператор также не получает дополнительных преимуществ от отсутствия моратория — периодичность одна раз в три года применяется ко всем.

Внеплановые проверки мораторий не ограничивает вовсе. Если поступила жалоба субъекта или сработал индикатор риска — РКН вправе инициировать проверку вне зависимости от размера компании и даты последней плановой проверки.

Если вы юрист и обнаружили, что уведомление в реестре РКН не подавалось или устарело — у вас есть узкое окно для самостоятельного устранения нарушения до проверки. Штраф по ч. 10 ст. 13.11 КоАП — до 300 000 ₽. Юристы DATUM проведут аудит реестровых сведений и подготовят актуальное уведомление по Приказу РКН №180.

Заказать аудит 152-ФЗ

Три типовых сценария: как компании попадают в периметр контроля РКН

Сценарий 1. Утечка ПДн и несвоевременное уведомление. Оператор обнаружил инцидент, но уведомление РКН направил через 4 дня — вместо 24 часов по ч. 3.1 ст. 21 ФЗ-152. РКН зафиксировал утечку из открытых источников ранее. Итог: возбуждено дело по ч. 11 ст. 13.11 КоАП (штраф 1–3 млн ₽ за несвоевременное уведомление) и отдельно по ч. 12 ст. 13.11 (штраф 3–5 млн ₽ за утечку от 1 000 до 10 000 субъектов). Юрист компании не был включён в процесс реагирования, документы расследования отсутствовали. Параллельно назначена внеплановая выездная проверка. Стратегия: при обнаружении инцидента — немедленное уведомление по Приказу РКН №187 с указанием предварительных сведений; через 72 часа — отчёт о результатах. Наличие регламента реагирования снижает риск штрафа за несвоевременность.

Сценарий 2. Несоответствие реестровых сведений фактической деятельности. Компания подала уведомление по ст. 22 ФЗ-152 три года назад при запуске сайта. За это время добавлены новые цели обработки (таргетированная реклама, профилирование пользователей), подключены зарубежные сервисы аналитики. Реестровые сведения не обновлялись. РКН при мониторинге сайта выявил несоответствие политики конфиденциальности и данных реестра. Инициирован профилактический визит. По итогам — предписание об устранении в 30 дней. Стратегия: ежегодная сверка реестровых сведений с фактической деятельностью; обновление уведомления при изменении целей, категорий, получателей или сроков обработки.

Сценарий 3. Повторное нарушение после ранее выданного предписания. Компания прошла плановую проверку, получила предписание об устранении нарушений по ст. 18.1 ФЗ-152 (отсутствие политики на сайте, нет приказа об ответственном). Предписание формально исполнено — политика опубликована, приказ подписан. При внеплановой проверке по истечении срока инспектор установил: приказ не содержит функциональных обязанностей, политика не соответствует требованиям ч. 2 ст. 18.1. Составлен протокол по ч. 3 ст. 13.11 КоАП (штраф 30 000–60 000 ₽) и по ч. 1 (штраф 150 000–300 000 ₽). Стратегия: при исполнении предписания — содержательная проверка документов юристом, а не формальное закрытие пунктов; сопровождение повторной проверки специалистом по 152-ФЗ.

Кейс из практики. Юридическая служба торговой компании (Центральный ФО, осень 2025) самостоятельно обнаружила несоответствие уведомления в реестре РКН: за три года компания добавила обработку биометрии в СКУД и программу лояльности с профилированием. Юрист обратился за аудитом до плановой проверки, выявленной в опубликованном плане РКН. За 4 недели был обновлён реестр, доработана политика, собраны отдельные согласия. Плановая проверка завершилась без выявленных нарушений и протоколов.

Кейс — публичная практика (case_S3_pochta). Почта России прошла внеплановую проверку в июле 2025 года после выявления уязвимости в сервисе отслеживания отправлений. Дело возбуждено по ч. 1 ст. 13.11 КоАП — событие утечки произошло до 30.05.2025 и квалифицировалось по старой редакции. Проверка инициирована как реакция на индикатор риска — публичное сообщение об инциденте. Показателен сам факт: крупный федеральный оператор не защищён от внеплановой проверки по факту публикации об уязвимости.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания
Аудит соответствия 152-ФЗ — предпроверочный аудит по чек-листу из 38 пунктов с приоритизированным планом
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка включает четыре блока. Первый — сверка реестровых сведений с фактической обработкой: цели, категории, получатели, сроки, трансграничная передача. Второй — комплектность ОРД: политика по ч. 2 ст. 18.1 ФЗ-152, приказ об ответственном по ст. 22.1, согласия по ст. 9 в редакции с 01.09.2025. Третий — журнал обращений субъектов и ответов на них. Четвёртый — регламент реагирования на инциденты по Приказу РКН №187. РКН запрашивает документы до начала проверки — их отсутствие фиксируется в акте немедленно.

2. Какие индикаторы риска у РКН?

Формализованный перечень индикаторов риска включает: публичные утечки ПДн, атрибутированные к оператору; жалобы субъектов (два и более за 12 месяцев); несоответствие политики и реестровых сведений; признаки трансграничной передачи без уведомления РКН по ст. 12 ФЗ-152; истечение срока предписания без подтверждения устранения. Каждый из этих признаков может инициировать профилактический визит или внеплановую проверку вне зависимости от даты последней плановой.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Ч. 1 ст. 23 ФЗ-152 наделяет РКН полномочиями запрашивать у операторов документы и сведения. Уклонение от представления запрошенных материалов в установленный срок является самостоятельным основанием для протокола. Если запрос сформулирован с нарушениями (не указан предмет, нет реквизитов распоряжения) — оператор вправе направить мотивированный ответ с просьбой уточнить основания. Полный отказ без правового обоснования — неприемлем и увеличивает риски при последующей проверке.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания РКН в установленный срок является основанием для внеплановой проверки и составления протокола по ч. 1 или ч. 1.1 ст. 13.11 КоАП (штраф 150 000–500 000 ₽ для юрлица). При повторном нарушении — ч. 1.1 ст. 13.11. Помимо штрафа, РКН вправе обратиться в суд с требованием об ограничении доступа к информационным ресурсам оператора. Предписание необходимо исполнять содержательно — формальное закрытие пунктов без устранения сути нарушения фиксируется при повторной проверке.

5. Куда обжаловать постановление РКН?

Постановление по делу об административном правонарушении по ст. 13.11 КоАП с 28.12.2025 (ФЗ-508) обжалуется мировому судье по месту нахождения оператора. До 27.12.2025 подсудность была у арбитражных судов. При несогласии с решением мирового судьи — апелляция в районный суд. Срок обжалования — 10 суток с момента вручения копии постановления. В жалобе необходимо указать конкретные нормы, которые нарушены при составлении протокола или вынесении постановления, и ходатайствовать о применении ст. 4.1.1 КоАП при наличии оснований.

Итог

Включение в план проверок РКН — управляемый риск. Основные триггеры — жалобы субъектов, публичные утечки, несоответствие реестровых сведений и отсутствие ОРД — устранимы до начала контрольного мероприятия. Внеплановые проверки не предупреждают за три года: они приходят в течение 24 часов при срабатывании индикатора риска.

DATUM сопровождает операторов на всех стадиях взаимодействия с РКН: от предпроверочного аудита до обжалования постановлений в суде. Практика охватывает как плановые проверки крупных операторов, так и внеплановые — по факту инцидентов с ПДн.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.