Контрольная закупка по 152-ФЗ

Контрольная закупка по 152-ФЗ появилась в арсенале Роскомнадзора в 2022 году как отдельный вид надзорного мероприятия в рамках Федерального закона № 248-ФЗ «О государственном контроле». Она работает в связке с индикаторами риска: если алгоритм РКН фиксирует сигнал — жалобу субъекта, несоответствие данных в реестре операторов, упоминание в даркнете, — ведомство вправе без предупреждения провести имитационную проверку. Результат фиксируется в акте; на его основании возбуждается административное производство. В этом материале — как устроена контрольная закупка, какие нарушения она выявляет и что делать юристу, чтобы компания прошла её без протокола.

Что такое контрольная закупка и чем она отличается от плановой проверки?

Плановая проверка Роскомнадзора включается в ежегодный план надзорных мероприятий и проводится с уведомлением оператора не позднее чем за 5 рабочих дней. Внеплановая документарная или выездная проверка назначается по основаниям ст. 57 ФЗ-248: истечение срока исполнения предписания, жалоба субъекта, индикатор риска. В обоих случаях оператор знает о проверке до её начала.

Контрольная закупка принципиально отличается: оператор не уведомляется. Инспектор самостоятельно или через уполномоченное лицо совершает действие, при котором обычно передаются персональные данные: заполняет форму на сайте, подаёт заявку на обратный звонок, регистрируется в программе лояльности, передаёт данные оператору в МФЦ или магазине. Проверяются три ключевых момента: форма согласия, содержание согласия и механизм его отзыва.

Профилактический визит — ещё одна форма, которую РКН активно использует с 2023 года. В отличие от контрольной закупки, профвизит носит консультативный характер и не влечёт немедленного протокола. Однако сведения, полученные в ходе профвизита, могут стать основанием для внеплановой проверки или контрольной закупки.

Контрольная закупка проверяет именно соответствие момента сбора этим требованиям. Если сайт компании показывает баннер «Нажимая кнопку, вы соглашаетесь на обработку ПДн» без отдельного документа с реквизитами — это нарушение ч. 2 ст. 13.11 КоАП. Штраф для юрлица — 300 000–700 000 ₽ при первичном нарушении, 1 000 000–1 500 000 ₽ при повторном по ч. 2.1.

Какие индикаторы риска запускают контрольную закупку?

РКН утвердил перечень индикаторов риска для надзора в сфере персональных данных. Они работают как автоматические триггеры: при совпадении показателя ведомство вправе инициировать внеплановое мероприятие без согласования с прокуратурой.

Основные индикаторы, которые на практике чаще всего предшествуют контрольной закупке:

• Отсутствие оператора в реестре Роскомнадзора при наличии сайта с формой сбора данных — несоответствие фиксируется автоматически при мониторинге.
• Жалоба субъекта через портал РКН: пользователь сообщил, что не может отозвать согласие, не получил ответа на запрос в течение 10 рабочих дней или его данные обрабатываются без его ведома.
• Упоминание базы данных компании в публичных источниках: даркнет, Telegram-каналы по продаже баз, специализированные форумы — РКН мониторит эти площадки.
• Несоответствие сведений в реестре операторов фактической деятельности: компания уведомила о цели «кадровый учёт», а на сайте собирает данные клиентов для маркетинговых рассылок.
• Истечение срока исполнения ранее выданного предписания без подтверждённого устранения нарушения.

Мораторий на плановые проверки малого и среднего бизнеса, введённый в 2022–2024 годах, на контрольные закупки и внеплановые мероприятия по индикаторам риска не распространяется. Это означает, что компании с выручкой до 2 млрд ₽ не защищены от закупки только фактом статуса МСП.

Как проходит контрольная закупка: процедура и оформление результатов

Контрольная закупка проводится на основании решения руководителя (заместителя руководителя) территориального органа РКН. Решение оформляется приказом; в нём указываются: вид мероприятия, объект надзора, уполномоченные инспекторы, способ проведения закупки.

Инспектор взаимодействует с оператором под видом обычного субъекта. Фиксируются: факт передачи данных, форма согласия (есть/нет, реквизиты), содержание полученного ответа оператора, наличие политики конфиденциальности, реакция на запрос об отзыве. После завершения мероприятия инспектор обязан раскрыть свою личность и предъявить решение о проведении закупки.

Результаты оформляются актом. Если выявлены нарушения — составляется протокол по соответствующей части ст. 13.11 КоАП. Оператор получает копию акта и протокола; с этого момента начинается срок для подготовки позиции.

Важный процессуальный момент: нарушения, выявленные при контрольной закупке, квалифицируются по моменту их совершения. Если оператор исправил форму согласия на следующий день после визита инспектора — это учитывается как смягчающее обстоятельство, но не освобождает от ответственности за уже зафиксированный факт.

Типовые нарушения, которые выявляет контрольная закупка

Анализ протоколов, составленных по итогам контрольных закупок в 2023–2025 годах, позволяет выделить устойчивые паттерны нарушений.

Нарушение ч. 2 ст. 13.11 — согласие без обязательных реквизитов или встроенное в другой документ. Наиболее распространённое: чекбокс «согласен с политикой конфиденциальности» не является согласием по ст. 9 ФЗ-152. После 01.09.2025 требование отдельного документа стало абсолютным.

Нарушение ч. 3 ст. 13.11 — отсутствие политики обработки ПДн или её несоответствие требованиям ст. 18.1. Документ есть, но в нём не указаны: категории ПДн, сроки хранения, перечень третьих лиц (подрядчики, CRM-системы, рекламные платформы). Штраф — 30 000–60 000 ₽.

Нарушение ч. 4 ст. 13.11 — непредоставление субъекту информации об обработке его данных. Инспектор направляет запрос как субъект — оператор не отвечает в 10 рабочих дней или отвечает неполно. Штраф — 40 000–80 000 ₽.

Нарушение ч. 5 ст. 13.11 — неисполнение требования об отзыве согласия. Субъект направил отзыв, оператор продолжает рассылки или не уничтожил данные. Штраф — 50 000–90 000 ₽; при повторном нарушении по ч. 5.1 — 300 000–500 000 ₽.

Совокупность нескольких нарушений при одной закупке влечёт несколько протоколов — по каждому составу отдельно.

Как применяется матрица сценариев при контрольной закупке

Сценарий 1 — нарушение выявлено при закупке, протокол составлен, дело передано мировому судье.
Ситуация: инспектор зафиксировал отсутствие отдельного согласия по ст. 9 ФЗ-152. Протокол по ч. 2 ст. 13.11 — санкция 300 000–700 000 ₽.
Доказательства: скриншоты сайта с отметкой времени, распечатка акта, запись взаимодействия.
Вероятный исход при пассивной позиции: штраф в размере от 300 000 ₽. При оперативном исправлении и представлении доказательств — снижение до минимума санкции или, для микропредприятий, замена на предупреждение по ст. 4.1.1 КоАП.
Стратегия: немедленно исправить нарушение, зафиксировать факт исправления с датой, представить доказательства мировому судье вместе с объяснением обстоятельств. При наличии статуса микропредприятия — ходатайство по ст. 4.1.1.

Сценарий 2 — повторная закупка после предписания об устранении нарушений.
Ситуация: по итогам первой закупки компания получила предписание устранить нарушение ч. 3 ст. 13.11 (политика ПДн). Предписание не исполнено в срок; РКН провёл повторную закупку.
Доказательства: акт первой закупки, предписание, акт повторной закупки — факт неисполнения зафиксирован.
Вероятный исход: протокол по ч. 1.1 ст. 13.11 (повторное нарушение) — штраф 300 000–500 000 ₽. Дополнительно — постановление о неисполнении предписания по ст. 19.5 КоАП.
Стратегия: при получении предписания — немедленно определить реалистичный срок исполнения, направить в РКН ходатайство о продлении при необходимости, зафиксировать исполнение задокументированным актом до истечения срока.

Сценарий 3 — закупка через подрядчика, обрабатывающего данные по поручению.
Ситуация: компания передала обработку данных клиентов CRM-платформе без надлежащего договора поручения по п. 3 ст. 6 ФЗ-152. Инспектор зафиксировал, что данные поступают третьему лицу без упоминания в согласии.
Доказательства: форма согласия, договор с CRM-платформой, политика конфиденциальности — третье лицо не указано.
Вероятный исход: протокол по ч. 1 ст. 13.11 (обработка в случаях, не предусмотренных законом) — штраф 150 000–300 000 ₽. Оператор несёт ответственность за действия подрядчика.
Стратегия: аудит всех договоров с обработчиками, проверка соответствия согласия перечню третьих лиц, обновление политики конфиденциальности.

Как подготовиться к проверке Роскомнадзора?

Подготовка к контрольной закупке — это не разовое мероприятие, а поддержание системного соответствия. Проверка может прийти в любой момент после появления индикатора риска.

Первый приоритет для юриста — проверить статус в реестре операторов на pd.rkn.gov.ru. Уведомление подаётся по Приказу РКН № 180 через ЕСИА или УКЭП. Если компания ведёт несколько направлений обработки (HR, маркетинг, клиентская база), каждое из них должно быть отражено в уведомлении. Расхождение между реестром и фактической обработкой — индикатор риска.

Второй приоритет — форма согласия. После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие должно быть отдельным документом с полным набором реквизитов по ст. 9 ФЗ-152. Проверьте каждую точку сбора: сайт, лендинги, мобильное приложение, офисные анкеты. Особое внимание — формам, встроенным в CRM-системы: их содержание часто не проверялось с момента запуска.

Третий приоритет — механизм реагирования на обращения субъектов. Оператор обязан ответить на запрос субъекта в течение 10 рабочих дней (ст. 20 ФЗ-152). Если запрос поступил в ходе контрольной закупки и остался без ответа — это самостоятельный состав нарушения по ч. 4 ст. 13.11.

Практика: как компании проходят контрольные закупки

Кейс 1. Торговая компания (Центральный ФО, осень 2025). Юрист получил протокол по ч. 2 ст. 13.11 по итогам контрольной закупки: форма согласия на сайте была встроена в пользовательское соглашение и не содержала отдельного документа. До рассмотрения дела мировым судьёй форма была приведена в соответствие с ст. 9 ФЗ-152 в редакции с 01.09.2025. Суд назначил штраф в размере минимальной санкции по ч. 2 с учётом смягчающих обстоятельств — оперативного устранения нарушения и первичности.

Кейс 2. IT-компания с SaaS-продуктом (Северо-Западный ФО, начало 2026). Контрольная закупка выявила три нарушения: отсутствие отдельного согласия, политика конфиденциальности не содержала перечня третьих лиц (подрядчики — аналитические платформы), запрос на отзыв согласия остался без ответа. Три протокола по ч. 2, ч. 3 и ч. 5 ст. 13.11 на совокупную сумму в сотни тысяч рублей. DATUM подключился на стадии обжалования: два протокола прекращены в связи с устранением нарушений до рассмотрения; по третьему применена ст. 4.1.1 КоАП для замены штрафа на предупреждение — компания соответствовала критериям микропредприятия.

Услуги DATUM по теме

• Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания
• Аудит соответствия 152-ФЗ — проверка по чек-листу из 38 пунктов с планом устранения нарушений
• Защита при штрафе в арбитраже — оспаривание протокола и постановления, снижение санкции

Частые вопросы

1. Как подготовиться к проверке РКН?

Проверьте наличие в реестре операторов на pd.rkn.gov.ru и соответствие заявленных целей фактической обработке. Убедитесь, что на каждой форме сбора данных размещено отдельное согласие по ст. 9 ФЗ-152 с обязательными реквизитами. Подготовьте журнал обращений субъектов и убедитесь, что механизм ответа на запросы работает в срок 10 рабочих дней. Политика конфиденциальности должна содержать перечень третьих лиц и сроки хранения по ст. 18.1 ФЗ-152.

2. Какие индикаторы риска у РКН?

РКН использует автоматические триггеры: отсутствие оператора в реестре при наличии сайта с формами сбора, жалобы субъектов через портал ведомства, упоминания базы данных компании в публичных источниках (даркнет, Telegram), расхождение между уведомлением в реестре и фактической обработкой, а также неисполненные предписания. При совпадении индикатора РКН вправе инициировать внеплановую проверку или контрольную закупку без согласования с прокуратурой.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Оператор обязан предоставить запрошенные документы в ходе надзорного мероприятия. Непредставление документов или воспрепятствование проверке образует самостоятельный состав по ст. 19.4 и 19.7 КоАП. Правомерно оспорить основания проверки в судебном порядке — но уже после её завершения, предварительно выполнив требования инспектора.

4. Что грозит за невыполнение предписания РКН?

Неисполнение предписания в установленный срок влечёт ответственность по ч. 1 ст. 19.5 КоАП: для юрлица — штраф до 50 000 ₽. Повторное неисполнение — дисквалификация должностного лица. Помимо этого, неисполнение предписания является основанием для проведения повторной внеплановой проверки и может квалифицироваться как отягчающее обстоятельство при назначении санкций по ст. 13.11 КоАП.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 суток со дня вручения. Решение районного суда — в вышестоящий суд субъекта. По существу: при обжаловании применимы ст. 4.1 КоАП (смягчающие обстоятельства), ст. 4.1.1 (замена на предупреждение для микропредприятий) и ст. 4.1.2 (расчёт штрафа по правилам для ИП при отдельных условиях).

Итог

Контрольная закупка по 152-ФЗ — это мероприятие, которое не требует предупреждения и фиксирует нарушения в момент их совершения. Готовность к ней не отличается от готовности к любой другой форме надзора: актуальное уведомление в реестре операторов, корректные согласия на каждой точке сбора, работающий механизм ответа на обращения субъектов.

DATUM сопровождает операторов при взаимодействии с РКН: от подготовки документации до обжалования постановлений по ст. 13.11 КоАП в судебном порядке. Практика по 152-ФЗ — с 2014 года.

17 мая 2027 года