инструкция 14 февраля 2027 По состоянию на 14 февраля 2027

Мониторинг РКН сайтов: как проверяют политику

Роскомнадзор проводит мониторинг сайтов операторов ПДн автоматически и в рамках плановых и внеплановых проверок — наличие политики конфиденциальности, соответствие её содержания ст. 18.1 ФЗ-152 и актуальность уведомления в реестре операторов входят в стандартный перечень проверяемых элементов.

Штраф за отсутствие политики — от 30 000 до 60 000 ₽ по ч. 3 ст. 13.11 КоАП; за обработку ПДн без надлежащего правового основания — от 150 000 до 300 000 ₽ по ч. 1 ст. 13.11 (в редакции с 30.05.2025). После 01.09.2025 согласия, встроенные в договор или оферту, недействительны по требованиям ФЗ-156.

Если вы юрист и сейчас оцениваете риски для клиента или работодателя — ниже пошаговый разбор того, что именно и как проверяет РКН, и какие документы нужны для прохождения мониторинга без замечаний.

По итогам 2025 года Роскомнадзор зафиксировал 118 случаев компрометации баз персональных данных. Административная практика по ст. 13.11 КоАП формируется точечно — суды и регулятор нарабатывают прецеденты. При этом мониторинг сайтов ведётся непрерывно: РКН использует автоматические системы сканирования публичных страниц операторов. Отсутствие политики, неактуальный реестр и некорректные согласия — три наиболее частых основания для возбуждения дела. Настоящая инструкция описывает шесть последовательных шагов, которые закрывают основные риски.

Шаг 1. Проверьте, внесён ли оператор в реестр РКН

Обязанность уведомить Роскомнадзор о намерении обрабатывать персональные данные установлена ст. 22 ФЗ-152. Уведомление подаётся через портал pd.rkn.gov.ru с использованием ЕСИА или УКЭП. Форма утверждена Приказом РКН № 180 от 28.10.2022. После подачи уведомления оператор включается в реестр в течение 30 дней.

Неуведомление или несвоевременное уведомление образует состав по ч. 10 ст. 13.11 КоАП — штраф для юридического лица от 100 000 до 300 000 ₽ (в редакции с 30.05.2025). Проверить наличие записи можно непосредственно через публичный реестр pd.rkn.gov.ru — это первое, что делает инспектор при мониторинге.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении осуществлять обработку ПДн до начала такой обработки. Исключения перечислены в ч. 2 ст. 22 и носят закрытый характер.»

Практический риск для юриста: если компания обрабатывает ПДн клиентов через сайт (форма обратной связи, личный кабинет, корзина интернет-магазина) — исключения по ч. 2 ст. 22, скорее всего, не применяются. Необходима проверка каждого основания отдельно.

Шаг 2. Убедитесь, что политика конфиденциальности размещена и содержит обязательные разделы

Требования к содержанию политики установлены ч. 2 ст. 18.1 ФЗ-152. Политика должна быть опубликована в открытом доступе — как правило, ссылка на неё размещается в футере сайта. Отсутствие публикации — самостоятельный состав по ч. 3 ст. 13.11 КоАП.

Обязательные разделы политики в соответствии со ст. 18.1 ФЗ-152:

наименование и реквизиты оператора;
цели обработки персональных данных;
категории обрабатываемых ПДн и категории субъектов;
правовые основания обработки (ссылка на конкретные пункты ст. 6 ФЗ-152);
перечень действий с ПДн и способы обработки;
меры по обеспечению безопасности (в общих чертах — без раскрытия технических деталей);
права субъектов и порядок их реализации (в том числе срок ответа — 10 рабочих дней по ст. 20 ФЗ-152);
порядок обращений субъектов к оператору;
сведения о трансграничной передаче, если она осуществляется (ст. 12 ФЗ-152).

Распространённая ошибка — политика скопирована из открытых источников и содержит реквизиты другой организации либо не отражает фактический состав обрабатываемых ПДн. Такая политика формально размещена, но по существу нарушает ч. 2 ст. 18.1 ФЗ-152 и создаёт риск по ч. 3 ст. 13.11 КоАП.

Политика конфиденциальности есть, но она из шаблона?

Шаблонная политика с чужими реквизитами формально нарушает ч. 2 ст. 18.1 ФЗ-152 — инспектор фиксирует это при первом же мониторинге. У вас есть время привести документы в порядок до получения предписания или протокола. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Проверьте согласия субъектов — особенно после 01.09.2025

С 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом — не встраиваться в договор, оферту, пользовательское соглашение или иной многоцелевой документ. Требование введено ФЗ-156 от 24.06.2025 путём изменения ч. 1 ст. 9 ФЗ-152. Ранее полученные согласия обратной силы не теряют, однако любое новое согласие, оформленное после 01.09.2025 без соблюдения формы, недействительно.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — согласие субъекта ПДн оформляется отдельным документом. Согласие не может быть объединено с другим документом, в том числе договором или офертой.»

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, его контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия согласия и способ его отзыва. Отсутствие хотя бы одного реквизита — нарушение, которое даёт РКН основание для протокола по ч. 2 ст. 13.11 КоАП (штраф от 300 000 до 700 000 ₽ для юрлица).

На сайте это означает: форма сбора данных (обратная связь, подписка, регистрация) должна содержать отдельный чекбокс с согласием, либо пользователь должен подписывать отдельный документ. Чекбокс не должен быть предзаполнен.

Как РКН проводит автоматический мониторинг сайтов операторов?

Роскомнадзор применяет автоматизированные системы сканирования публичных страниц. При мониторинге проверяются: наличие ссылки на политику конфиденциальности, доступность документа по ссылке, наличие форм сбора данных с соответствующими элементами согласия, а также соответствие сведений на сайте данным из реестра операторов.

По результатам автоматического мониторинга РКН формирует перечень операторов с признаками нарушений — они попадают в план внеплановых проверок или получают предписание об устранении. Индикаторами риска, по публичной информации регулятора, являются:

сайт собирает ПДн, но оператор не включён в реестр;
ссылка на политику отсутствует или ведёт на 404;
политика не обновлялась более двух лет;
форма сбора данных не содержит элемента согласия;
сайт передаёт данные в зарубежные сервисы аналитики без уведомления о трансграничной передаче.

Для юриста это означает: технические параметры сайта входят в сферу правового риска. Необходимо либо иметь доступ к настройкам сайта, либо координировать работу с ИТ-подразделением при подготовке к проверке.

Шаг 4. Назначьте ответственного по ст. 22.1 ФЗ-152 и оформите приказ

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных, — это требование ст. 22.1 ФЗ-152. Назначение оформляется приказом. Требования к квалификации ответственного установлены ч. 4 ст. 22.1: он должен понимать законодательство о ПДн и иметь доступ к документации об обработке.

Инспектор при проверке запрашивает приказ о назначении и должностной регламент ответственного. Отсутствие назначенного лица — нарушение ст. 18.1 ФЗ-152 и основание для предписания. Ответственным может быть штатный сотрудник (юрист, специалист по ИБ, HR-директор) или внешний DPO-аутсорсер.

«Ст. 22.1 ФЗ-152 — оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Ч. 4 ст. 22.1 устанавливает требования к квалификации такого лица.»

Шаг 5. Сформируйте комплект ОРД и убедитесь в его актуальности

Организационно-распорядительная документация (ОРД) — это совокупность внутренних документов оператора, подтверждающих выполнение требований ст. 18.1 ФЗ-152. Типовой комплект включает не менее 38 документов: политику обработки ПДн, согласия по каждому основанию и категории ПДн, приказ о назначении ответственного, регламент реагирования на запросы субъектов, журнал учёта обращений, инструкции для сотрудников, соглашения с операторами, осуществляющими обработку по поручению (ч. 3 ст. 6 ФЗ-152).

Распространённая ошибка: ОРД сформирован три года назад и не обновлялся. Если с тех пор компания запустила новый продукт, сменила подрядчика по CRM или перешла на облачное хранилище — фактическая обработка шире задокументированной. Это нарушение ч. 1 ст. 13.11 КоАП (несовместимость с заявленными целями).

Что подготовить к мониторингу РКН

Выписка из реестра операторов ПДн с pd.rkn.gov.ru (актуальная дата включения и полный перечень заявленных целей обработки).
Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте и датированная не ранее 01.09.2025 (с учётом изменений по ФЗ-156).
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с описанием его функций.
Комплект согласий субъектов, оформленных в соответствии с ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 (отдельный документ, все обязательные реквизиты).
Журнал учёта обращений субъектов ПДн за последние 12 месяцев с отметками о сроках ответа (10 рабочих дней по ст. 20 ФЗ-152).

Если вы юрист и получили запрос от РКН или проверяете готовность компании к мониторингу — срок на устранение нарушений по предписанию не восстанавливается. Юристы DATUM соберут комплект ОРД под ключ: политика, согласия, приказы, регламенты — за фиксированную стоимость от 45 000 ₽.

Собрать ОРД под ключ

Шаг 6. Устраните пробелы трансграничной передачи и cookies

Если сайт использует Google Analytics 4, Meta Pixel, Hotjar или иные зарубежные сервисы — данные пользователей передаются в страны за пределами России. Это трансграничная передача по ст. 12 ФЗ-152. Передача в страну, не входящую в перечень адекватной защиты, требует предварительного уведомления РКН. Без уведомления — нарушение ст. 22 ФЗ-152 и риск по ч. 10 ст. 13.11 КоАП.

Позиция РКН, выраженная в методических рекомендациях: cookies, однозначно идентифицирующие пользователя, относятся к персональным данным. Это означает, что сайт без баннера согласия на использование cookies формально нарушает требования к согласию по ст. 9 ФЗ-152.

Для устранения достаточно: добавить баннер согласия на cookies при первом посещении, включить в политику конфиденциальности раздел о трансграничной передаче, а при наличии передачи в «неадекватные» страны — подать уведомление в РКН через форму на pd.rkn.gov.ru по Приказу РКН № 180.

Типовые ситуации: что происходит, когда мониторинг выявил нарушение

Ситуация 1. Сайт собирает данные, оператор не в реестре. РКН фиксирует признаки обработки ПДн через форму регистрации — реестр пустой. Инспектор возбуждает дело по ч. 10 ст. 13.11 КоАП. Штраф для юрлица — от 100 000 до 300 000 ₽. Параллельно может быть выдано предписание о подаче уведомления. Стратегия: немедленно подать уведомление через pd.rkn.gov.ru, представить его в РКН как смягчающее обстоятельство по ст. 4.2 КоАП, ходатайствовать о замене штрафа на предупреждение по ст. 4.1.1 КоАП при условии первичности и микропредприятия.

Ситуация 2. Политика размещена, но не содержит раздела о правах субъектов. При мониторинге автоматическая система фиксирует наличие документа, но при плановой проверке инспектор устанавливает, что права субъектов не описаны, порядок обращения не указан. Нарушение ч. 2 ст. 18.1 ФЗ-152 квалифицируется по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽). Исход зависит от того, насколько оперативно оператор устраняет нарушение после получения предписания. Дополнительный риск — если при проверке выявлены и иные нарушения, штрафы суммируются.

Ситуация 3. Согласие встроено в договор — нарушение ФЗ-156. Компания (Центральный ФО, начало 2026 года) получила предписание РКН по результатам мониторинга: согласие пользователя на обработку ПДн было включено в текст пользовательского соглашения, что с 01.09.2025 противоречит ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Возбуждено дело по ч. 2 ст. 13.11 КоАП (штраф от 300 000 до 700 000 ₽). Юрист компании оперативно вынес согласие в отдельный документ и представил исправленные формы в РКН. С учётом устранения нарушения и первичности суд снизил штраф до минимального порога. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка сайта, ОРД, согласий и реестра по 38-пунктному чек-листу.
Комплект ОРД под ключ — политика, согласия, приказы, регламенты за фиксированную стоимость.
DPO-аутсорсинг — абонентское ведение функции ответственного по ст. 22.1 ФЗ-152.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный комплект включает: политику обработки ПДн (ч. 2 ст. 18.1 ФЗ-152), опубликованную на сайте; приказ о назначении ответственного (ст. 22.1 ФЗ-152); согласия субъектов по каждому основанию обработки (ст. 9 ФЗ-152); уведомление в реестре РКН (ст. 22 ФЗ-152); журнал учёта обращений субъектов; инструкции для сотрудников; соглашения с обработчиками по поручению (ч. 3 ст. 6 ФЗ-152). Полный комплект — не менее 38 документов.

2. Как составить политику обработки ПДн?

Политика составляется под конкретного оператора с учётом его фактической деятельности. Обязательные разделы определены ч. 2 ст. 18.1 ФЗ-152: цели, категории, основания, действия, меры безопасности, права субъектов и порядок их реализации. Шаблон из открытых источников, как правило, не соответствует этим требованиям — в нём отсутствуют реквизиты конкретного оператора, фактические категории ПДн и актуальные правовые основания. Использование чужого шаблона создаёт самостоятельный риск по ч. 3 ст. 13.11 КоАП.

3. Кого назначить ответственным по ст. 22.1?

Ответственным может быть любой сотрудник, имеющий достаточную квалификацию в области законодательства о ПДн, — штатный юрист, специалист по ИБ, HR-директор. Закон не устанавливает требования к должности, но устанавливает требования к квалификации (ч. 4 ст. 22.1 ФЗ-152). Альтернатива — передача функции внешнему DPO-аутсорсеру по договору. Назначение оформляется приказом руководителя организации.

4. Можно ли использовать шаблон политики из интернета?

Нет, если шаблон не адаптирован под конкретного оператора. Политика должна отражать фактическую деятельность: реальные цели обработки, реальные категории ПДн, реальных контрагентов — обработчиков по поручению. Политика с реквизитами другой организации или с несуществующими категориями ПДн нарушает ч. 2 ст. 18.1 ФЗ-152 и создаёт основание для штрафа по ч. 3 ст. 13.11 КоАП (от 30 000 до 60 000 ₽).

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 любое новое согласие на обработку ПДн должно быть оформлено отдельным документом (ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Согласие не может быть частью договора, оферты или пользовательского соглашения. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок действия и способ отзыва. Ранее полученные согласия обратной силы не теряют, но при обновлении форм необходимо привести их к новым требованиям.

6. Что происходит, если РКН выявил нарушения при мониторинге?

По результатам мониторинга регулятор может выдать предписание об устранении нарушений или возбудить дело об административном правонарушении по ст. 13.11 КоАП. Протокол составляется должностным лицом РКН, дело рассматривается мировым судьёй (с 28.12.2025 по ФЗ-508). Наличие предписания и его неисполнение в установленный срок увеличивает риск штрафа и может служить основанием для повторного нарушения с повышенными санкциями.

Итог

Мониторинг РКН сайтов направлен на проверку трёх ключевых элементов: наличие оператора в реестре (ст. 22 ФЗ-152), соответствие политики конфиденциальности требованиям ч. 2 ст. 18.1 ФЗ-152 и корректность согласий субъектов с учётом изменений ФЗ-156 от 24.06.2025. Административная ответственность по ст. 13.11 КоАП в редакции с 30.05.2025 существенно выросла — штрафы за нарушения, выявляемые при мониторинге сайтов, составляют от 30 000 до 700 000 ₽ по каждому составу.

DATUM сопровождает операторов ПДн при подготовке к проверкам РКН, формировании комплекта ОРД и актуализации согласий. Практика по 152-ФЗ ведётся с 2014 года в рамках сети «Ветров и партнёры».

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ (ред. ФЗ-156), КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

14 февраля 2027 года