Перейти к содержанию
аналитика 28 апреля 2027 По состоянию на 28 апреля 2027

Мониторинг сайтов РКН: автоматическая проверка

Роскомнадзор ведёт автоматизированный мониторинг сайтов операторов персональных данных: наличие политики конфиденциальности, реквизитов уведомления в реестре операторов и формы согласия.
Индикатор риска, выявленный системой мониторинга, запускает внеплановую проверку без предупреждения. По итогам — предписание, протокол по ст. 13.11 КоАП или передача материалов в суд.
Если вы юрист и ведёте комплаенс по 152-ФЗ — проверьте, попал ли сайт компании в зону видимости РКН, прежде чем регулятор сделает это сам. →

С 2023 года Роскомнадзор использует автоматизированные инструменты мониторинга сайтов в рамках системы контроля операторов персональных данных. Система сопоставляет параметры сайта с индикаторами риска, утверждёнными Приказом РКН. При совпадении — формируется основание для внеплановой проверки. В 2024 году РКН зафиксировал более 135 случаев компрометации баз данных и свыше 710 млн записей, при этом значительная часть нарушений была выявлена именно в ходе дистанционного мониторинга, а не по жалобам субъектов. Для юриста, отвечающего за соответствие 152-ФЗ, понимание логики автоматической проверки — это рабочий инструмент управления рисками, а не теоретический вопрос.

Как устроена система автоматического мониторинга сайтов РКН?

Роскомнадзор формирует перечень индикаторов риска нарушения обязательных требований в сфере персональных данных. Индикаторы утверждены нормативным актом и применяются при организации как плановых, так и внеплановых проверок по правилам надзора на основе оценки рисков причинения вреда. Перечень регулярно актуализируется.

Автоматизированная система сканирует публичную часть сайта оператора и проверяет несколько групп параметров. Первая — наличие политики обработки персональных данных в открытом доступе (обязанность по ч. 2 ст. 18.1 ФЗ-152). Вторая — соответствие реквизитов политики данным в реестре операторов на pd.rkn.gov.ru (уведомление по ст. 22 ФЗ-152). Третья — наличие форм сбора ПДн на сайте при отсутствии механизма получения согласия в соответствии со ст. 9 ФЗ-152. Четвёртая — признаки трансграничной передачи данных через сторонние сервисы аналитики и рекламы без уведомления РКН (ст. 12 ФЗ-152).

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении осуществлять обработку ПДн до начала обработки. Ч. 10 ст. 13.11 КоАП (в ред. с 30.05.2025) — неуведомление или несвоевременное уведомление — штраф для юрлица от 100 000 до 300 000 рублей.»

Система мониторинга интегрирована с реестром операторов: если организация обрабатывает ПДн через сайт, но не включена в реестр, индикатор срабатывает немедленно. Если уведомление есть, но данные в нём не соответствуют фактической обработке — это отдельный индикатор. По итогам автоматической проверки формируется карточка риска оператора, которая служит основанием для решения о проведении профилактического визита или внеплановой проверки.

Плановые и внеплановые проверки: чем отличается логика реагирования?

Плановые проверки РКН включаются в сводный план, который публикуется на сайте rkn.gov.ru и на Едином портале прокуратуры. С 2022 года действует мораторий на плановые проверки субъектов малого предпринимательства — он ежегодно продлевался, при этом крупный и средний бизнес под мораторий не подпадал. Юрист обязан уточнять актуальный статус моратория на дату проверки: условия и исключения периодически меняются постановлениями Правительства РФ.

Внеплановая проверка возможна без согласования с прокуратурой при наличии утверждённого индикатора риска. Это принципиально меняет соотношение сил: оператор не получает предварительного уведомления за 24 часа, как при плановой проверке, а узнаёт о проверке в момент её начала или получения требования о предоставлении документов. Профилактический визит формально является мерой превентивного контроля, однако материалы, собранные в ходе профвизита, могут стать основанием для назначения внеплановой проверки.

«Ст. 18.1 ФЗ-152, ч. 2 — оператор обязан опубликовать политику обработки ПДн. Ч. 3 ст. 13.11 КоАП (в ред. с 30.05.2025) — отсутствие политики — штраф для юрлица от 30 000 до 60 000 рублей.»

Дистанционная проверка — наиболее распространённый формат в 2024–2025 годах. Инспектор запрашивает документы и объяснения в электронном виде, не выезжая на объект. Срок ответа на требование о предоставлении документов — как правило, 10 рабочих дней. Для юриста это означает, что весь пакет ОРД должен быть готов заранее, а не формироваться в ответ на запрос.

Получили требование о представлении документов от РКН?

Для юриста, который впервые столкнулся с запросом регулятора, критична скорость: у вас есть ограниченное время на сбор документов и выработку позиции. Ошибка в ответе на первый запрос формирует доказательную базу против оператора в дальнейшем. Юристы DATUM специализируются на сопровождении проверок РКН: от первого запроса до обжалования предписания.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие индикаторы риска РКН применяет на практике?

Перечень индикаторов риска нарушения обязательных требований в области персональных данных утверждён отдельным приказом РКН. Анализ правоприменительной практики за 2023–2025 годы позволяет выделить группы индикаторов, которые наиболее часто становятся триггером проверки для операторов, работающих через сайт.

Первая группа — отсутствие или несоответствие уведомления в реестре. Если компания собирает ПДн через форму на сайте, но не включена в реестр операторов, это индикатор срабатывает автоматически при сканировании. Аналогичный результат — если цели обработки, указанные в уведомлении, не охватывают фактические операции с данными.

Вторая группа — отсутствие или некорректная политика конфиденциальности. Система проверяет наличие документа, доступного с главной страницы или из подвала сайта. Частые нарушения: политика существует, но не содержит обязательных разделов по ч. 2 ст. 18.1 ФЗ-152; политика датирована до 2020 года и не отражает актуальные требования; ссылка на политику ведёт на 404.

Третья группа — признаки трансграничной передачи без уведомления. Наличие на сайте счётчиков Google Analytics 4, Meta Pixel, Hotjar и аналогичных сервисов, собирающих поведенческие данные и передающих их на зарубежные серверы, фиксируется как возможное нарушение ч. 5 ст. 18 и ст. 12 ФЗ-152. РКН квалифицирует IP-адрес как персональный идентификатор при наличии дополнительных атрибутов.

Четвёртая группа — жалобы субъектов. Обращение субъекта в РКН с жалобой на нарушение его прав запускает внеплановую проверку вне зависимости от результатов автоматического мониторинга. Наиболее частые поводы: отказ оператора уничтожить ПДн по требованию субъекта, отсутствие ответа на запрос в установленный срок (10 рабочих дней по ст. 20 ФЗ-152), невозможность отозвать согласие.

Что проверить на сайте до прихода РКН

  • Уведомление в реестре операторов pd.rkn.gov.ru: наличие, актуальность целей и категорий ПДн, совпадение с фактической обработкой
  • Политика обработки ПДн: доступна с любой страницы сайта, содержит все обязательные разделы по ч. 2 ст. 18.1 ФЗ-152, обновлена после 30.05.2025
  • Формы сбора ПДн: каждая форма сопровождается механизмом получения согласия по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156)
  • Сторонние сервисы аналитики и рекламы: проверить список, оценить признаки трансграничной передачи, при необходимости — уведомить РКН по ст. 12
  • Журнал обращений субъектов: входящие запросы за последние 12 месяцев зафиксированы, сроки ответа соблюдены

Типичные сценарии: как юрист оказывается в зоне риска

Сценарий 1. Сайт в реестре, но политика устарела. Компания уведомила РКН в 2019 году и получила включение в реестр. С тех пор сайт несколько раз переделывался, появились новые формы сбора данных, подключены сторонние сервисы. Политика конфиденциальности не обновлялась. При автоматическом сканировании система фиксирует расхождение между содержанием политики и фактическими операциями — индикатор риска. РКН направляет требование о предоставлении документов. Юрист компании получает запрос и обнаруживает, что актуального пакета ОРД нет. Предписание об устранении нарушений выносится по ч. 3 ст. 13.11 КоАП (отсутствие актуальной политики) и ч. 1 ст. 13.11 (обработка за пределами целей уведомления). Суммарный штраф — в диапазоне до 360 000 рублей за первичное нарушение, плюс предписание с обязательным сроком исполнения.

Сценарий 2. Уведомление не подавалось — жалоба субъекта. Небольшой интернет-магазин собирает имена, телефоны и адреса доставки, но не включён в реестр операторов. Бывший клиент направил жалобу в РКН с требованием уничтожить его данные. РКН инициирует внеплановую проверку, в ходе которой выявляется не только отсутствие ответа субъекту, но и отсутствие уведомления в реестре. По итогу — протоколы по ч. 4 ст. 13.11 (нарушение прав субъекта) и ч. 10 ст. 13.11 (неуведомление о намерении обрабатывать). Для юриста, сопровождающего компанию, это означает одновременную защиту по двум составам и работу с требованием об устранении нарушений в сжатые сроки.

Сценарий 3. Предписание выдано — срок истёк. Оператор получил предписание РКН по итогам проверки, но не устранил нарушения в установленный срок. Неисполнение предписания — самостоятельное основание для нового протокола и штрафа. При повторном нарушении по ч. 1 ст. 13.11 КоАП применяется ч. 1.1 — штраф для юрлица от 300 000 до 500 000 рублей. Юрист, который ведёт этот файл, несёт репутационный риск: исполнение предписания должно быть задокументировано и подтверждено регулятору до истечения срока.

Если вы юрист и уже получили предписание РКН — каждый день без подтверждённого устранения нарушения увеличивает риск повторного протокола. Юристы DATUM проведут аудит и подготовят доказательную базу для ответа регулятору.

Защитить от штрафа 13.11

Как это применяется на практике

Кейс 1. Юрист крупного ритейлера (Центральный ФО, осень 2024) обратился в DATUM после получения требования РКН о предоставлении документов в рамках дистанционной проверки. Поводом послужил индикатор риска: на сайте компании обнаружены формы сбора ПДн без корректного механизма согласия и с устаревшей политикой. В течение 10 рабочих дней был подготовлен полный ответ с актуализированным пакетом ОРД, обновлённым уведомлением в реестре и подтверждением устранения нарушений. По итогу проверки вынесено предписание с отметкой об исполнении — штраф не назначен. Ключевым фактором стала скорость реагирования и документальное подтверждение каждого исправленного нарушения.

Кейс 2. В деле Почты России (2025, кейс case_S3_pochta из реестра) внеплановая проверка была инициирована по факту утечки через внутренний сервис отслеживания почтовых отправлений. Дело квалифицировано по ч. 1 ст. 13.11 КоАП (старая редакция, поскольку инцидент произошёл до 30.05.2025). Штраф составил 150 000 рублей. Показательно, что компания федерального масштаба получила минимальный штраф именно потому, что утечка произошла до вступления в силу новых норм ФЗ-420. Аналогичная ситуация после 30.05.2025 повлекла бы применение ч. 12 ст. 13.11 — штраф от 3 000 000 рублей. Для юриста это наглядная иллюстрация разрыва в санкциях между редакциями закона.

Услуги DATUM по теме

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка включает три направления. Первое — реестр операторов: проверьте наличие уведомления на pd.rkn.gov.ru, актуальность целей, категорий ПДн и сведений об обработчиках; при расхождении — подайте уведомление об изменении сведений по Приказу РКН №180. Второе — ОРД: политика обработки ПДн, согласия субъектов (в редакции с 01.09.2025), приказ о назначении ответственного по ст. 22.1 ФЗ-152, регламент реагирования на инциденты. Третье — журнал обращений субъектов: все входящие запросы за 12 месяцев должны быть зафиксированы с датой и результатом ответа в пределах 10 рабочих дней.

2. Какие индикаторы риска применяет РКН?

Утверждённый перечень индикаторов риска охватывает несколько типовых ситуаций: отсутствие или недостоверность сведений в реестре операторов, отсутствие политики обработки ПДн в открытом доступе, наличие на сайте форм сбора данных без корректного механизма согласия по ст. 9 ФЗ-152, признаки трансграничной передачи через сторонние сервисы без уведомления по ст. 12 ФЗ-152, а также поступление жалоб субъектов. Каждый выявленный индикатор может служить основанием для внеплановой проверки без предварительного согласования с прокуратурой.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Оператор обязан предоставить запрошенные документы и объяснения в установленный срок. Уклонение от взаимодействия с регулятором само по себе является нарушением и фиксируется как отягчающее обстоятельство при составлении протокола. Если запрос содержит требования, выходящие за пределы полномочий инспектора или предмета проверки, их можно оспорить в рамках взаимодействия с регулятором — но не путём игнорирования. Грамотная позиция строится на полном и своевременном ответе с правовыми оговорками, а не на молчании.

4. Что грозит за невыполнение предписания РКН?

Неисполнение предписания в установленный срок влечёт составление нового административного протокола. При этом нарушение квалифицируется как повторное, что применительно к ч. 1 ст. 13.11 КоАП означает применение ч. 1.1 — штраф для юрлица от 300 000 до 500 000 рублей. Помимо этого, факт неисполнения предписания учитывается при оценке рисков назначения оборотного штрафа по ч. 15 ст. 13.11 КоАП при повторном нарушении по составам утечки. Срок исполнения предписания — как правило, 30 рабочих дней, если иное не указано в самом документе.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП переданы мировым судьям. Постановление мирового судьи обжалуется в районный суд, затем — в кассационную инстанцию. Для юрлиц и ИП часть дел может рассматриваться арбитражными судами в зависимости от субъектного состава и квалификации. При обжаловании используются основания: нарушение процедуры проверки, ненадлежащее оформление протокола, малозначительность нарушения, возможность замены штрафа на предупреждение по ст. 4.1.1 КоАП для субъектов малого и среднего предпринимательства при первичном нарушении. Последнее основание не применяется к оборотным составам по ч. 15 и ч. 18 ст. 13.11.

Итог

Автоматический мониторинг сайтов РКН — это не будущая угроза, а действующий инструмент выявления нарушений. Индикаторы риска охватывают реестр операторов, политику ПДн, механизм согласия и признаки трансграничной передачи: именно эти элементы доступны для дистанционного сканирования без выезда инспектора. После 30.05.2025 цена нарушения выросла кратно: ч. 12 ст. 13.11 КоАП — от 3 000 000 рублей за утечку от 1 000 субъектов, повторное нарушение — оборотный штраф до 500 000 000 рублей по ч. 15.

DATUM сопровождает операторов на всех стадиях взаимодействия с РКН: от предварительного аудита и актуализации уведомления до представления интересов при проверке и обжалования постановлений в суде. Практика по 152-ФЗ ведётся с 2014 года в рамках сети «Ветров и партнёры».

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

28 апреля 2027 года