Перейти к содержанию
аналитика 14 мая 2027 По состоянию на 14 мая 2027

Мораторий на проверки и индикаторы риска

Мораторий на плановые проверки бизнеса не распространяется на Роскомнадзор в полном объёме: РКН сохранил право проводить внеплановые проверки и профилактические визиты, опираясь на утверждённые индикаторы риска нарушения 152-ФЗ.
С 30.05.2025 штрафы по ст. 13.11 КоАП выросли до 500 млн ₽ (ч. 15 оборотный), а неуведомление об утечке влечёт санкцию 1–3 млн ₽ по ч. 11. За неисполнение предписания РКН — отдельный состав.
Если вы юрист компании и получили уведомление о проверке или профвизите — у вас 10 рабочих дней на подготовку документов. Разберём, как работает система в 2025–2027 годах.

Мораторий на проверки, введённый в 2022 году и продлевавшийся ежегодно, создал у многих операторов персональных данных ложное ощущение безопасности. Роскомнадзор не подпадает под общее ограничение в части надзора за 152-ФЗ: регулятор проводит внеплановые проверки по жалобам субъектов, инициирует профилактические визиты и применяет риск-ориентированный подход через систему индикаторов. Юрист, который не разграничивает плановый мораторий и внеплановые полномочия РКН, ставит компанию под удар.

Как мораторий на проверки соотносится с полномочиями РКН?

Мораторий на плановые проверки установлен постановлениями Правительства РФ в рамках антикризисных мер и адресован надзорным органам, действующим по Федеральному закону о государственном контроле. РКН при проверках соблюдения 152-ФЗ опирается на собственные полномочия, закреплённые в ст. 23 ФЗ-152, и специальный порядок контроля. Это означает: плановый мораторий ограничивает некоторые формы надзора, но не блокирует внеплановые проверки, основанные на жалобах субъектов, и профилактические визиты.

Внеплановая проверка по ст. 23 ФЗ-152 инициируется при поступлении в РКН обращения физического лица о нарушении его прав, при получении регулятором сведений об утечке или при истечении срока исполнения предписания. Профилактический визит — более мягкая форма: инспектор приходит, изучает документы и фиксирует нарушения, которые оператор вправе устранить до составления протокола.

«Ст. 23 ФЗ-152 закрепляет право РКН проводить проверки операторов — как плановые, так и внеплановые — с целью контроля соответствия обработки персональных данных требованиям закона. Основания для внеплановой проверки включают жалобу субъекта, истечение срока предписания и инициативу РКН при наличии сведений о нарушении.»

Практически это означает, что оператор, имеющий жалобу в РКН от хотя бы одного субъекта, может получить внеплановую проверку вне зависимости от действия моратория. По данным РКН, в 2024 году регулятор зафиксировал 135 случаев утечек и более 710 млн скомпрометированных записей. Значительная часть внеплановых проверок инициирована именно по следам инцидентов.

Получили уведомление о проверке РКН или профвизите?

Если вы юрист компании и РКН направил уведомление о проверке — у вас, как правило, 10 рабочих дней на подготовку документов. Любая неподготовленная позиция на этом этапе сужает возможности при оспаривании предписания. Юристы DATUM сопроводят проверку, подготовят документы и представят интересы перед инспектором.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие индикаторы риска использует РКН для внеплановых проверок?

Риск-ориентированный подход РКН опирается на перечень индикаторов риска нарушения обязательных требований, утверждённый приказом Роскомнадзора. Индикатор — это формализованный признак, при выявлении которого регулятор получает основание для внепланового контрольного мероприятия без предварительного уведомления оператора.

К наиболее значимым индикаторам относятся следующие.

  • Отсутствие оператора в реестре операторов персональных данных при наличии сайта, собирающего данные пользователей (нарушение ст. 22 ФЗ-152; уведомление подаётся через Приказ РКН №180 от 28.10.2022).
  • Появление данных из базы оператора в открытом доступе или в даркнете — фиксируется мониторинговыми системами РКН.
  • Поступление трёх и более жалоб субъектов на одного оператора в течение одного года.
  • Неисполнение ранее выданного предписания об устранении нарушений в установленный срок.
  • Отсутствие на сайте оператора политики обработки персональных данных, предусмотренной ч. 2 ст. 18.1 ФЗ-152.
  • Трансграничная передача персональных данных без уведомления РКН (ст. 12 ФЗ-152).

При выявлении индикатора регулятор вправе инициировать документарную или выездную внеплановую проверку либо профилактический визит. Профвизит формально носит рекомендательный характер, однако выявленные в его ходе нарушения фиксируются и могут стать основанием для последующей проверки.

«Ст. 18.1 ФЗ-152 обязывает оператора опубликовать документ, определяющий политику обработки персональных данных, обеспечить к нему неограниченный доступ и назначить лицо, ответственное за организацию обработки. Невыполнение этого требования образует состав ч. 3 ст. 13.11 КоАП — штраф для юридического лица 30 000–60 000 ₽.»

Что проверяет инспектор РКН и какие нарушения выявляются чаще всего?

На проверке инспектор запрашивает документы, подтверждающие выполнение требований ФЗ-152: уведомление о намерении обрабатывать ПДн (ст. 22), политику обработки (ст. 18.1), согласия субъектов (ст. 9), приказ о назначении ответственного (ст. 22.1), договоры поручения с подрядчиками (п. 3 ст. 6), журналы обращений субъектов и документы об уровне защищённости информационной системы (ПП РФ №1119).

По практике проверок DATUM, наиболее частые нарушения, фиксируемые инспекторами, следующие.

  • Несоответствие фактической обработки ПДн сведениям в реестре — компания расширила перечень целей или категорий данных, не обновив уведомление.
  • Отсутствие отдельного согласия работников по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие, включённое в трудовой договор или кадровое соглашение, более не соответствует требованиям.
  • Отсутствие договора поручения обработки с IT-подрядчиком, облачным провайдером или маркетинговым агентством.
  • Политика конфиденциальности на сайте не содержит обязательных разделов: цели обработки, правовые основания, сроки хранения, порядок реализации прав субъектов.
  • Отсутствие регламента реагирования на инциденты — при проверке после утечки это прямое основание для штрафа по ч. 11 ст. 13.11 КоАП (1–3 млн ₽) за нарушение требований Приказа РКН №187.

Что подготовить к проверке РКН

  • Выписку из реестра операторов ПДн с pd.rkn.gov.ru — проверить актуальность целей, категорий и получателей.
  • Актуальную политику обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликованную на сайте.
  • Отдельные согласия работников по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025).
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
  • Договоры поручения обработки ПДн с каждым подрядчиком, имеющим доступ к данным (п. 3 ст. 6 ФЗ-152), и регламент реагирования на инциденты по Приказу РКН №187.

Если вы юрист компании и проверяете готовность ОРД к приходу инспектора — с 01.09.2025 требования к согласиям обновились по ФЗ-156. Старые формы, включённые в договор, не соответствуют закону. Каждое такое согласие — основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

Как применяются санкции: три типичные ситуации

Ситуация 1. Компания не уведомила РКН о намерении обрабатывать ПДн. Индикатор риска — сайт собирает данные пользователей, оператора нет в реестре. РКН инициирует проверку. Доказательства: скриншот формы регистрации, отсутствие в реестре. Вероятный исход: протокол по ч. 10 ст. 13.11 КоАП — штраф для юрлица 100 000–300 000 ₽. Стратегия: немедленно подать уведомление через форму Приказа РКН №180, использовать это как смягчающее обстоятельство при оспаривании протокола. Для микропредприятий при первичности — возможна замена на предупреждение по ст. 4.1.1 КоАП.

Ситуация 2. Внеплановая проверка по следам утечки. Данные оператора появились в даркнете — индикатор сработал. Инспектор запросил журнал инцидентов и уведомление в РКН по Приказу №187. Уведомление не подавалось. Доказательства: отсутствие записей в журнале, пустой кабинет на pd.rkn.gov.ru. Вероятный исход: протокол по ч. 11 ст. 13.11 КоАП — 1–3 млн ₽ за неуведомление об инциденте, плюс отдельный протокол по факту самой утечки (ч. 12–14 в зависимости от числа субъектов). Стратегия: немедленно подать запоздалое уведомление, задокументировать меры по устранению, подготовить позицию об отсутствии умысла.

Ситуация 3. Неисполнение предписания РКН. По результатам профвизита выдано предписание устранить нарушения в 30-дневный срок. Оператор не успел переработать согласия. Доказательства: копия предписания, истечение срока. Вероятный исход: повторная проверка и отдельный состав КоАП за неисполнение предписания контрольного органа. Стратегия: до истечения срока направить в РКН частичный отчёт об исполнении и обоснование причин задержки — это снижает вероятность немедленного возбуждения дела.

Кейс 1. Производственная компания (Уральский ФО, лето 2025) получила профилактический визит РКН — индикатор сработал по отсутствию политики на сайте. Инспектор выявил также несоответствие реестра: компания начала передавать ПДн работников в зарплатный банк, не внеся изменение в уведомление. По результатам визита выдано предписание. Юрист компании с участием DATUM подготовил пакет изменений и направил отчёт об исполнении в установленный срок. Протокол составлен не был — предписание исполнено в срок.

Кейс 2. Ритейлер (Центральный ФО, осень 2025) получил три жалобы субъектов в РКН на невыдачу информации об обработке в ответ на запросы. Индикатор — три обращения за год — сработал. Внеплановая проверка выявила отсутствие журнала обращений субъектов и нарушение 10-рабочедневного срока ответа по ст. 20 ФЗ-152. Юрист компании обратился к DATUM после получения протокола по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽ для юрлица). В арбитражном суде штраф заменён на предупреждение по ст. 4.1.1 КоАП с учётом первичности и устранения нарушений.

Услуги DATUM по теме

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка включает три направления. Первое — документальное: актуальное уведомление в реестре, политика обработки, согласия субъектов в соответствии с требованиями ст. 9 ФЗ-152 после 01.09.2025, приказ о назначении ответственного по ст. 22.1, договоры поручения с подрядчиками по п. 3 ст. 6 ФЗ-152. Второе — процессуальное: журнал обращений субъектов, регламент реагирования на инциденты по Приказу РКН №187. Третье — техническое: документация об уровне защищённости ИСПДн по ПП РФ №1119. Рекомендуется провести внутренний аудит не позднее чем за 30 дней до ожидаемой проверки.

2. Какие индикаторы риска у РКН?

РКН утвердил перечень индикаторов нарушения обязательных требований. К ключевым относятся: отсутствие оператора в реестре при наличии сайта, собирающего данные; появление базы данных оператора в открытом доступе или даркнете; три и более жалобы субъектов за год; неисполнение предписания; отсутствие политики обработки на сайте; трансграничная передача данных без уведомления РКН по ст. 12 ФЗ-152. При срабатывании любого из этих индикаторов регулятор вправе инициировать внеплановую проверку без предварительного уведомления оператора.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Оператор обязан представить запрошенные документы в установленный срок — отказ или уклонение квалифицируются как воспрепятствование проверке. Это влечёт самостоятельную административную ответственность по КоАП вне зависимости от наличия нарушений 152-ФЗ. Единственное правомерное действие — обжаловать основание для проверки (например, нарушение порядка уведомления), одновременно исполняя запрос.

4. Что грозит за невыполнение предписания РКН?

Неисполнение предписания в установленный срок является самостоятельным основанием для проведения внеплановой проверки и может повлечь ответственность по ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽ для юрлица за невыполнение требования об уточнении, блокировании или уничтожении ПДн). При повторном неисполнении применяется ч. 5.1 — 300 000–500 000 ₽. Помимо этого, неисполнение предписания — отдельное нарушение по КоАП, регулирующему воспрепятствование контролю.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП переданы на рассмотрение мировым судьям. Постановление мирового судьи обжалуется в районный суд. Если дело рассматривалось арбитражным судом (для периода с 30.05.2025 по 27.12.2025) — в апелляционную инстанцию арбитражного суда. При оспаривании важно применять ст. 4.1 КоАП (смягчающие обстоятельства) и для малого бизнеса — ст. 4.1.1 (замена штрафа предупреждением при первичном нарушении и отсутствии вреда). Оборотные составы (ч. 15, ч. 18 ст. 13.11) замене на предупреждение не подлежат.

Итог

Мораторий на плановые проверки не защищает оператора от внеплановых мероприятий РКН и профилактических визитов, основанных на индикаторах риска. С 30.05.2025 санкции по ст. 13.11 КоАП существенно выросли: от 30 000 ₽ за отсутствие политики на сайте до 500 млн ₽ оборотного штрафа при повторной утечке. Система индикаторов позволяет РКН обнаруживать нарушения до получения жалоб — через мониторинг реестра, сайтов и даркнета.

DATUM сопровождает операторов при проверках РКН, готовит документацию и защищает интересы в арбитраже по ст. 13.11 КоАП. Практика охватывает все стадии: от превентивного аудита до обжалования постановления в суде.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.