аналитика 27 мая 2027 По состоянию на 27 мая 2027

Опрос работников при проверке РКН

Опрос работников — стандартный инструмент Роскомнадзора при выездной проверке. Инспектор вправе задавать вопросы сотрудникам, которые фактически обрабатывают персональные данные, и фиксировать ответы в протоколе.

Неподготовленный ответ работника может стать доказательством нарушения ч. 1 или ч. 2 ст. 13.11 КоАП — штраф для юрлица до 700 000 ₽. При повторности — до 1 500 000 ₽ по ч. 2.1. Если юрист компании не присутствует на опросе, протокол составляется без правовой позиции оператора.

→ Если ваша компания получила уведомление о проверке или ожидает профвизита РКН — юристы DATUM помогут подготовить работников и сопроводить проверку от начала до постановления.

Роскомнадзор вправе проводить плановые и внеплановые проверки операторов персональных данных, а с 2023 года — профилактические визиты по индикаторам риска. В ходе выездных мероприятий инспекторы не ограничиваются изучением документов: они опрашивают работников, чтобы установить, как обработка персональных данных ведётся на практике. Расхождение между тем, что написано в политике, и тем, что описывает сотрудник, — прямая база для протокола. Эта статья разбирает, какие вопросы задаёт РКН, как готовить работников и что делать, если протокол уже составлен.

Какие права у РКН при выездной проверке и откуда берётся опрос работников?

Полномочия Роскомнадзора при проверке операторов персональных данных определены ст. 23 ФЗ-152. Инспектор вправе запрашивать документы, получать объяснения должностных лиц и работников, осматривать помещения и информационные системы. Опрос работников — это получение объяснений в рамках ст. 26.3 КоАП: он не является допросом в уголовно-процессуальном смысле, но сведения из объяснений вносятся в протокол об административном правонарушении и признаются доказательством.

«Ст. 23 ФЗ-152 наделяет РКН правом запрашивать объяснения у лиц, осуществляющих обработку персональных данных. Ст. 26.3 КоАП устанавливает, что объяснения лица, в отношении которого ведётся дело, а также показания свидетелей относятся к доказательствам по делу об административном правонарушении.»

Плановые проверки проводятся на основании ежегодного плана, который публикуется на сайте РКН. Внеплановые — по жалобе субъекта, по поручению прокуратуры или по индикаторам риска, утверждённым Приказом РКН. С 2023 года действует институт профилактического визита: инспектор приходит без составления протокола, разъясняет обязательные требования и фиксирует факты. Отказаться от профвизита оператор не вправе. Мораторий на проверки малого бизнеса, введённый в 2022 году, не распространяется на проверки по 152-ФЗ — они исключены из-под общего моратория.

На практике инспекторы опрашивают: HR-менеджеров — об обработке данных работников; операторов колл-центров — о сборе согласий при звонке; системных администраторов — об организации доступа к информационным системам; маркетологов — о передаче данных в рекламные сервисы. Каждая из этих категорий затрагивает разные нормы ФЗ-152, и неточный ответ создаёт риск по разным частям ст. 13.11 КоАП.

Получили уведомление о проверке РКН — что делать юристу компании в первые 48 часов?

Уведомление о плановой проверке направляется за 3 рабочих дня до начала, внеплановой — за 24 часа. За это время юрист должен проверить актуальность уведомления в реестре операторов, собрать ОРД и подготовить работников к опросу. Неподготовленный сотрудник за 10 минут разговора с инспектором может создать основания для протокола по нескольким частям ст. 13.11 одновременно.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что спрашивают инспекторы РКН и как формируются вопросы к работникам?

Вопросы строятся вокруг четырёх блоков: наличие оснований обработки, соответствие объёма данных целям, организация защиты и порядок реагирования на обращения субъектов. Ниже — типовые формулировки по каждому блоку.

Основания обработки. Инспектор спрашивает: «На каком основании вы собираете паспортные данные клиента?», «Где хранятся подписанные согласия?», «Кто проверяет, что согласие соответствует требованиям ст. 9 ФЗ-152?». Если работник называет основание, которое не указано в уведомлении РКН (Приказ №180) или в политике обработки, — инспектор фиксирует несоответствие. С 01.09.2025 согласие должно быть отдельным документом (ФЗ-156 от 24.06.2025): если сотрудник говорит, что согласие «включено в договор», — это готовый эпизод для протокола по ч. 2 ст. 13.11 КоАП.

Объём и цели. Вопросы: «Зачем вам дата рождения покупателя при оформлении заказа?», «Куда передаются данные после закрытия сделки?», «Есть ли у вас договор с подрядчиком, которому передаёте данные?». Ст. 5 ФЗ-152 закрепляет принцип минимизации: объём данных должен соответствовать заявленным целям. Передача подрядчику без поручения на обработку (п. 3 ст. 6 ФЗ-152) — нарушение, которое работник легко раскрывает, не подозревая об этом.

Организация защиты. Вопросы к сисадмину или CISO: «Есть ли у вас уровень защищённости ИСПДн?», «Как реализованы требования Приказа ФСТЭК №21?», «Кто имеет доступ к базе клиентов и есть ли журнал?». ПП РФ №1119 устанавливает четыре уровня защищённости — УЗ-1...УЗ-4. Если работник не знает, к какому уровню отнесена система, — это индикатор формального подхода к защите данных.

Реагирование на обращения. Вопросы к юристу или HR: «Поступали ли обращения от субъектов за последний год?», «В какой срок вы отвечаете на запрос об уничтожении данных?», «Есть ли журнал обращений?». Ст. 20 ФЗ-152 устанавливает срок ответа субъекту — 10 рабочих дней с возможностью продления ещё на 5. Если работник называет «месяц» или «когда успеем» — инспектор фиксирует нарушение ч. 4 ст. 13.11 КоАП.

Что подготовить перед визитом инспектора РКН

Актуальная выписка из реестра операторов с pd.rkn.gov.ru — проверьте, совпадают ли цели и категории данных с фактической обработкой.
Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте, дата актуальна.
Пакет согласий работников в редакции с 01.09.2025 (отдельный документ по ФЗ-156) — не в трудовом договоре.
Договоры поручения обработки со всеми подрядчиками, которым передаются персональные данные (п. 3 ст. 6 ФЗ-152).
Журнал обращений субъектов за последние 12 месяцев с датами и сроками ответов.

Как подготовить работников к опросу при проверке РКН?

Подготовка строится на трёх принципах: каждый сотрудник знает только то, что относится к его функции; ответы опираются на документы, а не на память; спорные вопросы переадресуются юристу, присутствующему на проверке.

Инструктаж по ролям. HR-менеджер должен знать: на каком основании собираются данные работников (ст. 86–88 ТК РФ плюс согласие), где хранятся личные дела, кто имеет доступ, как реагируют на запрос об уничтожении данных после увольнения. Оператор колл-центра — как фиксируется согласие при звонке, что происходит с записью разговора, куда она передаётся. Системный администратор — какой уровень защищённости присвоен системе, как разграничены права доступа, есть ли журнал событий. Маркетолог — какие сервисы получают данные пользователей, оформлена ли трансграничная передача, есть ли уведомление РКН по ст. 12 ФЗ-152.

Документальная основа ответов. Работник не должен говорить «я думаю» или «обычно мы делаем так». Каждый ответ должен быть подкреплён документом: «согласие — в папке №3», «политика — на сайте», «поручение на обработку — в договоре с подрядчиком от такой-то даты». Если документа нет — работник говорит: «По этому вопросу готов предоставить ответ письменно через юриста компании».

Присутствие юриста. Оператор вправе назначить представителя, который присутствует при опросе. Задача представителя — не отвечать за работника, а фиксировать содержание вопросов и ответов, заявлять ходатайства и возражения при составлении протокола. Если инспектор формулирует вопрос некорректно или выходит за рамки предмета проверки — юрист заявляет об этом письменно в листе ознакомления с протоколом.

Если юрист компании не был на предыдущей проверке РКН и работники давали объяснения самостоятельно — высок риск, что протокол уже содержит невыгодные для оператора формулировки. DATUM проверяет содержание протоколов и выстраивает позицию для обжалования предписания или постановления.

Защитить от штрафа по ст. 13.11

Типовые сценарии: как опрос работника превращается в протокол

Сценарий 1. HR-менеджер сообщает, что согласие — часть трудового договора. Ситуация: инспектор спрашивает, как оформлено согласие работников на обработку биометрии в СКУД. Сотрудник отвечает, что согласие «прописано в трудовом договоре в разделе о персональных данных». Доказательства: объяснение занесено в протокол; инспектор запрашивает шаблон трудового договора и убеждается, что отдельного документа нет. Вероятный исход: протокол по ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽ за обработку без письменного согласия надлежащей формы. С 01.09.2025 (ФЗ-156) нарушение очевидно: согласие обязано быть отдельным документом. Стратегия: до проверки переоформить все согласия на отдельные документы; на опросе HR ссылается только на актуальный шаблон с датой после 01.09.2025.

Сценарий 2. Системный администратор не знает уровня защищённости ИСПДн. Ситуация: инспектор при профвизите спрашивает, к какому уровню защищённости отнесена информационная система, обрабатывающая данные клиентов. Сотрудник отвечает: «Это определяет руководство, я не в курсе». Доказательства: отсутствие приказа об установлении УЗ в запрошенных документах подтверждает слова сотрудника. Вероятный исход: предписание об устранении нарушения ст. 19 ФЗ-152; при повторной проверке — протокол по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽). Стратегия: до проверки оформить приказ об установлении уровня защищённости по ПП РФ №1119 и ознакомить с ним сисадмина.

Сценарий 3. Маркетолог называет сторонние сервисы, не включённые в уведомление РКН. Ситуация: инспектор спрашивает, какие внешние сервисы получают данные пользователей сайта. Маркетолог перечисляет: «Google Analytics, несколько рекламных пикселей, CRM на зарубежном хостинге». Доказательства: проверка уведомления по Приказу РКН №180 показывает, что трансграничная передача не задекларирована. Вероятный исход: протокол по ч. 1 ст. 13.11 за обработку, не предусмотренную уведомлением, плюс предписание о направлении уведомления о трансграничной передаче по ст. 12 ФЗ-152. Стратегия: провести аудит всех сторонних сервисов до проверки, обновить уведомление в реестре операторов, при необходимости направить уведомление о трансграничной передаче.

Что грозит за нарушения, выявленные при проверке, и как обжаловать постановление?

По итогам проверки РКН выдаёт предписание об устранении нарушений и возбуждает дело об административном правонарушении. Постановление по ст. 13.11 КоАП с 30.05.2025 рассматривают мировые судьи (ФЗ-508 от 28.12.2025 вернул им подсудность после периода арбитражных судов). Для юридических лиц актуальны следующие диапазоны:

«Ч. 1 ст. 13.11 КоАП (обработка без надлежащего основания) — 150 000–300 000 ₽ для юрлица. Ч. 2 (отсутствие письменного согласия) — 300 000–700 000 ₽. Ч. 2.1 (повторное нарушение по ч. 2) — 1 000 000–1 500 000 ₽. Ч. 10 (неуведомление РКН о намерении обрабатывать) — 100 000–300 000 ₽. Ч. 15 (оборотный штраф при повторной утечке) — 1–3% годовой выручки, но не менее 20 000 000 ₽ и не более 500 000 000 ₽. Все суммы — в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024).»

Постановление обжалуется в суд вышестоящей инстанции в течение 10 суток с момента вручения. При обжаловании применимы: ст. 4.1 КоАП — смягчающие обстоятельства (устранение нарушения до рассмотрения дела, содействие РКН, первичность); ст. 4.1.1 КоАП — замена штрафа предупреждением для микропредприятий и субъектов МСП при отсутствии вреда и первичности нарушения. Ст. 4.1.1 не применяется к ч. 15 и ч. 18 ст. 13.11 (оборотные составы).

Предписание об устранении нарушений выдаётся с конкретным сроком. Невыполнение в срок — новое нарушение: ст. 19.5 КоАП, штраф до 500 000 ₽ для юрлица. Если предписание содержит незаконные требования — его обжалуют отдельно в арбитражном суде по нормам КАС РФ в течение 3 месяцев.

Из практики: IT-компания в Центральном ФО в начале 2026 года получила протокол по ч. 1 ст. 13.11 после того, как системный администратор на профвизите не смог назвать уровень защищённости ИСПДн. Штраф составил 150 000 ₽ (минимум по ч. 1). При обжаловании суд применил ст. 4.1 КоАП, учёл, что нарушение было устранено до рассмотрения дела и что компания относится к субъектам МСП, и снизил штраф до 75 000 ₽. Присутствие юриста при опросе и готовая правовая позиция позволили минимизировать размер санкции.

Торговая компания в Северо-Западном ФО осенью 2025 года получила предписание после внеплановой проверки: маркетолог раскрыл факт передачи данных в зарубежную CRM без уведомления о трансграничной передаче по ст. 12 ФЗ-152. Компания направила уведомление в РКН, расторгла договор с зарубежным подрядчиком и перешла на отечественную CRM. Предписание было исполнено в срок, дело об административном правонарушении прекращено в связи с устранением нарушения до вынесения постановления.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, присутствие инспектора, представление интересов.
Аудит соответствия 152-ФЗ — проверка документов и процессов до визита РКН.
Защита при штрафе в арбитраже — обжалование протокола и постановления по ст. 13.11 КоАП.

Частые вопросы

1. Как подготовиться к проверке РКН?

Начните с проверки уведомления в реестре операторов на pd.rkn.gov.ru: цели, категории данных и перечень действий должны совпадать с фактической обработкой. Обновите политику конфиденциальности по ч. 2 ст. 18.1 ФЗ-152, переоформите согласия работников в отдельные документы (требование ФЗ-156 с 01.09.2025), проверьте наличие договоров поручения обработки со всеми подрядчиками. Проведите инструктаж: каждый сотрудник, который может быть опрошен, должен знать свою функцию в обработке данных и ссылаться только на документы.

2. Какие индикаторы риска у РКН для назначения внеплановой проверки?

Индикаторы риска утверждены подзаконным актом РКН и включают: факт утечки персональных данных оператора (публикация в даркнете, уведомление в НКЦКИ), жалоба субъекта персональных данных, отсутствие оператора в реестре при наличии публичного сайта, осуществляющего сбор данных, а также отсутствие политики обработки на сайте. Наличие хотя бы одного индикатора даёт РКН основание для внеплановой проверки без предварительного уведомления прокуратуры.

3. Можно ли отказаться отвечать на вопросы инспектора РКН?

Работник не обязан давать объяснения, однако отказ фиксируется в протоколе и может быть расценён как воспрепятствование проверке. Корректная позиция: работник отвечает на вопросы в рамках своей компетенции и ссылается на документы. Вопросы за пределами компетенции переадресуются представителю оператора — юристу, присутствующему на проверке. Такой подход не нарушает порядок проведения проверки и при этом минимизирует риск случайного раскрытия невыгодной информации.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания в установленный срок образует состав по ст. 19.5 КоАП: для юридических лиц штраф до 500 000 ₽, для должностных лиц — до 50 000 ₽. Если нарушение, указанное в предписании, одновременно образует состав ст. 13.11 КоАП, штрафы суммируются. Систематическое неисполнение предписаний РКН является отягчающим обстоятельством при рассмотрении дела об административном правонарушении по ст. 4.3 КоАП.

5. Куда обжаловать постановление РКН по ст. 13.11 КоАП?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП снова рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 суток. Если постановление вынесено арбитражным судом (за период с 30.05.2025 по 27.12.2025) — апелляция в арбитражный суд апелляционной инстанции в течение 10 дней. При обжаловании заявляйте ст. 4.1 КоАП (смягчающие), при наличии оснований — ст. 4.1.1 КоАП (замена на предупреждение для МСП). Оборотные составы (ч. 15, ч. 18) замене на предупреждение не подлежат.

Итог

Опрос работников при проверке РКН — управляемый риск при условии, что оператор провёл инструктаж, актуализировал ОРД и обеспечил присутствие юриста. Неподготовленный ответ сотрудника создаёт доказательную базу для протокола быстрее, чем любая ошибка в документах. Расхождение между политикой и словами работника — стандартная находка инспектора при выездной проверке.

DATUM сопровождает плановые и внеплановые проверки РКН, готовит работников к опросу, представляет интересы оператора при составлении протокола и обжалует постановления по ст. 13.11 КоАП в суде с применением ст. 4.1 и 4.1.1 КоАП.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.