аналитика 19 июня 2027 По состоянию на 19 июня 2027

Подача жалобы в РКН через rkn.gov.ru

Жалоба в Роскомнадзор — это официальный инструмент субъекта персональных данных и инструмент проверочного воздействия на оператора. С 30.05.2025 каждая жалоба может стать основанием внеплановой проверки с протоколом по ст. 13.11 КоАП.

Если вы юрист компании и ваша организация получила запрос или уведомление о проверке по жалобе — с момента уведомления начинается процессуальный отсчёт. Ошибки в ответах на запросы РКН фиксируются как самостоятельные нарушения.

→ Ниже — полный разбор: как жалоба попадает в РКН, что происходит после, какие риски несёт оператор и как юрист выстраивает защиту.

С 30.05.2025 Роскомнадзор получил расширенный санкционный инструментарий по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024. Жалоба субъекта персональных данных через портал rkn.gov.ru — одно из оснований для внеплановой проверки оператора. По данным РКН, в 2024 году зафиксировано более 135 случаев компрометации баз данных; к середине 2025 года регулятор перешёл к точечному применению новых норм. Для юриста компании понимание механизма жалобы и алгоритма действий после её поступления — это базовый элемент комплаенса.

Как субъект подаёт жалобу в РКН: механизм и основания

Субъект персональных данных вправе направить жалобу на оператора в Роскомнадзор в двух случаях: если оператор нарушил его права, предусмотренные ФЗ-152, или если оператор не ответил на запрос субъекта в установленный срок. Срок ответа оператора на обращение субъекта — 10 рабочих дней с даты получения запроса, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта (ст. 20 ФЗ-152).

Жалоба подаётся через раздел «Обращения граждан» на портале rkn.gov.ru либо через Госуслуги. Форма предусматривает указание наименования оператора, описание нарушения и приложение подтверждающих документов. Анонимные обращения РКН не рассматривает — требуется идентификация заявителя.

Типичные основания жалоб, которые РКН принимает к рассмотрению:

оператор не ответил на запрос об обработке ПДн или отказал без правового основания;
оператор не уничтожил и не заблокировал ПДн по требованию субъекта;
оператор обрабатывает ПДн без согласия или с нарушением его состава;
сайт оператора не содержит политики обработки персональных данных;
оператор передал ПДн третьим лицам без основания.

«Ст. 17 ФЗ-152 — субъект вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов (Роскомнадзор) или в суд. Жалоба является основанием для проведения внеплановой проверки по ст. 10 Федерального закона № 294-ФЗ о порядке проверок.»

Что происходит после поступления жалобы: алгоритм РКН

После регистрации жалобы РКН оценивает её на соответствие критериям приёмлемости. Если жалоба принята к рассмотрению, оператору направляется запрос с требованием предоставить пояснения и документы. Срок ответа на запрос РКН — как правило, 10–30 дней в зависимости от формата обращения.

По результатам рассмотрения жалобы возможны три исхода:

Предписание об устранении нарушения — оператор обязан выполнить его в указанный срок; невыполнение образует самостоятельный состав нарушения;
Составление протокола об административном правонарушении по ст. 13.11 КоАП — передаётся мировому судье с 28.12.2025 (ФЗ-508);
Отказ в привлечении к ответственности при отсутствии нарушения или истечении срока давности.

Отдельно — механизм профилактического визита. С 2023 года РКН вправе проводить профвизит без составления акта проверки. Профвизит не фиксирует нарушений, однако инспектор вправе рекомендовать устранение и установить срок. Уклонение от профвизита или игнорирование рекомендаций повышает вероятность последующей внеплановой проверки.

Получили запрос РКН по жалобе субъекта?

Для юриста компании запрос РКН — это не рутинная переписка. Каждый ответ фиксируется и может стать доказательством по протоколу. Ошибка в формулировке или пропуск срока ответа образуют самостоятельное нарушение по ч. 4 ст. 13.11 КоАП (штраф до 80 000 ₽ для юрлица). Специалисты DATUM готовят позицию оператора, собирают доказательную базу и ведут переписку с регулятором.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие индикаторы риска РКН применяет при отборе операторов для проверки?

Роскомнадзор применяет риск-ориентированный подход при планировании проверок. Индикаторы риска — это формализованные признаки, при выявлении которых РКН вправе инициировать внеплановую проверку без жалобы субъекта. Перечень индикаторов утверждается приказом РКН.

Публично известные индикаторы риска включают:

отсутствие оператора в реестре операторов ПДн при очевидной обработке данных (наличие сайта с формами, трудовой деятельности);
несоответствие сведений в реестре реальной деятельности оператора;
отсутствие политики обработки персональных данных на сайте;
использование иностранных сервисов аналитики (GA4, Meta Pixel) без уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152;
публикации в открытых источниках о компрометации данных клиентов компании;
несколько жалоб субъектов на одного оператора за короткий период.

«Ст. 10 ФЗ-294 — основания для внеплановой проверки включают: обращения граждан о нарушении их прав, истечение срока исполнения предписания, поручение Президента или Правительства. Мораторий на плановые проверки, действовавший в 2022–2024 годах, на проверки РКН в сфере ПДн распространялся с изъятиями — Роскомнадзор сохранял право на внеплановые проверки по жалобам.»

Для юриста практически значимо: индикатор риска — это не обвинение, но он запускает административный процесс. Если компания попала в выборку по индикатору, у неё есть окно до первого запроса РКН, чтобы устранить очевидные нарушения. После вручения запроса позиция оператора фиксируется.

Как подготовиться к проверке Роскомнадзора: что проверяет юрист

Что подготовить до проверки РКН

Выписка из реестра операторов ПДн с pd.rkn.gov.ru — подтверждает факт уведомления по ст. 22 ФЗ-152; при изменении целей или категорий данных — обновлённое уведомление по Приказу РКН №180 от 28.10.2022.
Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте, дата актуализации не позднее 12 месяцев.
Отдельные согласия работников и клиентов в соответствии с требованиями ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): каждое согласие — отдельный документ, не объединённый с договором или офертой.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
Журнал учёта обращений субъектов с входящими запросами и датами ответов за последние 12 месяцев — доказательство соблюдения сроков по ст. 20 ФЗ-152.

Отдельная зона риска — соответствие уведомления в реестре фактической обработке. Компании часто уведомляют РКН один раз при регистрации и забывают актуализировать сведения при изменении целей, новых категорий данных или новых обработчиков. РКН при проверке сопоставляет реестровые данные с реальной деятельностью — расхождение образует нарушение ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽ для юрлица в редакции с 30.05.2025).

Матрица сценариев: жалоба в РКН и варианты исхода для оператора

Сценарий 1. Жалоба на непредоставление информации об обработке ПДн. Субъект направил оператору запрос по ст. 14 ФЗ-152, ответа не получил в течение 10 рабочих дней. Жалоба зарегистрирована в РКН. РКН запрашивает у оператора доказательства соблюдения срока ответа. Если журнал обращений субъектов не ведётся — оператор не может подтвердить ни факт получения запроса, ни дату ответа. Протокол по ч. 4 ст. 13.11 КоАП: штраф до 80 000 ₽ для юрлица. Стратегия: вести журнал обращений и сохранять переписку с субъектами; при получении жалобы — немедленно направить субъекту ответ и уведомить РКН о его предоставлении.

Сценарий 2. Жалоба на обработку данных без согласия после 01.09.2025. Клиент компании обнаружил, что его данные используются для рассылок, тогда как согласие встроено в текст договора-оферты. С 01.09.2025 такое согласие не соответствует требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 — оно должно быть оформлено отдельным документом. РКН при наличии жалобы квалифицирует это как нарушение ч. 2 ст. 13.11 КоАП: штраф 300 000–700 000 ₽ для юрлица. При повторности — ч. 2.1, штраф 1 000 000–1 500 000 ₽. Стратегия: юристу компании необходимо провести ревизию всех согласий после 01.09.2025 и привести их в соответствие с актуальными требованиями.

Сценарий 3. Невыполнение предписания РКН после жалобы. Оператор получил предписание об устранении нарушения (отсутствие политики ПДн на сайте) с 30-дневным сроком. Предписание не исполнено. РКН возбуждает новое дело — на этот раз за невыполнение предписания контролирующего органа. Это самостоятельный состав, который суммируется с исходным штрафом. Для крупного оператора совокупность нарушений при последующей проверке создаёт риск квалификации по оборотному составу при наличии утечки. Стратегия: при получении предписания — немедленно оценить реалистичность срока и при необходимости ходатайствовать о его продлении до истечения.

Если юрист компании анализирует жалобу субъекта или уведомление о проверке — позиция оператора должна быть сформирована до первого ответа РКН. Специалисты DATUM сопровождают взаимодействие с регулятором от получения жалобы до закрытия дела.

Защитить от штрафа 13.11

Как обжаловать постановление РКН и применить ст. 4.1 КоАП

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. До этой даты — с 30.05.2025 по 27.12.2025 — их рассматривали арбитражные суды. Обжалование постановления мирового судьи подаётся в районный суд в течение 10 суток с момента вручения постановления (ст. 30.3 КоАП).

Ключевые основания для снижения или отмены штрафа:

Ст. 4.1.1 КоАП — замена штрафа предупреждением для субъектов малого и среднего предпринимательства при первичном нарушении и отсутствии вреда субъектам. Не применяется к оборотным составам (ч. 15 и ч. 18 ст. 13.11).
Ст. 4.1 КоАП, примечание 3.4-2 — при документально подтверждённых расходах на информационную безопасность в размере не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам снижается до 1/10 минимального размера (но не менее 15 млн ₽ и не более 50 млн ₽).
Малозначительность (ст. 2.9 КоАП) — суды редко применяют к системным нарушениям ПДн, однако при единичном техническом сбое с минимальным числом субъектов — аргумент рабочий.
Истечение срока давности — по общему правилу 2 месяца для КоАП (ст. 4.5), по составам ч. 12–15 — 1 год с момента совершения нарушения.

«Ст. 13.11 ч. 15 КоАП (в редакции с 30.05.2025) — оборотный штраф за повторную утечку ПДн: 1–3% совокупной годовой выручки за предшествующий год, не менее 20 000 000 ₽ и не более 500 000 000 ₽. Повторность — если оператор ранее привлекался по ч. 12–14, 16–18 или 15 той же статьи.»

На практике суды при первичном нарушении без реального вреда субъектам нередко применяют ст. 4.1.1 КоАП для малого бизнеса. В делах, рассмотренных после 30.05.2025, прослеживается тенденция к применению минимального размера санкции при наличии смягчающих обстоятельств — оперативного устранения нарушения, добровольного уведомления РКН и сотрудничества в ходе проверки.

Практика применения: реальные кейсы

Кейс 1. Арбитражный суд Москвы рассмотрел дело об утечке 26 миллионов записей клиентских данных. Несмотря на масштаб инцидента, назначен минимальный штраф — 150 000 ₽. Причина: утечка произошла до 01.06.2025, применялась редакция ст. 13.11 до ФЗ-420. Дело наглядно демонстрирует значение даты инцидента при квалификации нарушения — операторам, чьи инциденты датированы после 30.05.2025, прежние минимальные санкции недоступны.

Кейс 2. Компания из Северо-Западного ФО (сфера b2b-аналитики, весна 2026) получила жалобу субъекта на непредоставление информации об обработке ПДн. При проверке РКН выявил дополнительно: уведомление в реестре не актуализировалось три года, политика ПДн на сайте отсутствовала. Юрист компании, привлечённый после получения первого запроса РКН, оперативно опубликовал политику, направил обновлённое уведомление по Приказу №180 и подготовил письменные пояснения с доказательствами устранения нарушений. По результатам — предписание вместо протокола по двум из трёх составов; по одному составу (отсутствие политики на момент проверки) — штраф по ч. 3 ст. 13.11 в минимальном размере.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка к проверке, представительство, обжалование предписания
Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП
Аудит соответствия 152-ФЗ — проверка реестра, ОРД и согласий до прихода инспектора

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка включает пять шагов: проверить актуальность уведомления в реестре операторов на pd.rkn.gov.ru, опубликовать или актуализировать политику обработки ПДн по ст. 18.1 ФЗ-152, привести согласия к требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 (отдельный документ с 01.09.2025), назначить ответственного по ст. 22.1 ФЗ-152 приказом и наладить ведение журнала обращений субъектов. Наиболее частые нарушения при проверке — несоответствие реестра реальной обработке и отсутствие отдельных согласий.

2. Какие индикаторы риска применяет РКН?

РКН формирует перечень индикаторов риска в нормативном порядке. Практически значимые индикаторы: отсутствие в реестре операторов при наличии сайта с формами сбора данных; несоответствие реестра фактической обработке; отсутствие политики ПДн на сайте; использование иностранных сервисов аналитики без уведомления о трансграничной передаче по ст. 12 ФЗ-152; публикации об утечках данных компании в открытых источниках. Наличие индикатора — достаточное основание для внеплановой проверки без предварительного предупреждения.

3. Можно ли отказаться отвечать на запрос РКН?

Отказ от ответа или игнорирование запроса РКН — самостоятельное нарушение. Оператор обязан предоставить запрошенные документы и пояснения в установленный срок. Непредоставление информации уполномоченному органу образует состав по ст. 19.7 КоАП (штраф до 300 000 ₽ для юрлица) помимо нарушений по ст. 13.11. При несогласии с содержанием запроса — корректная позиция: направить ответ с возражениями по существу, но в срок.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания контролирующего органа в установленный срок образует состав по ст. 19.5 КоАП — штраф для юрлица до 500 000 ₽, для должностных лиц — до 50 000 ₽ или дисквалификация. Помимо этого, невыполнение предписания является основанием для повторной внеплановой проверки и может быть учтено как отягчающее обстоятельство по ст. 4.3 КоАП при назначении штрафа по ст. 13.11. При объективной невозможности исполнить предписание в срок — ходатайствовать о его продлении до истечения.

5. Куда обжаловать постановление РКН?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025). Постановление мирового судьи обжалуется в районный суд в течение 10 суток с даты вручения (ст. 30.3 КоАП). Постановление, вынесенное в период 30.05.2025–27.12.2025 арбитражным судом первой инстанции, обжалуется в апелляционную инстанцию арбитражного суда. При подготовке жалобы ключевые аргументы: нарушение процедуры проверки, неправильная квалификация состава, наличие оснований для ст. 4.1.1 КоАП или снижения по ст. 4.1 при инвестициях в ИБ.

Итог

Жалоба субъекта в РКН — это процессуальный триггер, а не административное взыскание само по себе. Результат для оператора определяется тем, насколько его документация и фактическая практика соответствуют требованиям ФЗ-152 на момент проверки. Компании, которые системно поддерживают реестр, ОРД и согласия в актуальном состоянии, проходят проверки с минимальными последствиями или предписанием без штрафа.

Специалисты DATUM сопровождают операторов с момента получения жалобы или запроса РКН: готовят позицию, ведут переписку с регулятором, обжалуют протоколы и постановления по ст. 13.11 КоАП с применением ст. 4.1 и 4.1.1.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП в ред. ФЗ-420, оборотные штрафы с 30.05.2025, подсудность после ФЗ-508.