аналитика 26 мая 2027 По состоянию на 26 мая 2027

Полномочия инспектора РКН при проверке

Инспектор Роскомнадзора при проверке вправе запрашивать документы, осматривать информационные системы и выносить предписания об устранении нарушений — отказ грозит самостоятельным составом по КоАП.

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей: штраф за отдельные нарушения достигает 15 млн ₽, оборотный штраф при повторной утечке — до 500 млн ₽ (ч. 15 ст. 13.11 КоАП).

Если вы юрист и готовитесь к проверке РКН или уже получили уведомление — проверьте, какие права есть у инспектора и где их границы.

С 30.05.2025 проверки Роскомнадзора стали инструментом применения обновлённой ст. 13.11 КоАП. Инспекторы опираются на расширенный перечень индикаторов риска, проводят профилактические визиты без предупреждения и выносят предписания, неисполнение которых образует отдельный состав правонарушения. Юрист, который знает точный объём полномочий инспектора, может разграничить законные требования от выходящих за рамки закона — и грамотно выстроить защиту.

Какими законами определены полномочия инспектора РКН?

Роскомнадзор осуществляет федеральный государственный контроль в сфере персональных данных. Правовая основа — ФЗ-152 «О персональных данных», ФЗ-248 «О государственном контроле (надзоре)» и Положение о Роскомнадзоре (Постановление Правительства РФ № 228 от 16.03.2009). Из этих актов следует разграничение: что именно инспектор вправе требовать, а что превышает его компетенцию.

«Ст. 23 ФЗ-152 — Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, осуществляет надзор и контроль за соблюдением требований закона, ведёт реестр операторов персональных данных.»

Конкретный порядок проведения плановых и внеплановых проверок регулируется ФЗ-248. Профилактический визит — отдельный инструмент, введённый в рамках реформы контрольно-надзорной деятельности: он проводится без составления акта и без привлечения к ответственности, но позволяет инспектору выявить нарушения и направить обязательные для исполнения рекомендации. Нормативы Приказа РКН № 180 от 28.10.2022 определяют порядок ведения реестра операторов, а Приказ РКН № 187 от 14.11.2022 — порядок уведомления об инцидентах с персональными данными.

Что вправе делать инспектор в ходе плановой и внеплановой проверки?

Полномочия инспектора различаются в зависимости от вида контрольного мероприятия. При документарной проверке инспектор вправе запрашивать и изучать документы: политику обработки персональных данных, приказ о назначении ответственного лица по ст. 22.1 ФЗ-152, согласия субъектов, журналы учёта обращений, технические регламенты. При выездной проверке — осматривать помещения, где ведётся обработка, и информационные системы персональных данных.

«Ст. 21 ФЗ-248 — должностное лицо контрольного органа при проведении контрольного мероприятия вправе истребовать документы и информацию, проводить осмотр, получать пояснения.»

Инспектор вправе опрашивать сотрудников, непосредственно обрабатывающих персональные данные, — например, операторов колл-центра или HR-специалистов. Он также вправе делать копии документов и получать доступ к информационным системам в части, необходимой для проверки. Ключевое ограничение: инспектор не вправе истребовать сведения и документы, не относящиеся к предмету проверки, указанному в распоряжении о её проведении.

При внеплановой проверке основанием служат: истечение срока исполнения ранее выданного предписания, поступление жалобы субъекта персональных данных, задание прокуратуры или поручение вышестоящего органа, а с 2022 года — срабатывание индикаторов риска. Проверка по индикаторам риска проводится без согласования с прокуратурой — это важное процессуальное отличие от стандартной внеплановой проверки.

Получили уведомление о проверке РКН — что делать?

Юрист компании обычно получает уведомление за 3 рабочих дня до выездной проверки. Этого времени достаточно для базовой подготовки, но недостаточно для устранения системных нарушений в ОРД. Чем раньше начать работу, тем шире пространство для манёвра — в том числе по ст. 4.1.1 КоАП при первичном нарушении.

Юристы DATUM сопровождают проверки РКН: готовят пакет документов, присутствуют при осмотре, ведут диалог с инспектором и обжалуют предписания при необходимости.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие индикаторы риска использует РКН для назначения проверки?

Индикаторы риска — это формализованные признаки нарушений, при выявлении которых РКН вправе провести внеплановую проверку без согласования с прокуратурой. Перечень индикаторов утверждён приказом Минцифры и охватывает как технические сигналы, так и административные.

Типичные индикаторы, которые фиксирует РКН:

Отсутствие оператора в реестре — при наличии признаков обработки персональных данных (сайт с формой сбора, КЭДО, программа лояльности).
Жалоба субъекта персональных данных на нарушение его прав — отказ в предоставлении информации, неуничтожение данных по требованию.
Публикация в открытых источниках сведений об утечке данных оператора — скриншоты из даркнета, телеграм-каналы об инцидентах.
Отсутствие политики конфиденциальности в открытом доступе на сайте оператора.
Неуведомление об инциденте в установленный срок при наличии данных об утечке в базах мониторинга РКН.
Истечение срока исполнения ранее выданного предписания.

С 2022 года РКН использует автоматизированную систему мониторинга, которая сканирует открытые базы и телеграм-каналы на предмет слитых данных. Попадание базы оператора в публичный доступ практически гарантирует срабатывание индикатора и назначение внеплановой проверки.

«Ч. 9 ст. 22 ФЗ-248 — при наступлении индикаторов риска орган контроля вправе провести внеплановое контрольное мероприятие без предварительного уведомления контролируемого лица и без согласования с органами прокуратуры.»

Что инспектор не вправе делать при проверке?

Границы полномочий инспектора так же важны, как и сами полномочия. Знание запретов позволяет юристу зафиксировать превышение — и использовать это при обжаловании акта проверки или предписания.

Инспектор не вправе:

Истребовать документы и сведения вне предмета проверки, указанного в распоряжении.
Проводить выездную проверку в отсутствие распоряжения о её проведении или без предъявления служебного удостоверения.
Препятствовать участию представителя юридического лица или его юриста при проверке.
Осуществлять контрольные действия за пределами срока, указанного в распоряжении.
Раскрывать охраняемую законом тайну, полученную в ходе проверки.
Давать устные предписания — все требования оформляются письменно.

Нарушение этих запретов со стороны инспектора образует основание для признания акта проверки недействительным по ФЗ-248. Фиксируйте нарушения в письменных возражениях на акт — это первый шаг к обжалованию.

Что подготовить к визиту инспектора

Выписку из реестра операторов персональных данных (pd.rkn.gov.ru) с актуальными сведениями об объёме и целях обработки.
Политику обработки персональных данных, опубликованную на сайте, — с реквизитами ответственного лица по ст. 22.1 ФЗ-152.
Комплект согласий субъектов: работников (ст. 9 ФЗ-152 в ред. ФЗ-156 с 01.09.2025), клиентов, контрагентов.
Журнал учёта обращений субъектов персональных данных за последние 12 месяцев с отметками об исполнении.
Приказ о назначении ответственного за организацию обработки персональных данных по ст. 22.1 ФЗ-152 и документы о его квалификации.

Матрица сценариев: что происходит в типовых ситуациях

Юрист сопровождает проверку в различных обстоятельствах. Три типичных сценария — и стратегия поведения в каждом.

Сценарий 1. Внеплановая проверка по индикатору — утечка в даркнете. Ситуация: РКН зафиксировал базу компании в публичном доступе, назначил внеплановую выездную проверку. Доказательства, которые запросит инспектор: журнал инцидентов, уведомление об инциденте по Приказу РКН № 187, технический отчёт об источнике утечки. Вероятный исход при отсутствии уведомления в 24 часа — протокол по ч. 11 ст. 13.11 КоАП (штраф 1–3 млн ₽), при утечке более 100 000 субъектов — дополнительно ч. 14 ст. 13.11 (10–15 млн ₽). Стратегия: направить уведомление об инциденте немедленно (даже если срок прошёл), подготовить письменные объяснения о причинах задержки, зафиксировать принятые технические меры — это влияет на размер штрафа.

Сценарий 2. Плановая проверка — реестр не обновлялся три года. Ситуация: компания подала уведомление по ст. 22 ФЗ-152 при регистрации, но за три года расширила перечень обрабатываемых данных (добавила биометрию для СКУД, подключила CRM с данными клиентов). Инспектор сравнивает реестровую запись с фактической обработкой. Вероятный исход: протокол по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) за обработку вне заявленных целей. Стратегия: до проверки актуализировать уведомление через pd.rkn.gov.ru, подготовить обоснование каждой категории данных — это снижает риск протокола по более тяжёлым составам.

Сценарий 3. Профилактический визит — инспектор просит показать ИСПДн. Ситуация: инспектор пришёл с профвизитом (без акта и без права привлечения к ответственности), но устно потребовал доступа к базам данных. Доказательства: распоряжение о профвизите, перечень контрольных вопросов. Вероятный исход при отказе: инспектор фиксирует отказ от взаимодействия и инициирует внеплановую выездную проверку с распоряжением. Стратегия: предоставить доступ к документам в рамках предмета визита, письменно зафиксировать объём предоставленного, ограничить доступ к сведениям вне предмета.

Если юрист получил протокол по ст. 13.11 КоАП — срок обжалования постановления составляет 10 суток. Пропуск срока закрывает путь к обжалованию в обычном порядке. Юристы DATUM оспорят протокол и применят ст. 4.1 и ст. 4.1.1 КоАП для снижения или замены штрафа.

Защитить от штрафа по ст. 13.11

Как применяется мораторий на проверки и когда он не действует?

С 2022 года в России действует мораторий на плановые проверки малого и среднего бизнеса. Однако для Роскомнадзора в сфере персональных данных установлены исключения: мораторий не распространяется на внеплановые проверки по индикаторам риска и на проверки по жалобам субъектов. Таким образом, даже субъекты МСП не защищены от внеплановых проверок РКН при наличии оснований.

Плановые проверки по персональным данным в отношении операторов из реестра высокого риска проводятся вне зависимости от моратория — РКН присваивает категорию риска исходя из объёма обрабатываемых данных, наличия специальных категорий и истории нарушений. Оператор, обрабатывающий данные более 100 000 субъектов, как правило, относится к высокой категории риска.

Как подготовиться к проверке РКН и снизить риски?

Подготовка к проверке — это не разовое мероприятие накануне визита инспектора, а системная работа с документацией и процессами обработки персональных данных. Юрист, отвечающий за комплаенс, должен проверить соответствие по нескольким направлениям.

Первое направление — реестр операторов. Уведомление по ст. 22 ФЗ-152 должно отражать актуальный состав обрабатываемых данных, цели, правовые основания, сроки и перечень третьих лиц, которым передаются данные. Несоответствие реестра фактической обработке — наиболее частый состав нарушения при плановых проверках.

Второе направление — организационно-распорядительная документация. Полный пакет ОРД включает политику обработки, приказы, регламенты, журналы, согласия. Отсутствие любого обязательного документа — основание для составления протокола по ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽ за отсутствие политики) или иным частям.

Третье направление — согласия субъектов. После 01.09.2025 каждое согласие на обработку персональных данных должно быть оформлено отдельным документом по требованиям ФЗ-156. Согласие, встроенное в трудовой договор, пользовательское соглашение или оферту, не отвечает требованиям ст. 9 ФЗ-152 в действующей редакции.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 (с 01.09.2025) — согласие субъекта на обработку персональных данных оформляется в виде отдельного документа. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень персональных данных, перечень действий, срок действия согласия, способ отзыва.»

Четвёртое направление — технические меры. Инспектор вправе запросить документы, подтверждающие соответствие уровню защищённости информационной системы персональных данных (УЗ-1...УЗ-4 по ПП РФ № 1119) и выполнение мер по Приказу ФСТЭК № 21. На практике инспекторы РКН редко проводят глубокий технический аудит, однако отсутствие акта классификации ИСПДн и модели угроз фиксируется как нарушение.

Практика: два сценария из работы DATUM

Кейс 1. Юридическая служба торговой компании (Сибирский ФО, лето 2025) получила уведомление о плановой выездной проверке. При аудите документации за 5 рабочих дней до визита выявлено: реестровая запись не обновлялась два года, согласия клиентов включены в договор оферты, журнал учёта обращений отсутствует. В течение 4 дней подготовлены актуальное уведомление в РКН, отдельные согласия и журнал. Инспектор по итогам проверки выдал предписание об устранении незначительных нарушений — протокол составлен не был. Ключевой фактор: нарушения были устранены до проверки, что РКН зафиксировал как добросовестность оператора.

Кейс 2. Финансовая организация (Центральный ФО, начало 2026) получила протокол по ч. 10 ст. 13.11 КоАП (неуведомление о намерении обрабатывать персональные данные, 100–300 тыс. ₽) после внеплановой проверки по жалобе субъекта. Юрист компании обратился за сопровождением уже после составления протокола. В арбитражном суде применена ст. 4.1.1 КоАП: первичность нарушения, отсутствие вреда субъекту и незначительный период необращения позволили заменить штраф на предупреждение. Сроки: протокол — январь 2026, постановление о предупреждении — март 2026.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, представительство, обжалование предписаний.
Аудит соответствия 152-ФЗ — проверка документации и процессов по чек-листу из 38 пунктов.
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП.

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовку следует начинать заблаговременно, не дожидаясь уведомления. Ключевые шаги: актуализировать уведомление в реестре операторов (pd.rkn.gov.ru), проверить полноту ОРД — политика по ч. 2 ст. 18.1 ФЗ-152, приказ об ответственном по ст. 22.1, согласия субъектов в редакции ФЗ-156 с 01.09.2025, журнал учёта обращений. Отдельно — убедиться, что уведомление об инциденте по Приказу РКН № 187 направлялось своевременно при наличии инцидентов. Плановая проверка анонсируется за 3 рабочих дня, внеплановая по индикаторам риска — без предупреждения.

2. Какие индикаторы риска использует РКН?

Перечень индикаторов утверждён приказом Минцифры. Практически значимые: отсутствие оператора в реестре при наличии сайта с формами сбора данных, жалоба субъекта на нарушение его прав, публикация базы оператора в открытом доступе или даркнете, отсутствие политики конфиденциальности на сайте, неуведомление РКН об инциденте при наличии сведений об утечке в системах мониторинга РКН. Срабатывание любого из этих индикаторов — основание для внеплановой проверки без согласования с прокуратурой.

3. Можно ли отказаться отвечать на запрос РКН?

Отказ от предоставления документов по запросу в рамках проверки — самостоятельный состав нарушения. По ФЗ-248 оператор обязан обеспечить инспектору доступ к документам и информации, относящимся к предмету проверки. Вместе с тем законный отказ возможен, если требование выходит за рамки распоряжения о проверке или истребуемые сведения охраняются законом (коммерческая тайна, адвокатская тайна). Такой отказ необходимо оформить письменно с указанием правового основания. Устный отказ без обоснования — прямой путь к протоколу.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания в установленный срок влечёт внеплановую проверку для контроля его исполнения. По итогам такой проверки составляется протокол по ч. 1 ст. 19.5 КоАП — неисполнение предписания органа надзора. Штраф для юридического лица — до 300 тыс. ₽, для должностного лица — до 30 тыс. ₽. Повторное неисполнение влечёт дисквалификацию должностного лица. Кроме того, неисполнение предписания автоматически формирует основание для более тяжёлого состава по ст. 13.11 КоАП, если нарушение связано с обработкой персональных данных.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 суток со дня вручения копии постановления (ст. 30.3 КоАП). Постановление РКН как административного органа — в арбитражный суд или суд общей юрисдикции в зависимости от субъекта (организация или физическое лицо). При обжаловании можно заявить о применении ст. 4.1 КоАП (смягчающие обстоятельства) и ст. 4.1.1 КоАП (замена штрафа на предупреждение для субъектов МСП при первичном нарушении без вреда).

Итог

Полномочия инспектора РКН ограничены предметом проверки, указанным в распоряжении, и рамками ФЗ-248. Знание этих границ позволяет юристу выстроить защиту как в ходе проверки, так и при обжаловании её результатов. С 30.05.2025 ставки выросли: по обновлённой ст. 13.11 КоАП совокупная санкция по итогам одной проверки может достигать десятков миллионов рублей — особенно при выявлении нарушений по нескольким частям одновременно.

Практика DATUM по сопровождению проверок РКН и защите по ст. 13.11 КоАП охватывает как стадию подготовки, так и арбитражное обжалование. Работаем с операторами любого размера — от среднего бизнеса до крупных федеральных структур.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.

26 мая 2027 года