аналитика 28 апреля 2027 По состоянию на 28 апреля 2027

Последствия неисполнения запроса РКН: ст. 19.7 КоАП

Неисполнение запроса Роскомнадзора — самостоятельный состав по ст. 19.7 КоАП, независимый от нарушений 152-ФЗ. Штраф для юрлица — до 5 000 ₽ за каждый факт, но последствия несопоставимо тяжелее: автоматическое возбуждение дела по ст. 13.11, внеплановая проверка, предписание и оборотный штраф.

С 30.05.2025 ст. 13.11 КоАП расширена до 18 частей (ФЗ-420). Игнорирование запроса РКН теперь открывает путь к штрафу до 500 млн ₽ при повторной утечке. Индикаторы риска 2025 года включают отсутствие уведомления в реестре, жалобы субъектов и публикации об инцидентах.

Если вы юрист и компания получила запрос РКН — у вас ограниченное время на ответ. Ошибка в позиции на этом этапе формирует доказательную базу против вас в дальнейшем.

Запрос Роскомнадзора — не формальность. Это юридически значимый документ, порождающий обязанность ответить в установленный срок. Молчание или неполный ответ квалифицируется по ст. 19.7 КоАП как непредставление сведений в государственный орган. Но настоящая цена ошибки — не 5 000 ₽ штрафа, а то, что происходит после: внеплановая проверка, оценка реального состояния документации и, при наличии нарушений 152-ФЗ, протоколы по ст. 13.11 КоАП с диапазоном штрафов от 150 000 до 500 000 000 ₽. Ниже разобраны нормы, механизм действий РКН и стратегия защиты для юриста-практика.

Что такое запрос РКН и какие сроки ответа установлены законом?

Роскомнадзор вправе запрашивать документы и сведения у операторов персональных данных на основании ч. 1 ст. 20 ФЗ-152 и ст. 23 ФЗ-152, регулирующей полномочия уполномоченного органа. Запрос может касаться уведомления о намерении обрабатывать ПДн (ст. 22 ФЗ-152), документов по ст. 18.1 ФЗ-152 (политика, локальные акты, ОРД), сведений о технических мерах по ст. 19 ФЗ-152, а также информации об инциденте по Приказу РКН №187 от 14.11.2022.

Срок ответа зависит от основания запроса. При проверочных мероприятиях он определяется приказом о проверке; при профилактическом визите — уведомлением о визите. Запрос вне рамок плановой или внеплановой проверки не имеет единого законодательно установленного срока: РКН вправе установить его самостоятельно в тексте запроса. Типовой срок — 10–20 рабочих дней. Молчание в течение указанного срока — основание для возбуждения дела по ст. 19.7 КоАП немедленно, без предупреждения.

«Ст. 19.7 КоАП — непредставление сведений (информации), обязательное представление которых предусмотрено законодательством, влечёт предупреждение или штраф: для граждан — 100–300 ₽, для должностных лиц — 300–500 ₽, для юрлиц — 3 000–5 000 ₽ за каждый факт. Сумма незначительна, но именно она фиксирует факт нарушения и открывает процессуальные последствия.»

Важно: ст. 19.7 КоАП не поглощается ст. 13.11 КоАП. Это два самостоятельных состава. Оператор может получить протокол по обеим статьям одновременно, если игнорирование запроса РКН совпало с выявленными нарушениями 152-ФЗ.

Получили запрос РКН — как правильно ответить, чтобы не создать новые риски?

Текст ответа на запрос РКН формирует доказательную базу. Неполный ответ или ответ с несоответствиями в датах, перечне документов, сведениях о мерах защиты — основание для расширения предмета проверки. У юриста есть один шанс выстроить правильную позицию. После направления ответа исправить его без ущерба для позиции практически невозможно.

Защитить от штрафа по ст. 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие индикаторы риска РКН запускают проверку и запросы?

С 2023 года РКН перешёл к риск-ориентированному надзору. Перечень индикаторов риска утверждён приказом РКН и определяет, что именно автоматически инициирует надзорное мероприятие. По данным регулятора, в 2024 году зафиксировано 135 утечек с более чем 710 млн записей; в 2025 году только за первое полугодие — 30 инцидентов с более 39 млн записями.

Наиболее частые индикаторы риска, которые фиксирует РКН:

Отсутствие оператора в реестре уведомлений (нарушение ст. 22 ФЗ-152) при наличии сайта с формами сбора ПДн.
Жалоба субъекта персональных данных на действия оператора (ст. 17 ФЗ-152).
Публикация сведений об утечке в открытых источниках, даркнете или в средствах массовой информации.
Неуведомление или несвоевременное уведомление РКН об инциденте по ч. 3.1 ст. 21 ФЗ-152 в течение 24 часов.
Выявление нарушений при предыдущей проверке без подтверждения их устранения.
Истечение срока исполнения предписания без отчёта оператора.

Мораторий на плановые проверки малого и среднего бизнеса (продлевался с 2022 года) не распространяется на внеплановые проверки по индикаторам риска и на профилактические визиты. Профилактический визит — самостоятельный инструмент, при котором РКН выдаёт предостережение, а при согласии оператора — проводит оценку соответствия без составления акта. Отказ от профвизита не влечёт санкций, однако фиксируется как индикатор.

Что подготовить юристу до ответа на запрос РКН

Выписку из реестра операторов персональных данных на сайте pd.rkn.gov.ru — подтверждение факта уведомления по ст. 22 ФЗ-152 и актуальности сведений.
Действующую политику обработки персональных данных с разделами по ч. 2 ст. 18.1 ФЗ-152 — дата утверждения, подпись руководителя.
Комплект ОРД: приказ о назначении ответственного (ст. 22.1 ФЗ-152), согласия субъектов, журнал обращений субъектов за последние 12 месяцев.
Сведения о технических мерах защиты по ст. 19 ФЗ-152 и уровне защищённости ИСПДн по ПП РФ №1119 — без раскрытия сведений о СЗИ.
Подтверждение отсутствия фактов утечек или, при наличии инцидента, копии уведомлений РКН по Приказу №187 с отметками о доставке.

Что происходит после неисполнения запроса: механизм действий РКН

Последовательность действий РКН при неисполнении запроса стандартна и предсказуема. Понимание этой последовательности позволяет юристу точно оценить, на каком этапе находится компания и какие меры ещё доступны.

Этап 1 — Протокол по ст. 19.7 КоАП. Составляется немедленно по истечении срока ответа. Для юрлица — штраф 3 000–5 000 ₽. Само по себе незначительно, но протокол фиксирует факт уклонения и становится основанием для следующего шага.

Этап 2 — Внеплановая проверка или профвизит. Инициируется на основании индикатора риска (в данном случае — установленного факта непредставления сведений). Предмет проверки — полное соответствие 152-ФЗ, а не только предмет первоначального запроса. При внеплановой проверке РКН вправе запросить все документы по ст. 18.1, 19, 22 ФЗ-152.

Этап 3 — Акт проверки и предписание. При выявлении нарушений РКН составляет акт и выдаёт предписание об устранении с конкретным сроком. Предписание обязательно к исполнению. Неисполнение предписания — отдельный состав по ч. 1 ст. 19.5 КоАП (штраф для юрлица 10 000–20 000 ₽).

Этап 4 — Протоколы по ст. 13.11 КоАП. По каждому выявленному нарушению 152-ФЗ составляется отдельный протокол. В редакции с 30.05.2025 ст. 13.11 содержит 18 частей: от 150 000 ₽ (ч. 1 — незаконная обработка) до 500 000 000 ₽ (ч. 15 — оборотный при повторной утечке).

«Ст. 13.11 ч. 15 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — оборотный штраф за повторную утечку ПДн: 1–3% совокупной годовой выручки за предшествующий календарный год, не менее 20 млн ₽ и не более 500 млн ₽. Применяется при повторности в отношении лиц, ранее привлечённых по ч. 12–14 или ч. 15 ст. 13.11 КоАП.»

Если юрист компании уже получил акт проверки или предписание РКН — позиция в возражениях определяет исход дела в арбитраже. Срок подачи возражений на акт ограничен: как правило, 15 рабочих дней с момента вручения.

Подготовиться к проверке РКН

Типичные сценарии: от запроса до протокола по ст. 13.11

Сценарий 1 — Жалоба субъекта и запрос по ст. 20 ФЗ-152. Субъект подаёт жалобу в РКН на то, что оператор не исполнил его требование об уничтожении ПДн (ст. 21 ФЗ-152). РКН направляет запрос оператору с требованием представить подтверждение исполнения в течение 15 рабочих дней. Оператор не отвечает. Итог: протокол по ст. 19.7 КоАП + внеплановая проверка + при обнаружении нарушений — протокол по ч. 5 ст. 13.11 (невыполнение требования субъекта, штраф 50 000–90 000 ₽). Стратегия: даже если требование субъекта оспаривается, ответить на запрос РКН в установленный срок, изложив позицию со ссылками на нормы.

Сценарий 2 — Публикация об утечке и запрос о факте инцидента. В открытых источниках появляется информация об утечке данных клиентов компании. РКН направляет запрос: факт утечки, категории ПДн, число субъектов, принятые меры, уведомление по Приказу №187. Компания игнорирует запрос. Итог: протокол по ст. 19.7 + внеплановая проверка + при подтверждении утечки — протокол по ч. 11 ст. 13.11 (неуведомление об инциденте, штраф 1 000 000–3 000 000 ₽) + по ч. 12–14 ст. 13.11 в зависимости от числа субъектов. Стратегия: при наличии инцидента незамедлительно уведомить РКН по Приказу №187, параллельно отвечая на запрос; это существенно снижает риск по ч. 11.

Сценарий 3 — Плановая проверка и неполный ответ на предзапрос. РКН уведомляет о плановой проверке и направляет предварительный запрос документов. Юрист предоставляет часть документов, умолчав об отсутствии согласий работников в новом формате (по ФЗ-156, с 01.09.2025 — отдельный документ). При проверке факт вскрывается. Итог: нарушение ч. 2 ст. 13.11 КоАП (обработка без надлежащего согласия) — штраф 300 000–700 000 ₽. Стратегия: до проверки провести внутренний аудит и устранить нарушения; неполный ответ хуже отсутствия ответа — формирует умысел.

Как это применяется на практике

Кейс 1. Ритейлер (Центральный ФО, осень 2025) получил запрос РКН в связи с жалобой субъекта на нарушение права на уничтожение ПДн. Юрист компании расценил запрос как формальный и не ответил в срок. РКН составил протокол по ст. 19.7 КоАП и инициировал внеплановую проверку. По итогам проверки выявлено: отсутствие обновлённых согласий работников (ФЗ-156), политика не обновлялась с 2022 года, отсутствует журнал обращений субъектов. Три протокола по ст. 13.11 КоАП. Юристы DATUM подключились после составления актов: часть нарушений устранена до рассмотрения дела, по двум составам применена ч. 4.1.1 КоАП (замена штрафа предупреждением как для микропредприятия при первичном нарушении). Итоговая сумма штрафов снижена в несколько раз по сравнению с первоначально предъявленной.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) уведомила РКН об утечке в течение 20 часов по Приказу №187, параллельно ответив на предварительный запрос регулятора в полном объёме. При внеплановой проверке РКН установил, что утечка затронула от 10 000 до 100 000 субъектов (состав по ч. 13 ст. 13.11, штраф 5 000 000–10 000 000 ₽). Своевременность уведомления и полнота ответа на запрос зафиксированы как смягчающие обстоятельства по ст. 4.2 КоАП. Арбитражный суд региона назначил штраф ниже среднего по санкции.

Частые вопросы

1. Как подготовиться к проверке РКН?

До начала проверки необходимо убедиться в наличии уведомления в реестре операторов (pd.rkn.gov.ru) с актуальными сведениями, актуализировать политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, проверить соответствие согласий субъектов требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 — отдельный документ), убедиться в наличии приказа о назначении ответственного по ст. 22.1 ФЗ-152, подготовить журнал обращений субъектов. Отдельно проверить наличие уведомлений об инцидентах по Приказу РКН №187, если они имели место. Оптимально — провести внутренний аудит по чек-листу из 38 пунктов за 30–45 дней до предполагаемой проверки.

2. Какие индикаторы риска применяет РКН для инициирования проверки?

Актуальный перечень индикаторов риска утверждён приказом РКН. К наиболее значимым относятся: отсутствие оператора в реестре при наличии форм сбора ПДн на сайте, жалоба субъекта, публикация сведений об утечке, неуведомление об инциденте в 24-часовой срок (ч. 3.1 ст. 21 ФЗ-152), неисполнение предписания по итогам предыдущей проверки. Мораторий на плановые проверки МСП не распространяется на внеплановые по индикаторам риска — они возможны в любое время.

3. Можно ли отказаться отвечать на запрос РКН?

Формально — нет. Обязанность представлять сведения по запросу уполномоченного органа установлена ст. 23 ФЗ-152 и общими нормами законодательства о государственном контроле. Отказ или уклонение — состав по ст. 19.7 КоАП. На практике оператор вправе оспорить законность запроса (например, если запрос выходит за пределы полномочий РКН или нарушает процедуру), но делать это нужно через официальные ответы и жалобы, а не молчанием.

4. Что грозит за невыполнение предписания РКН?

Невыполнение законного предписания государственного органа — состав по ч. 1 ст. 19.5 КоАП. Для юрлица — штраф 10 000–20 000 ₽. При повторном неисполнении — дисквалификация должностного лица или административное приостановление деятельности до 90 суток. Помимо этого, неисполнение предписания автоматически является индикатором риска для инициирования следующей внеплановой проверки. Обжалование предписания через арбитражный суд приостанавливает обязанность его исполнять до вступления решения суда в силу — это рабочая тактика при наличии правовых оснований.

5. Куда обжаловать постановление РКН по ст. 13.11 КоАП?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП переданы мировым судьям — именно они рассматривают протоколы и выносят постановления. Постановление мирового судьи обжалуется в районный суд в течение 10 суток с момента получения копии. Решение районного суда — в вышестоящий суд субъекта. При обжаловании применимы: ст. 4.2 КоАП (смягчающие обстоятельства), ст. 4.1 КоАП (при инвестициях в ИБ от 0,1% выручки за 3 года — снижение оборотного штрафа до 1/10 минимума), ст. 4.1.1 КоАП (замена на предупреждение для микропредприятий при первичном нарушении, кроме ч. 15 и ч. 18).

Итог

Запрос РКН — это не уведомление, а процессуальный документ, открывающий цепочку надзорных мероприятий. Неисполнение запроса формально стоит 3 000–5 000 ₽ по ст. 19.7 КоАП, фактически — запускает внеплановую проверку, акт, предписание и протоколы по ст. 13.11 КоАП с диапазоном штрафов от 150 000 до 500 000 000 ₽. Правильно выстроенная позиция в ответе на первый запрос существенно влияет на исход всего надзорного цикла.

Юристы DATUM сопровождают операторов персональных данных при взаимодействии с РКН: от подготовки ответа на запрос до обжалования постановлений по ст. 13.11 КоАП в арбитраже. В практике DATUM — операторы из ритейла, IT, финансового сектора и медицины, прошедшие плановые и внеплановые проверки без оборотных штрафов.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписания.
Аудит соответствия 152-ФЗ — проверка документации по чек-листу из 38 пунктов, план устранения нарушений.
Защита при штрафе в арбитраже — оспаривание протокола и постановления, применение ст. 4.1 и 4.1.1 КоАП.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420), защита от оборотных штрафов, подсудность по ФЗ-508 от 28.12.2025.

28 апреля 2027 года