Перейти к содержанию
аналитика 25 мая 2027 По состоянию на 25 мая 2027

Продление проверки РКН: основания

Роскомнадзор вправе продлить плановую проверку сверх установленного срока — при наличии оснований, прямо закреплённых в законодательстве о государственном контроле.
Юрист компании, получивший уведомление о продлении, обязан проверить: есть ли письменное мотивированное решение, соответствует ли оно закону, не нарушены ли сроки уведомления оператора. Каждое нарушение процедуры — самостоятельное основание для обжалования.
→ Если РКН объявил о продлении или вручил предписание — разберём основания и выстроим линию защиты.

С 30.05.2025 Роскомнадзор работает по обновлённой системе риск-ориентированного контроля. Плановые проверки операторов персональных данных проводятся в рамках Федерального закона № 248-ФЗ «О государственном контроле (надзоре)»; продление сроков также регулируется этим законом. Для юриста, сопровождающего проверку, принципиально важно разграничивать основания продления, процедуру уведомления и последствия нарушений со стороны РКН — каждый из этих элементов влияет на позицию оператора при обжаловании.

Какие основания позволяют РКН продлить проверку?

Федеральный закон № 248-ФЗ устанавливает исчерпывающий перечень оснований для продления контрольного (надзорного) мероприятия. Применительно к проверкам в сфере персональных данных РКН вправе продлить срок в следующих случаях.

Первое основание — необходимость проведения экспертиз или испытаний, результаты которых требуются для оценки соблюдения обязательных требований. Это применимо, когда инспектор не может без технической экспертизы установить факт нарушения — например, определить реальный уровень защищённости информационной системы обработки персональных данных по ПП РФ № 1119.

Второе основание — необходимость привлечения специалистов или экспертов. Если для проверки требуется участие специалиста в области информационной безопасности или технического эксперта, а привлечь его в рамках первоначального срока невозможно, РКН составляет мотивированный запрос о продлении.

Третье основание — выявление в ходе проверки признаков нарушений, требующих дополнительного изучения. Это основание на практике используется наиболее часто: инспекторы фиксируют расхождение между сведениями в реестре операторов персональных данных (pd.rkn.gov.ru) и фактической обработкой — и запрашивают дополнительные документы.

«Ч. 3.1 ст. 21 ФЗ-152 обязывает оператора уведомить РКН об инциденте в течение 24 часов; ФЗ № 248-ФЗ устанавливает порядок продления контрольных мероприятий — эти два регулирования действуют параллельно.»

Продление оформляется решением руководителя (заместителя) территориального управления РКН. Срок продления — не более чем на 20 рабочих дней для плановой документарной или выездной проверки. Оператор обязан быть уведомлён о продлении не позднее чем за 3 рабочих дня до его начала. Уведомление направляется по тем же каналам, что и первоначальное извещение о проверке.

Получили уведомление о продлении проверки РКН?

Если юрист компании держит в руках решение о продлении — у вас есть не более 3 рабочих дней до истечения первоначального срока, чтобы проверить законность основания. Ошибка в процедуре уведомления или отсутствие мотивировки — основания для отмены результатов проверки. Юристы DATUM подготовят правовую позицию и представят интересы оператора в РКН.

Подготовиться к проверке РКН

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Чем плановая проверка отличается от профилактического визита и внеплановой?

Для юриста, сопровождающего взаимодействие с РКН, разграничение форм контроля определяет объём прав оператора и допустимые основания для продления.

Плановая проверка проводится по утверждённому ежегодному плану, который РКН публикует на сайте rkn.gov.ru не позднее 31 декабря предшествующего года. Срок проверки — до 20 рабочих дней (для субъектов МСП — до 50 часов в год, для микропредприятий — до 15 часов). Продление возможно по основаниям из ФЗ № 248-ФЗ с письменным мотивированным решением.

Внеплановая проверка назначается при наступлении индикаторов риска, при поступлении жалоб субъектов или при истечении срока исполнения предписания. Индикаторы риска, применяемые РКН в сфере персональных данных, утверждены приказом РКН: к ним относятся, в частности, отсутствие оператора в реестре операторов при наличии публично доступного сайта с формами сбора данных и неуведомление об утечке в установленные сроки. Продление внеплановой проверки — по тем же основаниям ФЗ № 248-ФЗ, но применяется на практике реже.

Профилактический визит — форма контроля без составления акта о нарушениях. Инспектор консультирует оператора, разъясняет требования. Принудительные меры по итогам профвизита не применяются, продление не предусмотрено. Однако выявленные в ходе профвизита риски могут стать основанием для последующей внеплановой проверки.

«Мораторий на плановые проверки (Постановление Правительства РФ № 336 от 10.03.2022) не распространяется на проверки Роскомнадзора в сфере персональных данных: согласно исключениям, закреплённым в постановлении, надзор за соблюдением ФЗ-152 не подпадает под ограничения моратория.»

Что юрист обязан проверить при получении решения о продлении?

Получив уведомление о продлении, юрист оператора должен последовательно проверить несколько элементов.

Что проверить при продлении проверки РКН

  • Форма решения: продление оформляется письменным мотивированным решением руководителя (заместителя) территориального управления — устного уведомления недостаточно.
  • Основание: в решении должно быть прямо указано одно из оснований ФЗ № 248-ФЗ — расплывчатые формулировки («в связи с необходимостью изучения документов») без привязки к конкретной норме оспоримы.
  • Срок уведомления: оператор уведомляется не позднее чем за 3 рабочих дня до начала продлённого периода — нарушение срока даёт основание для жалобы.
  • Предельный срок: продление не должно превышать 20 рабочих дней; для субъектов МСП — в пределах совокупного лимита часов; двойное продление одной проверки законом не предусмотрено.
  • Соответствие запрашиваемых документов предмету проверки: перечень запрашиваемых документов должен быть ограничен предметом контроля — обработкой персональных данных по ФЗ-152.

Если хотя бы один из элементов нарушен — основания для обжалования есть. Обжалование подаётся в порядке досудебного урегулирования через ФГИС «Досудебное обжалование» (do.gosuslugi.ru) либо в судебном порядке в арбитражный суд по месту нахождения оператора.

Юрист получил акт по итогам проверки — и в нём нарушения? До предъявления предписания есть 10 рабочих дней на возражения по акту. Этот срок не восстанавливается. Юристы DATUM помогут сформулировать возражения и выстроить позицию.

Защитить от штрафа по 13.11

Как применяются индикаторы риска РКН на практике

Индикаторы риска — инструмент, по которому РКН принимает решение о проведении внеплановой проверки или профилактического визита без плана. Для юриста важно знать их перечень: если компания подпадает под индикатор, вероятность внеплановой проверки в ближайшие 90 дней существенно возрастает.

К типовым индикаторам риска в сфере персональных данных относятся: отсутствие оператора в реестре операторов при том, что на сайте компании есть форма сбора контактных данных; неуведомление РКН об инциденте по ст. 21 ч. 3.1 ФЗ-152 в срок 24 часа; поступление более двух жалоб субъектов в течение квартала; выявление в открытых источниках утечки, не отражённой в реестре инцидентов РКН.

Индикаторы риска публикуются приказом РКН, действующей редакцией которого следует руководствоваться непосредственно при сопровождении проверки — редакция обновлялась. Юристу рекомендуется проверять актуальный перечень на rkn.gov.ru перед каждым этапом подготовки к контрольному мероприятию.

Что грозит за нарушения, выявленные в ходе проверки РКН?

По итогам проверки РКН составляет акт, на основании которого возбуждается дело об административном правонарушении по ст. 13.11 КоАП. С 30.05.2025 статья действует в редакции ФЗ-420 от 30.11.2024 и включает 18 частей.

Для юриста наиболее значимы следующие составы: обработка ПДн без надлежащего согласия — штраф 300 000–700 000 ₽ (ч. 2 ст. 13.11); невыполнение обязанности опубликовать политику обработки ПДн — 30 000–60 000 ₽ (ч. 3); нарушение локализации — 1 000 000–6 000 000 ₽ (ч. 8); неуведомление РКН о намерении обрабатывать ПДн — 100 000–300 000 ₽ (ч. 10).

«Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторной утечке (если оператор ранее привлекался по ч. 12–14, 16–18 или 15): 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Инвестиции в информационную безопасность не менее 0,1% выручки за 3 года снижают этот штраф до 1/10 минимума по ст. 4.1 КоАП.»

Невыполнение предписания РКН об устранении нарушений квалифицируется по ч. 1 ст. 19.5 КоАП — штраф для юридических лиц до 500 000 ₽, при повторном неисполнении возможна дисквалификация должностного лица. Именно поэтому работа с предписанием требует правовой позиции, а не простого перечисления принятых мер.

Как применяется это на практике

Кейс 1. Компания из Сибирского федерального округа (осень 2025, сфера — B2B-сервисы) получила уведомление о продлении плановой проверки РКН на 15 рабочих дней. В решении о продлении основание было сформулировано как «необходимость изучения дополнительных документов» без ссылки на конкретную норму ФЗ № 248-ФЗ. Юрист оператора направил жалобу в вышестоящее управление РКН через ФГИС «Досудебное обжалование». По итогам проверки жалобы продление признано не соответствующим процедурным требованиям; акт проверки в части нарушений, выявленных в продлённый период, был исключён из доказательной базы при рассмотрении дела об административном правонарушении.

Кейс 2. Оператор персональных данных (Центральный федеральный округ, начало 2026, сфера — интернет-торговля) попал под внеплановую проверку РКН по индикатору риска — на сайте отсутствовало уведомление о cookies как инструмент сбора ПДн, а сама компания не числилась в реестре операторов. По итогам проверки составлен протокол по ч. 1 ст. 13.11 КоАП (штраф для юрлиц 150 000–300 000 ₽). Оператор оперативно подал уведомление о постановке на учёт в реестр операторов по Приказу РКН № 180 и добавил политику конфиденциальности с разделом о cookies. Мировой судья с учётом устранения нарушений и первичности применил минимальный штраф — в диапазоне ч. 1 ст. 13.11.

Частые вопросы

1. Как подготовиться к проверке РКН?

До получения уведомления проверьте: присутствует ли компания в реестре операторов персональных данных на pd.rkn.gov.ru; актуальна ли политика обработки ПДн (ч. 2 ст. 18.1 ФЗ-152); оформлены ли согласия работников и клиентов как отдельные документы после 01.09.2025 (ФЗ-156); назначен ли ответственный за обработку ПДн по ст. 22.1 ФЗ-152; ведётся ли журнал учёта обращений субъектов. Наличие комплекта ОРД не гарантирует отсутствие нарушений, но существенно сужает перечень возможных претензий инспектора и ускоряет подготовку возражений на акт.

2. Какие индикаторы риска используют РКН?

Индикаторы риска для внеплановых проверок в сфере ПДн утверждены приказом РКН (актуальную редакцию следует проверять на rkn.gov.ru). Типовые индикаторы: отсутствие в реестре операторов при наличии сайта с формами сбора данных; неуведомление об утечке по ст. 21 ч. 3.1 ФЗ-152 в срок 24 часа; более двух жалоб субъектов за квартал; публичные данные об утечке, не зафиксированной в реестре инцидентов РКН. Подпадание под один индикатор не означает автоматическую проверку, но является достаточным основанием для её назначения.

3. Можно ли отказаться отвечать на запрос РКН?

Отказ от предоставления документов и сведений по запросу РКН в рамках проверки квалифицируется как воспрепятствование контрольному мероприятию по ч. 1 ст. 19.4 КоАП — штраф для должностных лиц до 40 000 ₽. Оператор вправе не предоставлять документы, не относящиеся к предмету проверки: это законное ограничение, которое следует оформить письменным мотивированным отказом, а не игнорированием запроса. Запросы, выходящие за рамки предмета контроля, оспариваются в порядке досудебного или судебного обжалования.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания об устранении нарушений требований ФЗ-152 образует состав по ч. 1 ст. 19.5 КоАП: штраф для юридических лиц до 500 000 ₽. При повторном неисполнении — дисквалификация должностного лица на срок от 6 месяцев до 1 года. Предписание можно исполнить частично с документальным подтверждением принятых мер — это снижает риск максимального штрафа. Обжалование предписания в арбитражном суде приостанавливает его исполнение до вступления решения суда в законную силу.

5. Куда обжаловать постановление РКН по ст. 13.11?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 суток с даты получения копии постановления (ст. 30.3 КоАП). При пропуске срока возможно его восстановление при наличии уважительных причин. Параллельно предписание РКН обжалуется в арбитражном суде по ст. 198 АПК РФ — это самостоятельное производство, не зависящее от административного дела.

Итог

Продление проверки РКН — не автоматический шаг инспектора, а процедура с исчерпывающим перечнем оснований, обязательными требованиями к форме решения и срокам уведомления оператора. Нарушение любого из этих элементов создаёт правовую базу для обжалования и исключения результатов проверки из доказательной базы по делу об административном правонарушении.

DATUM сопровождает операторов персональных данных на всех стадиях взаимодействия с РКН: от подготовки документации до обжалования постановлений по ст. 13.11 КоАП в судах общей юрисдикции и арбитражных судах. Практика включает дела по ч. 1–15 ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП для снижения или замены штрафа.

Услуги DATUM по теме

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов, подсудность после ФЗ-508 от 28.12.2025.

25 мая 2027 года