аналитика 25 апреля 2027 По состоянию на 25 апреля 2027

Проверка Роскомнадзора 2026: гид по подготовке

Проверка Роскомнадзора — контрольное мероприятие по ФЗ-152, по итогам которого оператор получает предписание об устранении нарушений или протокол по ст. 13.11 КоАП.

С 30.05.2025 действует новая редакция ст. 13.11 КоАП (ФЗ-420): штрафы выросли до 15 млн ₽ за одну утечку, а повторная — оборотный штраф до 500 млн ₽. Внеплановые проверки по индикаторам риска идут без предупреждения.

Если вы юрист и готовите компанию к проверке или уже получили запрос РКН — ниже пошаговый разбор: нормы, документы, типичные ошибки и стратегия защиты. → Подробнее о сопровождении проверок

К 2026 году Роскомнадзор перешёл от разовых плановых проверок к риск-ориентированному надзору: ведомство формирует план по индикаторам риска, реагирует на жалобы субъектов и сведения об утечках в открытых источниках. Юрист, который сопровождает компанию по 152-ФЗ, должен знать не только состав пакета ОРД, но и логику РКН: что ищут инспекторы, какие нарушения фиксируют в первую очередь и как выстроить защиту от момента получения уведомления до исполнения предписания.

Какие виды проверок проводит Роскомнадзор по 152-ФЗ?

Роскомнадзор проводит три формата контрольных мероприятий в рамках надзора за обработкой персональных данных.

Плановая проверка. Включается в ежегодный план на основании профиля риска оператора. С 2022 года действует мораторий на плановые проверки малого и среднего бизнеса, но он не распространяется на случаи жалоб субъектов и на крупных операторов. Срок проведения — до 20 рабочих дней.

Внеплановая проверка. Назначается по обращению субъекта персональных данных, по поручению прокуратуры, по истечении срока исполнения ранее выданного предписания или при поступлении сведений об инциденте (утечке). Именно этот вид мероприятий стал основным инструментом РКН начиная с 2023 года.

Профилактический визит. Введён законом о государственном контроле (ФЗ-248 от 31.07.2020). Инспектор знакомит оператора с обязательными требованиями, не составляя протокол. Однако выявленные в ходе визита нарушения могут стать основанием для внеплановой проверки. Отказаться от профвизита оператор вправе, направив уведомление в РКН.

«Ст. 19.1 ФЗ-248 — профилактический визит проводится по согласованию с оператором; от него можно отказаться в срок, установленный контрольным органом.»

Что такое индикаторы риска и как РКН их применяет?

Индикаторы риска — это перечень признаков, при наступлении которых РКН вправе инициировать внеплановую проверку без предварительного уведомления оператора. Перечень утверждён приказом Минцифры и публикуется на официальном сайте ведомства.

К типовым индикаторам относятся: появление данных из баз оператора в открытых источниках или даркнете; три и более жалобы субъектов персональных данных в течение 90 дней; отсутствие оператора в реестре РКН при наличии сайта с формами сбора данных; несоответствие уведомления по Приказу РКН №180 фактической обработке.

По данным РКН, в 2024 году зафиксировано свыше 135 случаев компрометации баз данных операторов с общим объёмом более 710 млн записей. Каждый публично выявленный инцидент автоматически активирует проверку по индикатору «появление ПДн в открытом доступе».

Получили запрос или уведомление о проверке РКН?

Если вы юрист и компания только что получила уведомление о внеплановой проверке или запрос РКН — у вас, как правило, не более 10 рабочих дней на подготовку пакета документов. Каждый пропущенный документ фиксируется инспектором отдельно. Юристы DATUM подготовят пакет ОРД, проверят соответствие уведомления в реестре и выработают позицию по каждому потенциальному нарушению.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие документы проверяет инспектор в первую очередь?

Инспектор РКН действует по чек-листу, закреплённому в форме проверочного листа. Практика показывает устойчивую последовательность: сначала сверяется факт уведомления и актуальность реестровой записи, затем наличие и содержание политики конфиденциальности, затем — согласия и основания обработки.

Что подготовить к проверке РКН

Актуальная выписка из реестра операторов ПДн с pd.rkn.gov.ru — уведомление подано по Приказу РКН №180, сведения соответствуют фактической обработке
Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте оператора
Согласия субъектов на обработку ПДн — отдельные документы по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025), реквизиты согласия полные
Приказ о назначении лица, ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152), с должностной инструкцией
Журнал учёта обращений субъектов за последние 12 месяцев с подтверждением ответов в срок 10 рабочих дней (ст. 20 ФЗ-152)

Отдельный блок проверки — технические и организационные меры защиты по ст. 19 ФЗ-152. Инспектор запрашивает акт определения уровня защищённости ИСПДн по ПП РФ №1119 и перечень реализованных мер по Приказу ФСТЭК №21. При обработке специальных категорий ПДн (ст. 10 ФЗ-152) — согласие в письменной форме и обоснование категории угроз.

Нарушение требований к политике конфиденциальности влечёт штраф по ч. 3 ст. 13.11 КоАП — 30–60 тыс. ₽ для юридического лица. Отсутствие уведомления в реестре — ч. 10 ст. 13.11, штраф 100–300 тыс. ₽. Оба нарушения могут быть зафиксированы одновременно в рамках одной проверки.

Как выглядит внеплановая проверка по факту утечки?

Внеплановая проверка по ч. 3.1 ст. 21 ФЗ-152 назначается после того, как РКН получил первичное уведомление об инциденте или выявил факт утечки самостоятельно. К этому моменту у оператора уже истекли 24 часа на первичное уведомление и 72 часа на отчёт по Приказу РКН №187.

Инспектор проверяет: был ли соблюдён срок уведомления, содержит ли отчёт обязательные сведения, приняты ли меры по блокированию несанкционированного доступа. Несвоевременное уведомление или его отсутствие — состав по ч. 11 ст. 13.11 КоАП, штраф 1–3 млн ₽.

Если утечка затронула от 1 000 до 10 000 субъектов — возникает дополнительный состав по ч. 12 ст. 13.11 КоАП (3–5 млн ₽). При повторном нарушении вступает оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

«Ст. 13.11 ч. 15 КоАП (ред. ФЗ-420, действует с 30.05.2025) — повторная утечка влечёт оборотный штраф: 1–3% выручки за предшествующий год, не менее 20 млн ₽ и не более 500 млн ₽.»

Типичные сценарии проверки и стратегия защиты

Сценарий 1. Жалоба субъекта на нереализованное право. Субъект направил требование уничтожить его ПДн или получить информацию об обработке. Оператор ответил с нарушением 10-рабочих-дневного срока по ст. 20 ФЗ-152 или не ответил вовсе. РКН получает жалобу, инициирует внеплановую проверку. Доказательная база для защиты: входящие журналы, исходящие письма с отметкой о дате отправки, подтверждение электронной переписки. Стратегия: устранить нарушение до составления протокола, предоставить доказательства устранения, ходатайствовать о применении ст. 4.1.1 КоАП (замена на предупреждение) при первичности и отсутствии вреда.

Сценарий 2. Несоответствие реестровой записи фактической обработке. Оператор уведомил РКН по Приказу №180 три года назад и с тех пор не обновлял запись: изменились цели, добавились новые категории субъектов, подключён новый подрядчик-обработчик. Инспектор сравнивает уведомление с фактическим процессом обработки. Доказательная база: актуализированное уведомление, поданное до или в ходе проверки, договоры с обработчиками по п. 3 ст. 6 ФЗ-152. Стратегия: подача изменения через pd.rkn.gov.ru до начала проверочных действий существенно снижает риск протокола.

Сценарий 3. Предписание об устранении — и угроза повторной проверки. По итогам проверки оператор получил предписание. Срок исполнения — как правило, 30–90 дней. Неисполнение в срок — основание для внеплановой проверки и нового протокола по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽) с отягчающим признаком повторности. Стратегия: приоритизировать устранение нарушений из предписания, направить отчёт об исполнении до истечения срока, фиксировать каждый шаг документально.

Если юрист компании выявил несоответствие реестровой записи фактической обработке — срок на актуализацию уведомления по Приказу РКН №180 ограничен. Подача до начала проверки снижает вероятность протокола по ч. 10 ст. 13.11 (100–300 тыс. ₽). Юристы DATUM проведут аудит уведомления и подготовят актуализированную форму.

Заказать аудит 152-ФЗ

Как применяются результаты проверки и можно ли обжаловать предписание?

По итогам проверки инспектор составляет акт. При выявлении нарушений — предписание об их устранении и (или) протокол об административном правонарушении по ст. 13.11 КоАП. С 28.12.2025 (ФЗ-508) дела по ст. 13.11 рассматривают мировые судьи.

Предписание можно обжаловать в вышестоящий орган РКН или в арбитражный суд в течение 3 месяцев с даты получения. Постановление по делу об административном правонарушении обжалуется в районный суд или арбитражный суд в течение 10 дней. Для юридических лиц — в арбитражный суд субъекта.

При обжаловании протокола по ст. 13.11 применяются два ключевых инструмента: ст. 4.1 КоАП (смягчающие обстоятельства — добровольное устранение, сотрудничество с регулятором) и ст. 4.1.1 КоАП (замена штрафа на предупреждение для микропредприятий и МСП при первичности и отсутствии вреда субъектам). При инвестициях в ИБ не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам (ч. 15, ч. 18 ст. 13.11) снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽ (ст. 4.1 примечание 3.4-2 КоАП).

Как это применяется на практике

Кейс 1. Торговая компания (Сибирский ФО, осень 2025) получила внеплановую проверку после жалобы трёх покупателей на нереализованное право по ст. 14 ФЗ-152. На момент проверки политика конфиденциальности на сайте отсутствовала, уведомление в реестре РКН устарело на два года. Юрист подготовил актуализированные документы в ходе проверки, до составления акта. Инспектор зафиксировал нарушения по ч. 3 и ч. 4 ст. 13.11 КоАП. В арбитраже по ч. 3 применена ст. 4.1.1 КоАП — замена штрафа на предупреждение как для субъекта МСП при первичности нарушения.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) уведомила РКН об утечке данных в течение 18 часов после обнаружения инцидента, через 68 часов направила развёрнутый отчёт по Приказу РКН №187. Внеплановая проверка показала корректно заполненный пакет ОРД и актуальное уведомление. РКН вынес предписание по одному техническому нарушению по ч. 3 ст. 13.11 КоАП; штраф оспорен в арбитражном суде региона со снижением до минимума с учётом смягчающих обстоятельств по ст. 4.1 КоАП.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписаний
Аудит соответствия 152-ФЗ — проверка пакета ОРД и уведомления по чек-листу из 38 пунктов
Защита при штрафе в арбитраже — оспаривание протоколов по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1

Частые вопросы

1. Как подготовиться к проверке РКН?

Начните с аудита уведомления в реестре операторов: сведения должны соответствовать фактической обработке, иначе — состав по ч. 10 ст. 13.11 КоАП. Затем проверьте политику конфиденциальности на наличие разделов по ч. 2 ст. 18.1 ФЗ-152, согласия субъектов на соответствие ст. 9 ФЗ-152 в редакции с 01.09.2025, приказ о назначении ответственного по ст. 22.1, журнал обращений субъектов. Технические меры — акт определения уровня защищённости по ПП РФ №1119 и реализованные меры по Приказу ФСТЭК №21.

2. Какие индикаторы риска у РКН?

Типовые индикаторы: данные оператора появились в открытых источниках или даркнете; три и более жалобы субъектов за 90 дней; оператор не включён в реестр РКН, но на сайте есть формы сбора ПДн; уведомление по Приказу №180 не соответствует фактической обработке. Наступление любого из этих признаков даёт РКН основание для внеплановой проверки без предварительного уведомления оператора.

3. Можно ли отказаться отвечать на запрос РКН?

Отказаться от ответа на запрос РКН нельзя — непредставление сведений влечёт ответственность по ч. 1 ст. 19.7 КоАП. Отказаться можно только от профилактического визита — направив уведомление в РКН в установленный срок по ст. 19.1 ФЗ-248. Формальные требования к запросу: он должен быть подписан уполномоченным должностным лицом и содержать перечень запрашиваемых сведений с основанием.

4. Что грозит за невыполнение предписания РКН?

Неисполнение предписания в срок — основание для внеплановой проверки и нового протокола. Повторное нарушение по той же части ст. 13.11 КоАП влечёт повышенный штраф: например, по ч. 1.1 — 300–500 тыс. ₽, по ч. 5.1 — 300–500 тыс. ₽. Неисполнение предписания как самостоятельный состав по ст. 19.5 КоАП — штраф для юридического лица до 500 тыс. ₽.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 дней с даты вручения. Постановление, вынесенное непосредственно РКН (например, по отдельным частям ст. 13.11), — в арбитражный суд субъекта. При обжаловании используйте ст. 4.1 КоАП (смягчающие), ст. 4.1.1 (замена штрафа на предупреждение для МСП) и примечание 3.4-2 ст. 4.1 (снижение оборотного штрафа при инвестициях в ИБ).

Итог

Проверка РКН в 2026 году — это риск-ориентированный надзор: внеплановые мероприятия по индикаторам риска, акцент на утечках и жалобах субъектов, штрафы по новой редакции ст. 13.11 КоАП от 150 тыс. до 500 млн ₽. Подготовка означает актуальный реестровый пакет, корректные согласия по ФЗ-156, полный состав ОРД и задокументированные технические меры.

Юристы DATUM сопровождают операторов в ходе проверок РКН, представляют интересы при составлении актов и обжаловании постановлений в арбитражных судах субъектов. Практика охватывает полный цикл: от аудита уведомления до исполнения предписания.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов.

25 апреля 2027 года