справочник 17 ноября 2026 По состоянию на 17 ноября 2026

Реестр операторов и индикаторы риска

Реестр операторов персональных данных — публичный перечень организаций и ИП, уведомивших Роскомнадзор о намерении обрабатывать ПДн по ст. 22 ФЗ-152.

Отсутствие в реестре или расхождение реальной обработки с уведомлением — самостоятельные составы ст. 13.11 КоАП. Штраф по ч. 10 — от 100 000 до 300 000 ₽. При повторном нарушении и утечке — оборотный штраф по ч. 15 от 20 млн ₽.

→ Если вы юрист и проверяете комплаенс компании — сверьте реестровую запись с фактической обработкой до прихода проверяющих.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи. РКН формирует перечень индикаторов риска нарушения обязательных требований и использует их при выборе объектов для внеплановых контрольных мероприятий. Ниже — ключевые понятия, структура реестра и механика риск-ориентированного контроля.

Что такое реестр операторов и как в нём оказаться?

Оператор персональных данных по ст. 3 ФЗ-152 — государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и (или) осуществляют обработку ПДн.

Уведомление о намерении обрабатывать ПДн подаётся до начала обработки через портал pd.rkn.gov.ru с применением УКЭП или через ЕСИА. Форма утверждена Приказом РКН №180 от 28.10.2022. РКН включает оператора в реестр в течение 30 дней.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН до начала обработки персональных данных. Срок включения в реестр — 30 дней с даты регистрации уведомления.»

В уведомлении указываются: наименование и адрес оператора, цели обработки, правовые основания, категории ПДн, категории субъектов, перечень действий, описание технических мер защиты, сведения о трансграничной передаче. При изменении любого из этих сведений оператор направляет уточнённое уведомление в течение 10 рабочих дней.

Ряд операторов вправе не подавать уведомление — если обрабатывают ПДн исключительно работников для целей трудового договора, данные общедоступных источников, данные без автоматизации для разовых целей и в иных случаях из ч. 2 ст. 22 ФЗ-152. На практике большинство коммерческих организаций под исключения не подпадают.

Что такое индикаторы риска и какие из них применяет РКН?

Индикаторы риска нарушения обязательных требований — формализованные критерии, при выявлении которых контрольный орган вправе инициировать внеплановое контрольное мероприятие без жалобы и без прокурорского согласования (ч. 9 ст. 57 ФЗ-248 «О государственном контроле»).

РКН утвердил перечень индикаторов для надзора в сфере ПДн. К типовым относятся следующие.

Отсутствие в реестре операторов. Если организация обрабатывает ПДн клиентов, но уведомление не подавалось — это прямой индикатор. РКН выявляет через анализ сайтов, обращений субъектов и публичных источников.

Расхождение реестровой записи с фактической обработкой. Оператор уведомил о маркетинге, а фактически передаёт ПДн третьим лицам или обрабатывает специальные категории. Выявляется при профилактическом визите.

Поступление жалобы субъекта. Обращение в РКН от гражданина — самостоятельное основание для внеплановой проверки. Жалобы на отказ уничтожить ПДн или на нераскрытую политику конфиденциальности входят в топ.

Сведения о компрометации базы ПДн. Публикация фрагментов базы в даркнете, сообщение от НКЦКИ или ГосСОПКА — триггер для внепланового мероприятия по Приказу РКН №187 от 14.11.2022.

Нарушение срока уведомления об инциденте. Если оператор не направил первичное уведомление об утечке в течение 24 часов или не представил отчёт через 72 часа — Приказ РКН №187 обязывает зафиксировать нарушение, которое квалифицируется по ч. 11 ст. 13.11 КоАП (штраф 1–3 млн ₽).

«Ч. 10 ст. 13.11 КоАП — неуведомление или несвоевременное уведомление РКН о намерении обрабатывать ПДн — штраф для юрлица от 100 000 до 300 000 ₽ (в редакции с 30.05.2025).»

Нужно проверить реестровую запись и индикаторы риска?

Если вы юрист и готовите компанию к проверке — несоответствие реестровой записи реальной обработке выявляется на аудите. Юристы DATUM проводят аудит соответствия 152-ФЗ по чек-листу из 38 пунктов и выдают отчёт с приоритизированным планом устранения нарушений. До прихода РКН есть время привести документы в порядок.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Виды контрольных мероприятий РКН: как различать и что ожидать?

Плановая проверка — включается в ежегодный план РКН, публикуемый на сайте rkn.gov.ru. Периодичность для операторов с высокой категорией риска — раз в 3 года. Уведомление направляется за 3 рабочих дня до начала.

Внеплановая проверка — назначается при выявлении индикатора риска, поступлении жалобы субъекта, неисполнении предписания или по поручению Президента, Правительства, Генпрокуратуры. Согласования с прокуратурой для внеплановых проверок по индикаторам риска не требуется.

Профилактический визит — профвизит — форма профилактики без составления протокола. Инспектор приходит, изучает документы и практику, консультирует. Отказаться от профвизита можно, направив уведомление в РКН в течение 3 рабочих дней с момента получения предложения. На практике отказ фиксируется как индикатор и повышает вероятность внеплановой проверки.

Мораторий на проверки — в 2022–2024 годах действовали ограничения на проверки малого и среднего бизнеса по ПП РФ о моратории. С 2025 года мораторий для надзора в сфере ПДн фактически не применяется: РКН использует индикаторы риска и профвизиты вне моратория.

Что подготовить к проверке РКН

Выписка из реестра операторов ПДн с pd.rkn.gov.ru — актуальная на дату проверки.
Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте.
Отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025).
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
Журнал учёта обращений субъектов с входящими запросами за 12 месяцев.

Как работает обжалование предписания и постановления РКН?

Предписание РКН — акт, обязывающий оператора устранить нарушение в установленный срок. Невыполнение предписания — самостоятельный состав нарушения и основание для возбуждения дела об административном правонарушении.

Постановление о назначении административного наказания — итоговый акт по делу об АП. С 28.12.2025 (ФЗ-508) дела по ст. 13.11 рассматривают мировые судьи. До этого — с 30.05.2025 по 27.12.2025 — рассматривали арбитражные суды.

Порядок обжалования постановления мирового судьи: жалоба в районный суд в течение 10 суток с момента вручения копии постановления. Далее — кассационная жалоба в суд субъекта. Жалоба подаётся через суд, вынесший постановление.

При обжаловании применяются ст. 4.1 КоАП (снижение штрафа ниже минимума при исключительных обстоятельствах) и ст. 4.1.1 КоАП (замена штрафа предупреждением для микропредприятий при первичном нарушении без вреда). Ст. 4.1.1 не применяется к оборотным составам — ч. 15 и ч. 18 ст. 13.11.

Отдельно — снижение оборотного штрафа по ч. 15 при документально подтверждённых инвестициях в ИБ не менее 0,1% совокупной выручки за 3 предшествующих года (ст. 4.1 КоАП, примечание, введённое ФЗ-420): штраф составит 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.

Если юрист компании получил протокол по ст. 13.11 или предписание РКН — у вас 10 суток на обжалование постановления. Юристы DATUM оспорят протокол и постановление, применят ст. 4.1 и ст. 4.1.1 КоАП для снижения или замены штрафа.

Защитить от штрафа 13.11

Типовые ситуации

Ситуация 1. Компания не в реестре. Розничная сеть (Сибирский ФО, осень 2025) обрабатывала ПДн клиентов программы лояльности три года без уведомления РКН. Субъект направил жалобу — РКН инициировал внеплановую проверку по индикатору риска. Составлен протокол по ч. 10 ст. 13.11 (неуведомление о намерении обрабатывать). Параллельно выявлено отсутствие политики — ч. 3 ст. 13.11. Суммарный штраф — в диапазоне нескольких сотен тысяч рублей. Стратегия: подать уведомление до вынесения постановления, применить ст. 4.1.1 КоАП для замены штрафа по ч. 3 на предупреждение.

Ситуация 2. Реестровая запись устарела. IT-компания (Центральный ФО, начало 2026) уведомила РКН три года назад, но затем запустила новый продукт с обработкой биометрических ПДн. Реестровая запись не обновлялась. При профвизите инспектор выявил расхождение. Составлен протокол по ч. 1 ст. 13.11 (обработка, несовместимая с заявленными целями) и по ч. 16 (биометрия без надлежащего согласия). Стратегия: немедленно направить уточнённое уведомление, подготовить письменные согласия на обработку биометрии по ст. 11 ФЗ-152, оспорить применение ч. 16 в части надлежащего согласия.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка реестровой записи, ОРД и фактической обработки.
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания.
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП.

Частые вопросы

1. Как подготовиться к проверке РКН?

Начните с выписки из реестра операторов на pd.rkn.gov.ru: проверьте, совпадают ли заявленные цели и категории ПДн с реальной обработкой. Затем проверьте наличие опубликованной политики по ч. 2 ст. 18.1 ФЗ-152, актуальных согласий субъектов по ст. 9 в редакции с 01.09.2025, приказа о назначении ответственного по ст. 22.1 и журнала обращений субъектов. Расхождение хотя бы по одному пункту — повод для составления протокола.

2. Какие индикаторы риска использует РКН?

Утверждённый перечень включает: отсутствие оператора в реестре, несоответствие реестровой записи фактической обработке, жалобы субъектов на оператора, сведения о компрометации базы ПДн из открытых источников или от НКЦКИ, нарушение сроков уведомления об инциденте по Приказу РКН №187. При выявлении индикатора РКН вправе назначить внеплановое контрольное мероприятие без согласования с прокуратурой.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Непредставление документов по запросу РКН в ходе проверки или при осуществлении систематического наблюдения квалифицируется как воспрепятствование контролю. Это самостоятельный состав административного правонарушения по ст. 19.4.1 КоАП. Рекомендуется готовить ответ в установленный срок и при необходимости запрашивать его продление в письменном виде.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания в установленный срок является основанием для составления нового протокола по ч. 1 ст. 19.5 КоАП (неисполнение законного предписания контрольного органа) — штраф для юрлица от 10 000 до 20 000 ₽, для должностного лица — от 1 000 до 2 000 ₽. Помимо этого, неисполненное предписание повышает категорию риска оператора и ускоряет назначение следующей внеплановой проверки.

5. Куда обжаловать постановление РКН о штрафе?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 суток с момента вручения копии. Жалоба подаётся через мирового судью, вынесшего постановление. Для снижения штрафа применяются ст. 4.1 КоАП (исключительные обстоятельства) и ст. 4.1.1 КоАП (замена на предупреждение для микропредприятий при первичном нарушении).

Итог

Реестр операторов — не формальность, а базовый элемент комплаенса по 152-ФЗ. Несоответствие реестровой записи реальной обработке само по себе является составом ч. 1 ст. 13.11 КоАП, а отсутствие уведомления — составом ч. 10 с штрафом до 300 000 ₽. Индикаторы риска переводят РКН на риск-ориентированную модель: проверку получают не все подряд, а те, чьи действия формируют конкретный сигнал.

DATUM сопровождает операторов при подготовке к проверкам РКН, проводит аудит реестровых записей и ОРД, защищает интересы в делах по ст. 13.11 КоАП с момента составления протокола до вступления постановления в силу.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.

17 ноября 2026 года