аналитика 16 февраля 2027 По состоянию на 16 февраля 2027

Риск-ориентированный подход РКН

Риск-ориентированный подход — система, при которой Роскомнадзор распределяет операторов ПДн по категориям риска и назначает частоту проверок исходя из набранных индикаторов, а не по очереди.

С 2022 года мораторий на плановые проверки ограничил РКН, но внеплановые проверки и профилактические визиты не подпадают под мораторий. В 2025 году зафиксировано более 30 инцидентов с ПДн, по итогам которых РКН возбудил внеплановые проверки и протоколы по ст. 13.11 КоАП.

Если вы юрист и выявляете риски проверки для своей компании — ниже разобрана механика индикаторов, триггеры внеплановых проверок и стратегия снижения рисков.

Понимание риск-ориентированного подхода РКН критично для юриста, который отвечает за комплаенс по 152-ФЗ. Регулятор формирует профиль риска оператора на основе уведомлений, жалоб субъектов, утечек и публичных инцидентов. Чем выше профиль — тем выше вероятность внеплановой проверки с максимальными санкциями по ст. 13.11 КоАП в редакции с 30.05.2025. Эта статья разбирает, как формируется профиль риска, какие индикаторы его повышают и как снизить вероятность проверки до приемлемого уровня.

Как РКН формирует профиль риска оператора?

Роскомнадзор применяет риск-ориентированный подход на основе общих норм о государственном контроле (надзоре) — прежде всего Федерального закона о государственном контроле (надзоре). Для сферы ПДн механика конкретизирована в административных регламентах РКН и внутренних методиках.

Профиль риска складывается из нескольких блоков данных. Первый — сведения из реестра операторов ПДн по Приказу РКН №180 от 28.10.2022: полнота и актуальность уведомления, категории обрабатываемых ПДн, цели и основания обработки. Оператор, который обрабатывает спецкатегории по ст. 10 ФЗ-152 (медицина, судимость) или биометрию по ст. 11 ФЗ-152, получает повышенную категорию риска автоматически.

Второй блок — жалобы субъектов. Каждая обращение, направленное в РКН, фиксируется в системе. Три и более жалобы за 12 месяцев на одного оператора — устойчивый индикатор для инициирования внеплановой проверки.

Третий блок — публичные инциденты: упоминания утечки в СМИ, появление базы в даркнете, сообщения об инциденте от НКЦКИ или ФСБ. Если утечка стала публичной до уведомления РКН — это немедленный триггер внеплановой проверки по ч. 3.1 ст. 21 ФЗ-152.

«Ст. 21 ч. 3.1 ФЗ-152 — при обнаружении утечки оператор обязан уведомить РКН в течение 24 часов. Через 72 часа — предоставить отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022.»

Четвёртый блок — история взаимодействия с регулятором: ранее выданные предписания, протоколы по ст. 13.11 КоАП, факты неисполнения предписаний. Оператор с историей нарушений получает устойчиво высокий профиль риска и проверяется чаще.

Получили запрос от РКН или обнаружили признаки внеплановой проверки?

Если юрист компании получил уведомление о проверке РКН или запрос о предоставлении документов — срок реагирования ограничен. Ошибки на этапе представления документов сужают возможности обжалования предписания. Юристы DATUM подготовят к проверке, представят интересы в РКН и обжалуют предписание при необходимости.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие индикаторы риска использует РКН при назначении проверок?

Индикаторы риска — формализованные параметры, при достижении которых РКН вправе инициировать внеплановое контрольное мероприятие без плановой очереди. В сфере ПДн к основным индикаторам относятся следующие.

Отсутствие в реестре операторов. Оператор, начавший обработку ПДн без уведомления РКН по ст. 22 ФЗ-152, нарушает требования закона. По итогам 2025 года этот состав фиксируется как один из самых распространённых при проверках. Штраф по ч. 10 ст. 13.11 КоАП — 100 000–300 000 ₽.

Несоответствие уведомления реальной обработке. Компания подала уведомление по Приказу РКН №180, но расширила перечень целей или категорий ПДн, не обновив сведения. РКН сравнивает публичный реестр с информацией из жалоб и собственных мониторинговых источников.

Отсутствие публичной политики конфиденциальности. Ст. 18.1 ФЗ-152 обязывает оператора публиковать политику обработки ПДн. Мониторинговый обход сайтов крупных операторов — стандартная процедура РКН перед назначением проверки. Штраф по ч. 3 ст. 13.11 — 30 000–60 000 ₽.

Жалобы субъектов на нарушение права на доступ к ПДн. Субъект вправе запросить информацию об обработке своих данных по ст. 14 ФЗ-152. Срок ответа — 10 рабочих дней. Неответ или неполный ответ — основание жалобы в РКН и протокол по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽).

Публичная утечка или инцидент с ПДн. Появление данных компании в даркнете, репортаж в СМИ или сообщение от регуляторов ИБ — независимые от жалоб индикаторы. При этом неуведомление РКН об утечке влечёт штраф по ч. 11 ст. 13.11 — 1 000 000–3 000 000 ₽, отдельно от штрафа за саму утечку.

«Ч. 12–14 ст. 13.11 КоАП (ред. с 30.05.2025): за утечку от 1 000 до 10 000 субъектов — 3–5 млн ₽; от 10 000 до 100 000 — 5–10 млн ₽; более 100 000 субъектов — 10–15 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.»

Трансграничная передача без уведомления РКН. Использование зарубежных SaaS-сервисов (CRM, аналитика, email-рассылки) для обработки ПДн граждан РФ требует соблюдения ст. 12 ФЗ-152. Мониторинг инфраструктуры сайтов — ещё один инструмент выявления потенциальных нарушений РКН.

Индикаторы повышенного риска: что проверить прямо сейчас

Уведомление в реестре операторов pd.rkn.gov.ru: наличие, актуальность целей и категорий ПДн, соответствие фактической обработке
Политика конфиденциальности: опубликована ли на сайте, содержит ли обязательные разделы по ч. 2 ст. 18.1 ФЗ-152
Согласия субъектов: соответствие новым требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 с 01.09.2025 (отдельный документ)
Назначен ли ответственный за обработку ПДн по ст. 22.1 ФЗ-152 с приказом и должностной инструкцией
Существует ли утверждённый регламент реагирования на инциденты (24 ч / 72 ч по Приказу РКН №187)

Мораторий на проверки: что он ограничивает, а что — нет?

С 2022 года действует мораторий на плановые проверки для большинства видов государственного контроля. Применительно к РКН это означает, что плановые проверки по ФЗ-152 существенно ограничены. Однако мораторий не распространяется на несколько типов мероприятий, которые составляют основную часть активности РКН в 2024–2025 годах.

Внеплановые проверки по жалобам назначаются без ограничений. Жалоба субъекта ПДн в РКН — самостоятельное и достаточное основание для инициирования внепланового мероприятия. Ограничения моратория здесь не действуют.

Профилактические визиты — форма взаимодействия, при которой инспектор РКН приходит без составления протокола, но вправе выдать предписание. Профвизит не является проверкой формально, поэтому мораторий его не ограничивает. Вместе с тем неустранение выявленных нарушений по итогам профвизита — основание для немедленной внеплановой проверки.

Документарные проверки и запросы документов вне рамок формальной проверки также продолжаются. РКН вправе направить запрос на предоставление документов, и отказ или непредоставление в установленный срок влечёт самостоятельный состав нарушения.

По данным, озвученным РКН и подтверждённым публикациями в профессиональных источниках, в 2025 году регулятор провёл значительное число внеплановых мероприятий по итогам публичных утечек. Параллельно велась работа по жалобам субъектов, число которых продолжает расти — пропорционально росту цифровой грамотности населения и доступности каналов подачи жалоб через Госуслуги.

Типовые сценарии: как РКН применяет риск-ориентированный подход на практике

Сценарий 1. Компания в реестре РКН, но уведомление устарело. Организация подала уведомление по Приказу РКН №180 несколько лет назад и с тех пор расширила перечень обрабатываемых ПДн: добавила биометрию в СКУД, подключила CRM с хранением переписки клиентов. В реестре по-прежнему указаны только «контактные данные» без биометрии и «иных категорий». При поступлении жалобы субъекта на неправомерную обработку инспектор РКН запрашивает документы. Расхождение реестра и фактической обработки влечёт протокол по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) помимо основного состава. Стратегия: ежегодно актуализировать уведомление, сверяя реестровые данные с фактическим перечнем ИСПДн.

Сценарий 2. Профилактический визит завершился предписанием — и не исполнен в срок. РКН провёл профвизит в торговую сеть Сибирского ФО (осень 2025). Выявлено: отсутствует политика конфиденциальности, согласия работников включены в трудовые договоры (нарушение ст. 9 ФЗ-152 в ред. ФЗ-156). Выдано предписание с 30-дневным сроком. Компания устранила нарушения частично — политику опубликовала, согласия не переоформила. Через 45 дней — внеплановая проверка. Итог: протоколы по ч. 2 и ч. 3 ст. 13.11, суммарный штраф в несколько сотен тысяч рублей. Стратегия: исполнять предписания в полном объёме и документировать исполнение для предъявления инспектору.

Сценарий 3. Утечка ПДн — внеплановая проверка и двойной штраф. Компания из Центрального ФО (начало 2026) столкнулась с утечкой базы клиентов через уязвимость в интеграции с маркетинговой платформой. РКН узнал об утечке из публикации в телеграм-канале — раньше, чем компания подала уведомление. Итог: штраф по ч. 11 ст. 13.11 за несвоевременное уведомление (1–3 млн ₽) и отдельный протокол по ч. 13 ст. 13.11 за саму утечку (5–10 млн ₽ при числе пострадавших от 10 000 субъектов). Стратегия: отлаженный регламент реагирования по Приказу РКН №187, позволяющий уложиться в 24 часа для первичного уведомления даже в нестандартных инцидентах.

Если юрист компании анализирует риски внеплановой проверки РКН или получил запрос о предоставлении документов — запас времени ограничен. Юристы DATUM проведут оценку профиля риска, проверят реестровые данные и подготовят документы для взаимодействия с инспектором.

Подготовиться к проверке РКН

Как снизить профиль риска: практический алгоритм для юриста

Снижение профиля риска — это последовательная работа с теми индикаторами, которые РКН учитывает при принятии решения о назначении внепланового мероприятия. Ниже — алгоритм, актуальный для юриста, который ведёт комплаенс по 152-ФЗ.

Шаг 1. Проверьте реестр операторов. Зайдите на pd.rkn.gov.ru и убедитесь, что запись есть, актуальна и отражает фактическую обработку: категории ПДн, цели, правовые основания, перечень ИСПДн, трансграничные передачи. Если данные устарели — подайте уведомление об изменении по Приказу РКН №180.

Шаг 2. Проверьте публичную политику конфиденциальности. Она должна быть доступна по ссылке с главной страницы сайта. Содержание — согласно ч. 2 ст. 18.1 ФЗ-152: цели, правовые основания, перечень третьих лиц, срок хранения, права субъектов, контакты ответственного.

Шаг 3. Переоформите согласия субъектов. С 01.09.2025 согласие на обработку ПДн — отдельный документ по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Согласие, включённое в трудовой договор, оферту или пользовательское соглашение, не отвечает требованиям закона. Это один из наиболее часто выявляемых РКН составов при проверках HR-документации.

Шаг 4. Назначьте ответственного за обработку ПДн. Ст. 22.1 ФЗ-152 требует назначения конкретного лица (или передачи функции на аутсорс) с оформленным приказом. Отсутствие приказа при проверке — самостоятельный индикатор неготовности к надзору.

Шаг 5. Утвердите регламент реагирования на инциденты. Приказ РКН №187 от 14.11.2022 устанавливает, что первичное уведомление направляется через портал уведомлений РКН в течение 24 часов, отчёт — в течение 72 часов. Без регламента и отработанного процесса соблюсти эти сроки практически невозможно.

Комплекс из пяти шагов снижает число активных индикаторов риска с пяти-шести типовых до нуля или одного. Это не исключает проверку по жалобе субъекта, но кардинально меняет позицию компании в ходе мероприятия: минимальные нарушения — минимальные санкции, возможность применения ст. 4.1.1 КоАП при первичном нарушении для микропредприятий.

«Ст. 4.1.1 КоАП: замена штрафа предупреждением возможна для субъектов МСП при первичном нарушении и отсутствии вреда. Не применяется к оборотным составам (ч. 15 и ч. 18 ст. 13.11 КоАП).»

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка состоит из шести направлений: актуализация записи в реестре операторов по Приказу РКН №180; публикация политики конфиденциальности по ст. 18.1 ФЗ-152; переоформление согласий по ст. 9 ФЗ-152 (отдельный документ с 01.09.2025); приказ о назначении ответственного по ст. 22.1; регламент реагирования на инциденты по Приказу РКН №187; журналы учёта обращений субъектов. На практике компании, прошедшие аудит соответствия 152-ФЗ до проверки, получают предписания с существенно меньшим числом пунктов либо отделываются профилактическим визитом без протоколов.

2. Какие индикаторы риска учитывает РКН?

Основные индикаторы: отсутствие или устаревшее уведомление в реестре операторов; отсутствие политики конфиденциальности на сайте; жалобы субъектов, поданные через Госуслуги или письменно в РКН; факт публичной утечки ПДн (появление в СМИ или даркнете); история нарушений (ранее выданные предписания или протоколы по ст. 13.11 КоАП); обработка спецкатегорий ПДн по ст. 10 ФЗ-152 или биометрии по ст. 11 ФЗ-152 — автоматически повышает категорию риска.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Отказ предоставить документы по запросу РКН влечёт самостоятельный состав нарушения и существенно ухудшает позицию оператора при последующей проверке. Вместе с тем у компании есть право запросить разъяснения о правовом основании запроса, уточнить перечень требуемых документов и установленный срок. Важно реагировать письменно, фиксируя каждый шаг. Юрист, сопровождающий взаимодействие с РКН, обеспечивает корректность формулировок и соблюдение сроков.

4. Что грозит за невыполнение предписания РКН?

Неисполнение предписания регулятора — самостоятельный состав нарушения по ст. 19.5 КоАП, штраф для юрлица до 500 000 ₽. Помимо этого, неисполнение влечёт немедленную внеплановую проверку с проверкой всего комплекса требований ФЗ-152, по итогам которой могут быть составлены дополнительные протоколы по ст. 13.11 КоАП. При повторном неисполнении — приостановление обработки ПДн по решению суда.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в 10-дневный срок с даты вручения. Далее — апелляция в региональный суд и кассация. При обжаловании применяются ст. 4.1 КоАП (обстоятельства смягчения) и, при наличии оснований, ст. 4.1.1 КоАП (замена на предупреждение). Для оборотных составов по ч. 15 ст. 13.11 — альтернативный механизм снижения штрафа через подтверждение инвестиций в ИБ не менее 0,1% выручки за три года (ст. 4.1 КоАП, прим. 3.4-2). Подробнее — защита при штрафе в арбитраже.

Итог

Риск-ориентированный подход РКН означает, что вероятность проверки определяется не случайным выбором, а конкретным набором измеримых индикаторов. Устранение каждого из них снижает профиль риска и сужает основания для внеплановых мероприятий. Ключевые индикаторы — актуальность реестрового уведомления, публикация политики, корректность согласий и наличие регламента реагирования на утечки.

Практика DATUM по сопровождению проверок РКН охватывает как подготовительный этап (аудит, ОРД, актуализация уведомлений), так и непосредственное взаимодействие с инспекторами и обжалование предписаний и постановлений. Работаем по ФЗ-152 с 2014 года в составе сети «Ветров и партнёры».

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания
Аудит соответствия 152-ФЗ — проверка 38 пунктов комплаенса с приоритизированным планом устранения нарушений
Защита при штрафе в арбитраже — обжалование протокола и постановления по ст. 13.11 КоАП

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.

16 февраля 2027 года