Сроки рассмотрения жалобы РКН: 30 дней + продление
Жалоба субъекта персональных данных в Роскомнадзор — это формализованная точка входа, после которой у оператора остаётся крайне мало времени на исправление ситуации. Регулятор вправе запросить документы, провести профилактический визит или возбудить внеплановую проверку. Для юриста компании понимание хронологии и процедурных требований — условие эффективной защиты. В этом материале разобраны нормативные основания сроков, логика их продления, различие между жалобой субъекта и проверкой РКН, а также типовые сценарии развития событий после поступления жалобы.
Как устроен срок рассмотрения жалобы РКН: что говорит закон?
Жалоба субъекта персональных данных на действия оператора регулируется Федеральным законом № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». Базовый срок рассмотрения — 30 календарных дней с даты регистрации обращения в РКН. Этот срок единый: он применяется к жалобам на нарушение прав субъектов в сфере персональных данных, обращениям об отказе оператора уничтожить или уточнить данные, а также к заявлениям о незаконной обработке.
Если РКН не может рассмотреть жалобу в 30-дневный срок — например, требуется запрос дополнительных сведений у оператора или проведение проверки, — срок продлевается ещё на 30 дней. Заявитель при этом получает письменное уведомление о продлении с указанием причины. Итоговый максимальный срок рассмотрения, таким образом, составляет 60 дней.
Параллельно с рассмотрением жалобы РКН вправе направить оператору запрос о предоставлении документов и сведений. Оператор обязан ответить в срок, указанный в запросе. Непредоставление ответа или предоставление недостоверных сведений — самостоятельное основание для возбуждения административного дела по ст. 19.7 КоАП. Юрист, получивший такой запрос, должен немедленно оценить объём истребуемых документов и возможность их подготовки в установленный срок.
Чем жалоба субъекта отличается от плановой и внеплановой проверки РКН?
Жалоба субъекта — это обращение физического лица, которое полагает, что его права в сфере персональных данных нарушены конкретным оператором. Она не является проверкой сама по себе. Однако жалоба может стать основанием для перехода к более серьёзным контрольным мероприятиям.
Плановая проверка проводится на основании ежегодного плана РКН, который публикуется не позднее 31 декабря предшествующего года. Основной критерий включения в план — истечение трёх лет с момента государственной регистрации оператора или предыдущей плановой проверки. В период действия моратория (введённого в 2022 году) плановые проверки фактически были ограничены: приоритет сместился на внеплановые мероприятия и профилактические визиты. Юрист должен следить за актуальностью моратория и его условиями.
Внеплановая проверка может быть инициирована на основании жалобы субъекта, истечения срока ранее выданного предписания, поручения прокуратуры или при выявлении индикаторов риска. Именно этот вид проверки наиболее вероятен как следствие жалобы. Профилактический визит — более мягкая форма: инспектор посещает организацию, фиксирует состояние дел, но не вправе составлять протоколы об административных правонарушениях непосредственно по итогам визита.
Получили запрос РКН или уведомление о проверке?
Если юрист компании получил запрос документов от РКН в связи с жалобой субъекта — у вас ограниченный срок на подготовку позиции. Ошибка в составе ответа или пропуск срока сужает возможности при обжаловании. Юристы DATUM готовят ответы на запросы РКН, сопровождают внеплановые проверки и формируют доказательную базу для арбитража.
Подготовиться к проверке РКНОтветим в течение 2 часов · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Какие индикаторы риска РКН влекут внеплановую проверку?
Индикаторы риска — это формализованные сигналы, при выявлении которых РКН вправе инициировать внеплановое контрольное мероприятие без ожидания жалобы субъекта. Перечень индикаторов утверждён подзаконным актом Роскомнадзора. В числе наиболее распространённых — появление сведений об утечке данных оператора в открытом доступе или в тёмном сегменте интернета, поступление массовых жалоб субъектов на одного оператора, а также отсутствие оператора в реестре РКН при фактической обработке персональных данных.
Присутствие в реестре операторов персональных данных (ведётся на основании ст. 22 ФЗ-152) — базовое требование. Оператор обязан направить уведомление о намерении обрабатывать персональные данные до начала обработки. Форма уведомления утверждена Приказом РКН № 180 от 28.10.2022. Срок включения в реестр после подачи уведомления — 30 дней. Отсутствие в реестре при наличии сайта с формами сбора данных является прямым индикатором риска и основанием для штрафа по ч. 10 ст. 13.11 КоАП — от 100 тыс. до 300 тыс. ₽ для юридического лица.
Утечка данных, попавшая в публичный доступ, влечёт одновременно несколько процедур: уведомление РКН в 24 часа по ч. 3.1 ст. 21 ФЗ-152, отчёт в 72 часа по Приказу РКН № 187, а также, как правило, внеплановую проверку на основании индикатора риска. Неуведомление об утечке — штраф по ч. 11 ст. 13.11 КоАП от 1 до 3 млн ₽ для юридического лица.
Что подготовить при поступлении жалобы субъекта в РКН
- Выписку из реестра операторов ПДн с pd.rkn.gov.ru — подтверждение регистрации и актуальности сведений об обработке.
- Актуальную политику обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованную на сайте оператора.
- Отдельные согласия субъектов — в соответствии с требованиями ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действуют с 01.09.2025).
- Журнал учёта обращений субъектов с входящими запросами за последние 12 месяцев и доказательства ответов в установленные сроки.
- Приказ о назначении ответственного за организацию обработки персональных данных по ст. 22.1 ФЗ-152.
Типовые сценарии развития событий после жалобы в РКН
Хронология событий после поступления жалобы субъекта зависит от содержания жалобы, наличия документов у оператора и позиции РКН. Три сценария охватывают большинство ситуаций.
Сценарий 1. Жалоба на отказ оператора уничтожить персональные данные. Субъект потребовал уничтожения данных в порядке ст. 21 ФЗ-152. Оператор не ответил в срок или отказал без законного основания. РКН регистрирует жалобу, направляет оператору запрос с 10-дневным сроком ответа. Оператор обязан предоставить доказательства правомерного хранения или подтвердить факт уничтожения. Если доказательств нет — РКН выдаёт предписание об устранении нарушения. Невыполнение предписания влечёт штраф по ч. 5 ст. 13.11 КоАП (50–90 тыс. ₽) и самостоятельную ответственность за невыполнение предписания контрольного органа по ст. 19.5 КоАП. Стратегия: немедленно проверить правовое основание хранения (ст. 6 ФЗ-152), при его наличии — подготовить аргументированный ответ с приложением документов.
Сценарий 2. Жалоба на незаконную обработку персональных данных в маркетинговых целях. Субъект не давал согласия на рекламные рассылки, однако получает их. РКН запрашивает согласие у оператора. Оператор не может предоставить отдельное согласие, соответствующее требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025. РКН возбуждает дело по ч. 2 ст. 13.11 КоАП — штраф от 300 тыс. до 700 тыс. ₽. При повторности — ч. 2.1, штраф 1–1,5 млн ₽. Исход во многом определяется тем, была ли переработана форма согласия после ФЗ-156. Стратегия: провести аудит всех форм сбора данных, переоформить согласия до проверки.
Сценарий 3. Жалоба как триггер проверки с широким охватом. Субъект направил жалобу по конкретному нарушению, однако в ходе внеплановой проверки РКН выявляет системные нарушения: отсутствие политики обработки, устаревший реестр, отсутствие соглашений с подрядчиками-обработчиками по ст. 6 ФЗ-152. По каждому нарушению составляется отдельный протокол. Итог — несколько составов по ст. 13.11 КоАП одновременно. Стратегия: до получения запроса РКН провести внутренний аудит по чек-листу из 38 пунктов и устранить нарушения превентивно.
Как это применяется на практике
Кейс 1. Оператор из сферы розничной торговли (Центральный ФО, осень 2025) получил жалобу субъекта через РКН на отказ уточнить персональные данные. На запрос РКН оператор не ответил в установленный срок: юридическая служба не отслеживала входящую корреспонденцию от регулятора. РКН выдал предписание, оператор его проигнорировал. Итог — два протокола по ст. 13.11 КоАП (ч. 4 и ч. 5) и протокол по ст. 19.5 КоАП, штрафы в совокупности превысили 150 тыс. ₽. Подключение юристов на стадии обжалования позволило снизить суммарный штраф через применение ст. 4.1.1 КоАП в части первичного нарушения по ч. 4.
Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) была включена в план внеплановых проверок после появления сведений об утечке клиентских данных в открытом доступе. Уведомление РКН об утечке по ч. 3.1 ст. 21 ФЗ-152 не направлялось — инцидент квалифицировали как технический сбой. РКН возбудил дело по ч. 11 ст. 13.11 КоАП (штраф 1–3 млн ₽) и по ч. 12 (утечка от 1 000 до 10 000 субъектов, штраф 3–5 млн ₽). Юристы оспорили квалификацию по ч. 12, доказав, что число субъектов, чьи данные стали доступны третьим лицам, не достигло порогового значения. Итоговый штраф составил сумму в нижней части диапазона по ч. 11.
Если юрист компании анализирует ситуацию после жалобы субъекта в РКН — важно оценить реальные риски до того, как регулятор перейдёт к проверке. 30 дней рассмотрения жалобы — это окно для приведения документации в порядок. Юристы DATUM проводят экспресс-аудит за 5 рабочих дней и готовят позицию для взаимодействия с РКН.
Защитить от штрафа по ст. 13.11Услуги DATUM по теме
- Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписания.
- Аудит соответствия 152-ФЗ — оценка документации и процессов по чек-листу из 38 пунктов, отчёт с планом устранения.
- Защита при штрафе в арбитраже — оспаривание протоколов и постановлений, применение ст. 4.1 и 4.1.1 КоАП.
Частые вопросы
1. Как подготовиться к проверке РКН?
Подготовка включает несколько обязательных направлений. Первое — проверить актуальность записи в реестре операторов персональных данных: сведения об обработке должны соответствовать фактической деятельности, форма уведомления подаётся по Приказу РКН № 180. Второе — привести политику обработки персональных данных в соответствие с ч. 2 ст. 18.1 ФЗ-152 и опубликовать на сайте. Третье — проверить согласия: с 01.09.2025 согласие должно быть отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156. Четвёртое — проверить наличие договоров (поручений) с обработчиками по п. 3 ст. 6 ФЗ-152. Пятое — убедиться, что назначен ответственный за обработку ПДн по ст. 22.1 ФЗ-152 и есть соответствующий приказ.
2. Какие индикаторы риска использует РКН для назначения внеплановой проверки?
Перечень индикаторов риска утверждён подзаконным актом Роскомнадзора. К наиболее распространённым относятся: сведения об утечке данных оператора в открытом доступе или даркнете; массовые жалобы субъектов на одного оператора; отсутствие оператора в реестре при фактической обработке персональных данных; несоответствие сведений в реестре реальной деятельности; истечение срока ранее выданного предписания. Наличие хотя бы одного индикатора является самостоятельным основанием для назначения внеплановой проверки без предварительного уведомления.
3. Можно ли отказаться отвечать на запрос РКН в рамках рассмотрения жалобы?
Нет. Оператор обязан предоставить запрошенные сведения и документы в срок, указанный в запросе. Непредоставление ответа квалифицируется по ст. 19.7 КоАП как непредставление сведений государственному органу. Уклонение от ответа также расценивается регулятором как косвенное признание нарушения и может ускорить переход к внеплановой проверке. Если документы объективно невозможно подготовить в установленный срок — следует направить мотивированное ходатайство о продлении с указанием причин.
4. Что грозит за невыполнение предписания РКН?
Невыполнение предписания РКН об устранении нарушений в сфере персональных данных влечёт ответственность по двум основаниям. Первое — ст. 19.5 КоАП (невыполнение предписания контрольного органа): штраф для юридического лица до 500 тыс. ₽, при повторности — до 1 млн ₽. Второе — по существу выявленного нарушения ст. 13.11 КоАП: состав определяется характером нарушения и может включать ч. 5 (50–90 тыс. ₽ за неуничтожение данных), ч. 2 (300–700 тыс. ₽ за незаконную обработку) и другие части в зависимости от обстоятельств. Оба протокола составляются одновременно.
5. Куда обжаловать постановление РКН по ст. 13.11 КоАП?
С 28.12.2025 — в соответствии с ФЗ-508 — дела по ст. 13.11 КоАП вновь подсудны мировым судьям. Постановление РКН обжалуется в районный суд по месту нахождения органа, вынесшего постановление, либо по месту совершения правонарушения — в течение 10 суток с даты получения постановления. В ходе обжалования возможно применение ст. 4.1.1 КоАП (замена штрафа на предупреждение для субъектов малого предпринимательства при отсутствии вреда и первичности нарушения) и ст. 4.1 КоАП (учёт смягчающих обстоятельств, в том числе инвестиций в информационную безопасность).
Итог
Срок рассмотрения жалобы субъекта в РКН составляет 30 дней с возможностью продления ещё на 30 дней. Для оператора это окно, в котором можно привести документацию в соответствие, сформировать доказательную базу и выстроить позицию до начала проверочных мероприятий. Промедление закрывает процессуальные возможности и увеличивает итоговый размер санкций.
Юристы DATUM сопровождают операторов персональных данных в ходе взаимодействия с РКН с 2014 года: от первичного запроса до обжалования постановления в суде. Практика охватывает более 300 операторов из разных отраслей.