аналитика 18 апреля 2027 По состоянию на 18 апреля 2027

Сроки рассмотрения жалобы РКН: 30 дней

Роскомнадзор обязан рассмотреть жалобу субъекта персональных данных или обращение в течение 30 дней с момента регистрации — этот срок закреплён Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан» и применяется к административному контролю РКН.

С 30.05.2025 неуведомление РКН об утечке в 24 часа влечёт штраф 1–3 млн ₽ (ч. 11 ст. 13.11 КоАП), а за повторную утечку от 100 000 субъектов оператор рискует оборотным штрафом до 500 млн ₽. Жалоба субъекта — отправная точка внеплановой проверки, и 30-дневный цикл её рассмотрения напрямую влияет на то, когда инспектор появится у вас.

Если вы юрист и получили уведомление о регистрации жалобы в РКН — у вас есть от нескольких дней до нескольких недель, чтобы привести документацию в порядок до начала проверочных действий. → Оценить готовность к проверке

Срок рассмотрения жалобы РКН — это не просто процессуальный норматив. Это окно для оператора: за 30 дней, пока жалоба проходит регистрацию, проверку полноты сведений и передачу в территориальный орган, можно устранить нарушения, подготовить ОРД и выстроить позицию. Разберём, как устроен цикл рассмотрения жалобы, какие индикаторы риска приводят к внеплановой проверке и что грозит за невыполнение предписания РКН.

Как устроен 30-дневный цикл рассмотрения жалобы РКН?

Жалоба субъекта персональных данных на действия оператора регистрируется РКН в течение трёх рабочих дней. Срок рассмотрения — 30 календарных дней со дня регистрации. При необходимости запроса дополнительных сведений или проведения проверки срок продлевается ещё на 30 дней с обязательным уведомлением заявителя. Итого — до 60 дней.

«ФЗ от 02.05.2006 № 59-ФЗ — общий срок рассмотрения обращений: 30 дней со дня регистрации, с однократным продлением до 30 дней при уведомлении заявителя.»

На практике цикл выглядит так: жалоба поступает через портал pd.rkn.gov.ru или письмом, регистрируется в центральном аппарате или территориальном органе, затем направляется оператору для получения объяснений. Оператор обязан ответить в установленный в запросе срок — как правило, от 5 до 10 рабочих дней. Если ответ не поступил или признан неудовлетворительным — инспектор формирует основание для внеплановой проверки.

Уведомление оператора о намерении провести внеплановую проверку направляется не менее чем за 24 часа до её начала. Это означает, что с момента регистрации жалобы до появления инспектора у оператора есть реальное время — от двух до шести недель в зависимости от загрузки территориального органа.

Жалоба уже зарегистрирована в РКН — что делать в первые 48 часов?

Получение запроса от РКН с пометкой «по обращению субъекта» — это сигнал немедленно проверить: внесены ли сведения об операторе в реестр pd.rkn.gov.ru, актуальна ли политика конфиденциальности по ч. 2 ст. 18.1 ФЗ-152, подписаны ли согласия в новой форме по ФЗ-156 (с 01.09.2025). Каждый из этих пробелов — отдельный состав ст. 13.11 КоАП. Неуведомление о намерении обрабатывать ПДн само по себе даёт штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие индикаторы риска запускают внеплановую проверку РКН?

С введением профвизитов и риск-ориентированного контроля РКН формализовал перечень индикаторов, при наступлении которых автоматически возникает основание для внеплановой проверки. Мораторий на плановые проверки малого бизнеса, действовавший с 2022 года, был продлён, однако на внеплановые проверки по жалобам и индикаторам риска он не распространяется.

Основные индикаторы риска, задокументированные РКН:

Отсутствие оператора в реестре операторов ПДн при наличии сайта со сбором данных — выявляется автоматически через сканирование форм.
Отсутствие политики конфиденциальности по адресу, указанному на сайте, либо её несоответствие требованиям ч. 2 ст. 18.1 ФЗ-152.
Передача ПДн российских граждан за рубеж без уведомления РКН по ст. 12 ФЗ-152 — выявляется через анализ DNS и трекеров (Google Analytics 4, Meta Pixel).
Публичный факт утечки ПДн, зафиксированный в открытых источниках, при отсутствии уведомления от оператора по ч. 3.1 ст. 21 ФЗ-152.
Поступление двух и более жалоб от разных субъектов в течение 12 месяцев.
Несоответствие сведений в реестре фактической обработке — например, компания обрабатывает биометрию, не заявленную при уведомлении по Приказу РКН № 180.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки; нарушение — ч. 10 ст. 13.11 КоАП, штраф 100–300 тыс. ₽ для юрлица.»

Профвизит — менее формальный инструмент контроля: инспектор запрашивает документы без выхода на объект. Для оператора это означает, что даже без плановой проверки РКН может потребовать политику, журналы учёта, согласия и договоры поручения обработки. Непредоставление документов в срок само по себе становится индикатором для полноценной проверки.

Что подготовить до получения запроса РКН

Актуальная запись в реестре операторов ПДн (pd.rkn.gov.ru) с верными целями, категориями и получателями ПДн.
Политика обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152, размещённая на сайте по прямой ссылке.
Отдельные согласия работников и пользователей по новым требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025).
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
Журнал учёта запросов субъектов и журнал инцидентов — с отметками о сроках ответа по ст. 20 ФЗ-152.

Что грозит за невыполнение предписания РКН и как обжаловать постановление?

По итогам проверки РКН вправе выдать предписание об устранении нарушений. Срок исполнения предписания устанавливается индивидуально — как правило, 30–90 дней. Невыполнение предписания в срок квалифицируется как самостоятельное нарушение и влечёт возбуждение дела об административном правонарушении по ч. 1 ст. 19.5 КоАП (неисполнение предписания надзорного органа).

Параллельно инспектор вправе составить протокол по ст. 13.11 КоАП за выявленные нарушения. С 30.05.2025 диапазоны штрафов существенно расширены:

Обработка без согласия или с нарушением его состава (ч. 2) — 300–700 тыс. ₽; повторное нарушение (ч. 2.1) — 1–1,5 млн ₽.
Утечка от 1 000 до 10 000 субъектов (ч. 12) — 3–5 млн ₽.
Утечка более 100 000 субъектов (ч. 14) — 10–15 млн ₽.
Повторная утечка — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

«Ст. 13.11 ч. 15 КоАП в ред. ФЗ-420 от 30.11.2024 (действует с 30.05.2025) — оборотный штраф 1–3% годовой выручки при повторной утечке ПДн, не менее 20 млн ₽ и не более 500 млн ₽.»

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи — это возврат к порядку, действовавшему до 30.05.2025. Обжалование постановления мирового судьи подаётся в районный суд в течение 10 суток со дня получения копии постановления (ст. 30.3 КоАП). Далее — апелляция в региональный суд, кассация.

Ключевые основания для снижения или отмены штрафа в судебной практике:

Применение ст. 4.1.1 КоАП: замена штрафа на предупреждение для микропредприятий при первом нарушении без причинения вреда — не применяется к ч. 15 и ч. 18.
Применение ст. 4.1 КоАП примечание 3.4-2: если оператор инвестировал в информационную безопасность не менее 0,1% выручки за три предшествующих года — штраф по оборотным составам снижается до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.
Малозначительность (ст. 2.9 КоАП) — применяется крайне редко при утечках ПДн.
Процессуальные нарушения при составлении протокола — нарушение сроков, ненадлежащее уведомление законного представителя юрлица.

Если юрист компании получил постановление по ст. 13.11 КоАП — 10 суток на подачу жалобы в районный суд. Срок восстановлению не подлежит при пропуске без уважительной причины. Юристы DATUM подготовят жалобу и представят интересы компании в суде.

Защитить от штрафа 13.11

Как это применяется на практике

Кейс 1. Юридическая служба торговой компании (Центральный ФО, осень 2025) получила запрос РКН по жалобе бывшего сотрудника, утверждавшего о незаконной обработке его ПДн после увольнения. Запрос поступил на 12-й день после регистрации жалобы — у юриста оставалось около 18 дней до истечения 30-дневного срока. За это время был актуализирован реестр операторов, оформлено уведомление по Приказу РКН № 180 с уточнёнными целями обработки, подготовлены мотивированные возражения с указанием правового основания хранения ПДн уволенного (75-летний срок для личного дела по требованиям архивного законодательства). РКН вынес уведомление об устранении нарушений без составления протокола.

Кейс 2. В деле об утечке данных клиентов интернет-магазина (Северо-Западный ФО, начало 2026) компания не уведомила РКН в установленный 24-часовой срок по ч. 3.1 ст. 21 ФЗ-152. Жалоба субъекта поступила в РКН через три дня после публикации базы в открытом доступе. По итогам проверки составлен протокол по ч. 11 ст. 13.11 (неуведомление об утечке) и ч. 12 (утечка от 1 000 до 10 000 субъектов). Суммарный штраф составил несколько миллионов рублей. В арбитражном обжаловании удалось снизить штраф по ч. 12 на основании смягчающих обстоятельств (оперативное устранение уязвимости, добровольное уведомление по факту обнаружения жалобы). Штраф по ч. 11 оспорить не удалось — нарушение срока было задокументировано.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка документов, представление интересов, обжалование предписания.
Аудит соответствия 152-ФЗ — проверка реестра операторов, ОРД, согласий и технических мер по чек-листу из 38 пунктов.
Защита при штрафе в арбитраже — обжалование постановления по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1.

Частые вопросы

1. Как подготовиться к проверке РКН?

Минимальный пакет для прохождения проверки: актуальная запись в реестре операторов (pd.rkn.gov.ru), политика конфиденциальности с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025), приказ об ответственном по ст. 22.1, журналы учёта обращений субъектов. Дополнительно — договоры поручения обработки с подрядчиками (ст. 6 ч. 3 ФЗ-152) и документация по уровню защищённости ИСПДн по ПП РФ № 1119.

2. Какие индикаторы риска у РКН?

РКН использует автоматизированный мониторинг сайтов: проверяет наличие политики конфиденциальности, корректность форм сбора данных, использование зарубежных аналитических сервисов (Google Analytics 4, Meta Pixel) без уведомления по ст. 12 ФЗ-152. Жалобы субъектов — главный триггер: две и более жалобы за 12 месяцев приводят к формированию основания для внеплановой проверки. Публично выявленные утечки без уведомления по Приказу РКН № 187 автоматически попадают в перечень нарушителей.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Непредоставление сведений по запросу РКН квалифицируется как воспрепятствование проведению контрольного мероприятия и влечёт самостоятельный состав административного правонарушения. Кроме того, отказ от ответа интерпретируется как косвенное подтверждение нарушения и ускоряет переход к полноценной выездной проверке. Оператор вправе запросить продление срока ответа при наличии объективных причин — это допустимо и не несёт негативных последствий при своевременном уведомлении.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания надзорного органа в установленный срок — самостоятельный состав по ч. 1 ст. 19.5 КоАП: штраф для юрлица до 20 000 ₽ (базовый), для должностного лица — до 2 000 ₽. При этом нарушение, по которому выдано предписание, продолжает существовать — инспектор вправе составить повторный протокол по ст. 13.11 КоАП уже как за повторное нарушение, что многократно увеличивает санкцию. Например, повторное нарушение требований согласия (ч. 2.1) — уже 1–1,5 млн ₽.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 суток со дня получения копии постановления (ст. 30.3 КоАП). Далее — апелляция в суд субъекта федерации, кассация. Жалобу следует направлять через суд, вынесший постановление. Если интересы юрлица представляет юрист по доверенности — доверенность должна содержать специальное полномочие на ведение административных дел.

Итог

Тридцатидневный срок рассмотрения жалобы РКН — это не пассивное ожидание, а процессуальное окно для приведения обработки ПДн в соответствие с законом. Оператор, получивший запрос по жалобе субъекта, имеет реальную возможность устранить нарушения до составления протокола и существенно сократить размер потенциального штрафа.

DATUM сопровождает операторов на всех стадиях взаимодействия с РКН: от анализа запроса и подготовки ответа до представления интересов в суде при обжаловании постановления по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.