аналитика 28 июля 2027 По состоянию на 28 июля 2027

Уведомление РКН от ФНС о нарушении 152-ФЗ

Уведомление Роскомнадзора, инициированное по сигналу ФНС, — один из типичных механизмов запуска внеплановой проверки оператора персональных данных в 2025–2026 годах.

ФНС передаёт сведения о возможных нарушениях 152-ФЗ в РКН как результат собственного контроля: при обнаружении нелегальной обработки ПДн налогоплательщиков, утечках налоговых сведений или жалобах физических лиц. После этого РКН вправе возбудить административное дело по ст. 13.11 КоАП и инициировать внеплановую проверку без ограничений моратория.

Если юрист компании получил уведомление РКН со ссылкой на материалы ФНС — у вас ограниченное время для подготовки позиции и комплекта ОРД. Читайте, что делать пошагово.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: штрафы выросли до 15 млн ₽ за утечку, а повторное нарушение грозит оборотным штрафом до 500 млн ₽. Межведомственное взаимодействие ФНС и РКН стало одним из каналов выявления нарушителей наравне с жалобами субъектов и проверочными скринингами сайтов. Эта статья объясняет, как возникает такое уведомление, чего ждать юристу от проверки и как выстроить защиту.

Почему ФНС направляет сведения в РКН?

ФНС в ходе налогового контроля обрабатывает персональные данные налогоплательщиков — физических лиц и сотрудников организаций. Когда инспекция обнаруживает признаки нарушения требований 152-ФЗ у проверяемого налогоплательщика-оператора, она вправе направить материалы в РКН в порядке межведомственного взаимодействия. Типичные основания:

выявленная утечка или незаконная передача ПДн физических лиц третьим лицам при налоговой проверке;
обнаружение обработки ПДн без уведомления РКН (ст. 22 ФЗ-152) — оператор не числится в реестре;
жалоба физического лица на неправомерное использование его данных, поступившая через ФНС;
несоответствие задекларированных перед ФНС данных о деятельности компании и реального объёма обработки ПДн.

РКН воспринимает такое сообщение как обращение государственного органа. По ч. 1 ст. 58 Федерального закона № 248-ФЗ о государственном контроле это служит самостоятельным основанием для внеплановой проверки вне рамок моратория на проверки бизнеса. Мораторий, продлевавшийся постановлениями Правительства, не распространяется на проверки, инициированные по сигналам госорганов о нарушениях обязательных требований.

«Ст. 22 ФЗ-152 — оператор обязан до начала обработки ПДн уведомить РКН и быть включённым в реестр операторов. Ст. 13.11 ч. 10 КоАП — неуведомление или несвоевременное уведомление о намерении осуществлять обработку ПДн влечёт штраф для юридического лица от 100 000 до 300 000 ₽ (в редакции с 30.05.2025).»

На практике юрист компании узнаёт об этом одним из трёх способов: получает официальное уведомление РКН с указанием, что проверка назначена по материалам ФНС; получает запрос РКН о предоставлении документов; либо обнаруживает в реестре проверок плановую запись, появившуюся неожиданно. Во всех случаях реакция должна быть одинаковой — немедленная оценка комплаенс-состояния и формирование защитной позиции.

Получили уведомление РКН или запрос с упоминанием ФНС?

Если юрист видит в документах РКН ссылку на материалы налоговой инспекции, это означает, что проверка уже инициирована и срок подготовки ограничен. Каждый день промедления сужает пространство для смягчающих аргументов. Юристы DATUM готовят позицию, комплект ОРД и представляют интересы компании в РКН с первого дня.

Подготовиться к проверке РКН

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие индикаторы риска РКН использует при сигнале от ФНС?

Роскомнадзор применяет индикаторы риска при решении о проведении внеплановых контрольных мероприятий. После поступления сведений от ФНС регулятор анализирует, попадает ли оператор под действующие индикаторы. К наиболее существенным из них относятся:

Отсутствие в реестре операторов. Если оператор обрабатывает ПДн, но не направил уведомление по Приказу РКН №180, это прямой индикатор. ФНС видит реальный масштаб деятельности — тысячи сотрудников и клиентов, а в реестре оператора нет.
Жалобы субъектов на конкретного оператора. Три и более обращений в течение 12 месяцев — самостоятельный индикатор риска для внеплановой проверки.
Публичная утечка данных. Если ФНС передала сведения об инциденте, а оператор не уведомил РКН в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152 — это двойное нарушение: и утечка, и неуведомление.
Несоответствие политики конфиденциальности реальной обработке. РКН сравнивает задекларированные цели и категории ПДн с тем, что выявила ФНС.

Профвизит — менее жёсткий формат, при котором инспектор РКН изучает документы без санкций. Однако после сигнала от ФНС, указывающего на конкретное нарушение, профвизит редко является финальным шагом: как правило, он предшествует полноценной внеплановой проверке с актом и протоколом.

«Ст. 21 ч. 3.1 ФЗ-152 — при выявлении утечки оператор обязан уведомить РКН в течение 24 часов с момента обнаружения, а через 72 часа — направить отчёт о результатах внутреннего расследования по порядку, установленному Приказом РКН №187 от 14.11.2022.»

Что проверяет РКН при внеплановой проверке после сигнала ФНС?

Предмет внеплановой проверки определяется содержанием сигнала. Если ФНС сообщила о конкретном нарушении — например, о передаче ПДн сотрудников третьим лицам — инспектор сосредоточится именно на этом эпизоде. Одновременно РКН вправе проверить весь комплекс требований 152-ФЗ. На практике инспектор запрашивает:

уведомление об обработке ПДн и выписку из реестра операторов (ст. 22 ФЗ-152);
политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152;
приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152;
образцы форм согласий субъектов — особенно если после 01.09.2025 согласие должно быть отдельным документом по ФЗ-156;
договоры с подрядчиками, обрабатывающими ПДн по поручению (п. 3 ст. 6 ФЗ-152);
журналы учёта обращений субъектов и ответы на них (ст. 20 ФЗ-152, срок ответа — 10 рабочих дней);
документы по технической защите: акт классификации ИСПДн, модель угроз, результаты оценки по ПП РФ №1119.

Отдельного внимания требует вопрос о локализации. Если ФНС обнаружила, что оператор хранит ПДн российских граждан на серверах за рубежом (нарушение ч. 5 ст. 18 ФЗ-152), штраф по ч. 8 ст. 13.11 КоАП составит от 1 до 6 млн ₽ за первичное нарушение и от 6 до 18 млн ₽ за повторное.

Что подготовить до прихода инспектора РКН

Актуальная выписка из реестра операторов ПДн с сайта pd.rkn.gov.ru — проверить, совпадают ли заявленные цели, категории ПДн и перечень систем с реальной обработкой.
Политика обработки ПДн с полным перечнем разделов по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте компании и утверждена приказом руководителя.
Отдельные согласия субъектов по требованиям ФЗ-156 (для тех, кто собирает ПДн после 01.09.2025) — или обоснование иного правового основания обработки по ст. 6 ФЗ-152.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с актуальными данными лица.
Договоры с подрядчиками (поручение обработки по п. 3 ст. 6) — со всеми, кому передаются ПДн: облачные сервисы, аутсорсинговые HR, маркетинговые платформы.

Типовые сценарии: как развивается ситуация после уведомления

Практика показывает три характерных варианта развития событий после того, как юрист получил уведомление РКН, инициированное по материалам ФНС.

Сценарий 1. Оператор не состоит в реестре РКН. ФНС при проверке установила, что компания обрабатывает ПДн клиентов и сотрудников в масштабе, типичном для среднего бизнеса, однако в реестре операторов не числится. РКН возбуждает дело по ч. 10 ст. 13.11 КоАП (штраф для юрлица — 100 000–300 000 ₽). Параллельно инспектор выявляет иные нарушения: отсутствие политики конфиденциальности (ч. 3 ст. 13.11, до 60 000 ₽) и ненадлежащие согласия работников (ч. 2, до 700 000 ₽). Стратегия защиты — срочная подача уведомления в РКН, подготовка пакета ОРД и ходатайство о снижении штрафа с учётом ст. 4.1 КоАП.

Сценарий 2. Утечка данных не уведомлена в РКН. ФНС зафиксировала в открытом доступе фрагменты базы с ПДн налогоплательщиков — клиентов проверяемой компании — и передала материалы в РКН. Оператор об утечке в РКН не сообщал. Итог: протокол по ч. 11 ст. 13.11 (неуведомление об инциденте, 1–3 млн ₽) плюс протокол по ч. 12 или ч. 14 в зависимости от числа затронутых субъектов (от 3 до 15 млн ₽). Применение ст. 4.1.1 КоАП (замена на предупреждение) для ч. 11 ограничено — норма прямо исключает применение замены при нарушениях, влекущих существенный вред правам граждан.

Сценарий 3. Несоответствие реестровых данных реальной обработке. Оператор зарегистрирован в реестре РКН, но уведомление устарело: компания расширила перечень систем, добавила новые категории субъектов или начала трансграничную передачу данных аналитическому подрядчику за рубежом. ФНС в ходе проверки обнаружила расхождение. РКН предъявит нарушение ст. 22 ФЗ-152 в части полноты уведомления и потребует актуализации. Если трансграничная передача не уведомлена по ст. 12 ФЗ-152 — дополнительный состав по ч. 1 ст. 13.11 (150 000–300 000 ₽). Стратегия — немедленное направление обновлённого уведомления через pd.rkn.gov.ru по Приказу РКН №180, параллельное обоснование добросовестности.

Если юрист обнаружил, что реестровые данные компании в РКН не соответствуют реальной обработке, — это уже основание для штрафа при любой проверке. До получения уведомления ещё можно действовать превентивно. Юристы DATUM проведут аудит реестровых данных и подготовят обновлённое уведомление.

Защитить от штрафа по 13.11

Как обжаловать предписание или постановление РКН?

Предписание РКН об устранении нарушений обжалуется в арбитражном суде субъекта в течение трёх месяцев с момента его получения. Постановление по делу об административном правонарушении по ст. 13.11 КоАП с 28.12.2025 (после принятия ФЗ-508) рассматривается мировыми судьями. Жалоба на постановление мирового судьи направляется в районный суд в течение 10 дней со дня вручения постановления.

Арбитражный суд при обжаловании предписания проверяет: соответствие основания проверки требованиям 248-ФЗ, соблюдение процедуры уведомления оператора, наличие реального нарушения в материалах дела. Если сигнал ФНС содержал ошибочные или неполные сведения — это аргумент для оспаривания законности самой проверки.

Ключевые смягчающие обстоятельства, которые суды учитывают при назначении штрафа по ст. 13.11 КоАП: первичность нарушения, устранение нарушения до вынесения постановления, незначительный объём обработки, отсутствие реального вреда субъектам. Для микропредприятий и субъектов МСП по ст. 4.1.1 КоАП при первичном нарушении ч. 3 или ч. 4 ст. 13.11 возможна замена штрафа на предупреждение — при условии отсутствия ущерба и добровольного устранения.

«Ст. 4.1 КоАП, примечание 3.4-2: при инвестициях в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам (ч. 15, ч. 18 ст. 13.11) снижается до 1/10 минимального размера — но не менее 15 млн ₽ и не более 50 млн ₽.»

Как практика DATUM выглядит в реальных случаях

Кейс 1. Производственная компания Уральского федерального округа (осень 2025) получила уведомление РКН, в котором прямо указывалось на сведения, полученные от ФНС в ходе налоговой проверки. Компания обрабатывала ПДн 8 000 сотрудников и клиентов, не состояла в реестре операторов, политика конфиденциальности на сайте отсутствовала. Юристы сформировали полный пакет ОРД за 10 рабочих дней, направили уведомление в РКН до начала проверки, представили позицию о первичности нарушения. Итог: протокол по ч. 10 ст. 13.11, штраф в нижней части диапазона; ч. 3 заменена предупреждением по ст. 4.1.1 КоАП.

Кейс 2. В деле IT-компании Северо-Западного федерального округа (начало 2026) РКН по материалам ФНС обнаружил, что оператор передавал ПДн клиентов зарубежному SaaS-подрядчику без уведомления о трансграничной передаче по ст. 12 ФЗ-152. Компания ранее не оценивала страну регистрации подрядчика как страну с адекватным уровнем защиты. Позиция строилась на добросовестном заблуждении и оперативном устранении: в день получения уведомления РКН было направлено уведомление о трансграничной передаче, договор с подрядчиком дополнен обязательными условиями. Арбитражный суд при обжаловании предписания признал часть требований регулятора несоразмерными и снизил объём обязательных мер.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, представительство, обжалование предписания
Аудит соответствия 152-ФЗ — проверка всего комплекса требований до прихода инспектора
Защита при штрафе в арбитраже — обжалование постановлений по ст. 13.11 КоАП

Частые вопросы

1. Как подготовиться к проверке РКН?

Первый шаг — сверить реестровые данные на pd.rkn.gov.ru с реальной обработкой: перечень систем, категории субъектов, цели, трансграничная передача. Затем — проверить наличие и актуальность обязательных документов по ч. 2 ст. 18.1 ФЗ-152: политика обработки ПДн, приказ об ответственном по ст. 22.1, формы согласий (в редакции с 01.09.2025 по ФЗ-156), договоры с подрядчиками по п. 3 ст. 6 ФЗ-152. Оптимально — провести внутренний аудит по чек-листу из 38 пунктов не позднее чем за две недели до ожидаемой проверки.

2. Какие индикаторы риска использует РКН при назначении проверок?

РКН применяет индикаторы риска для решения о внеплановых мероприятиях. Ключевые из них: отсутствие оператора в реестре при очевидной обработке ПДн; три и более жалобы субъектов за 12 месяцев; публично подтверждённая утечка данных без уведомления РКН; несоответствие опубликованной политики конфиденциальности и фактической обработки. Сигнал от государственного органа — ФНС, прокуратуры, Роструда — является самостоятельным индикатором, выводящим проверку за рамки моратория.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Непредоставление документов по запросу РКН в ходе контрольного мероприятия образует состав нарушения обязательных требований и может быть квалифицировано по ч. 1 ст. 19.4 КоАП как неповиновение законному требованию должностного лица. Оператор вправе представить мотивированные возражения на отдельные требования инспектора, указав на их несоответствие предмету проверки, но полностью игнорировать запрос нельзя. Любой отказ фиксируется в акте и используется против оператора при дальнейшем рассмотрении дела.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания РКН в установленный срок образует состав по ч. 1 ст. 19.5 КоАП: штраф для юридического лица — от 10 000 до 20 000 ₽ за первичное неисполнение. Однако параллельно РКН вправе инициировать повторную проверку и привлечь к ответственности по ст. 13.11 КоАП за само нарушение требований 152-ФЗ, которое предписание обязывало устранить. Таким образом, неисполнение предписания почти всегда ведёт к накоплению составов административных правонарушений.

5. Куда обжаловать постановление РКН по ст. 13.11 КоАП?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (после ФЗ-508 от 28.12.2025, вернувшего им эту подсудность). Жалоба на постановление мирового судьи подаётся в районный суд в течение 10 дней со дня вручения постановления. Предписание РКН как ненормативный правовой акт обжалуется в арбитражный суд субъекта в течение трёх месяцев по правилам гл. 24 АПК РФ. При обжаловании постановления в суде можно заявить ходатайство о применении ст. 4.1 и ст. 4.1.1 КоАП для снижения или замены штрафа.

Итог

Уведомление РКН по материалам ФНС — это не предупреждение, а старт административного производства с ограниченным временем для реакции. Оператор, получивший такой документ, одновременно сталкивается с необходимостью сформировать ОРД, актуализировать реестровые данные и выстроить позицию для переговоров с регулятором.

Практика DATUM по сопровождению проверок РКН охватывает все стадии: от первичного анализа уведомления и аудита комплаенс-состояния до представительства при проверке и обжалования постановлений в судах. Специализация на 152-ФЗ позволяет выявить смягчающие обстоятельства и аргументы, которые стандартный корпоративный юрист упустит.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025, подсудность после ФЗ-508.