Перейти к содержанию
аналитика 14 июля 2027 По состоянию на 14 июля 2027

Уведомление РКН от ФСБ

Роскомнадзор вправе инициировать проверку оператора ПДн по материалам, поступившим от ФСБ: такие основания предусмотрены Федеральным законом «О защите прав юридических лиц» и применяются в практике взаимодействия ведомств по делам об утечках и несанкционированном доступе.
Для оператора это означает внеплановую проверку со сжатыми сроками реагирования, повышенный риск применения сразу нескольких частей ст. 13.11 КоАП и возможное параллельное уголовное преследование по ст. 272.1 УК РФ (действует с 11.12.2024).
Если вы юрист компании и получили уведомление о проверке с указанием на межведомственное взаимодействие с ФСБ — у вас, как правило, от 24 часов до 3 рабочих дней на подготовку позиции. → Ниже — что это означает, какие нормы применяются и как выстроить защиту.

С 30 мая 2025 года Роскомнадзор работает по обновлённой редакции ст. 13.11 КоАП: 18 частей вместо прежних семи, оборотные штрафы по ч. 15 от 1 до 3% годовой выручки и уголовная ответственность по ст. 272.1 УК за незаконные операции с компьютерными ПДн. Когда материалы, формирующие основание для внеплановой проверки, поступают от ФСБ России, ситуация становится многоуровневой: административное производство в РКН накладывается на оперативно-розыскные и следственные действия. Эта статья — практический разбор механики такого взаимодействия, прав оператора и стратегии юридической защиты.

Как РКН получает материалы от ФСБ и что это означает для оператора?

Роскомнадзор осуществляет государственный контроль в сфере персональных данных на основании ст. 23 ФЗ-152 и Положения о РКН. Перечень оснований для внеплановой проверки закреплён в Федеральном законе № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей»: к ним относятся, в частности, сведения, поступившие от государственных органов, о фактах нарушения обязательных требований.

ФСБ России является органом, уполномоченным на проведение оперативно-розыскных мероприятий, в том числе в сфере компьютерной информации. Когда в ходе оперативно-розыскной деятельности или доследственной проверки выявляются признаки нарушения законодательства о персональных данных — сведения передаются в РКН в порядке межведомственного взаимодействия. Это не исключительная ситуация: аналогичным образом материалы в РКН направляют Следственный комитет, прокуратура и МВД.

Для оператора ПДн получение уведомления о внеплановой проверке, основанием для которой стали материалы ФСБ, означает следующее:

  • Проверка не является плановой — применяется уведомительный порядок с сокращёнными сроками подготовки (как правило, не менее чем за 24 часа до начала).
  • Предмет проверки определён заранее: инспекторы РКН будут проверять именно те аспекты обработки ПДн, которые отражены в переданных материалах.
  • Параллельно или последовательно возможно возбуждение уголовного дела — по ст. 272.1 УК (незаконные операции с компьютерными ПДн) или ст. 272 УК (неправомерный доступ к компьютерной информации).
  • Сотрудники, допустившие утечку или несанкционированный доступ, могут быть привлечены к уголовной ответственности независимо от привлечения юридического лица к административной.
«Ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024): незаконные использование, передача, сбор или хранение компьютерной информации, содержащей персональные данные. По ч. 5 — тяжкие последствия — лишение свободы до 10 лет.»

Важно понимать: само по себе уведомление РКН о проверке по материалам ФСБ не означает автоматического возбуждения уголовного дела. Это два разных производства с разными стандартами доказывания. Однако они могут вестись параллельно, а доказательства, полученные в ходе проверки РКН, — использоваться в уголовном процессе.

Получили уведомление о проверке РКН по материалам силовых структур?

Если вы юрист компании и в уведомлении о внеплановой проверке РКН указаны материалы ФСБ, МВД или Следственного комитета как основание — у вас от 24 часов на выработку позиции. Промедление сужает возможности: инспекторы фиксируют состояние документации на момент проверки, а не на момент устранения нарушений. Юристы DATUM сопровождают проверки РКН: подготовка документации, взаимодействие с инспектором, обжалование предписания при необходимости.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие нормы ФЗ-152 и КоАП применяются при межведомственной проверке?

Межведомственная проверка, инициированная по материалам ФСБ, как правило, охватывает несколько групп нарушений одновременно. Ниже — основные составы, которые применяет РКН в подобных делах.

Неуведомление об утечке. По ч. 3.1 ст. 21 ФЗ-152 оператор обязан уведомить РКН в течение 24 часов с момента обнаружения утечки, а через 72 часа — направить отчёт о результатах внутреннего расследования (Приказ РКН № 187 от 14.11.2022). Если оператор не уведомил РКН, а факт утечки стал известен регулятору от ФСБ — это самостоятельный состав по ч. 11 ст. 13.11 КоАП: штраф для юридического лица от 1 до 3 млн рублей.

«Ч. 11 ст. 13.11 КоАП (в ред. с 30.05.2025): неуведомление или несвоевременное уведомление РКН об инциденте с ПДн — штраф для юрлица 1 000 000 — 3 000 000 ₽.»

Утечка по масштабу субъектов. Ч. 12–14 ст. 13.11 КоАП дифференцируют ответственность по числу пострадавших субъектов: от 1 000 до 10 000 — штраф 3–5 млн рублей (ч. 12); от 10 000 до 100 000 — 5–10 млн рублей (ч. 13); свыше 100 000 — 10–15 млн рублей (ч. 14). При повторном нарушении по этим составам применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн рублей и не более 500 млн рублей.

Отсутствие или недостаточность организационно-технических мер. Ст. 19 ФЗ-152 обязывает оператора принимать меры, соответствующие уровню защищённости ИСПДн. Нарушение требований ПП РФ № 1119 или Приказа ФСТЭК № 21 может квалифицироваться по ч. 1 или ч. 2 ст. 13.11 КоАП в зависимости от обстоятельств.

Нарушение условий уведомления в реестре РКН. Если реальная обработка ПДн шире сведений, поданных по ст. 22 ФЗ-152 (форма уведомления по Приказу РКН № 180 от 28.10.2022), — это самостоятельный состав по ч. 10 ст. 13.11 КоАП: штраф 100 000 — 300 000 рублей.

На практике в делах с участием ФСБ протоколы составляются одновременно по нескольким частям ст. 13.11 КоАП. Это увеличивает совокупный размер санкций и усложняет защиту, поскольку каждый эпизод рассматривается отдельно.

Что подготовить к моменту начала проверки

  • Актуальная выписка из реестра операторов ПДн (pd.rkn.gov.ru) с подтверждением подачи уведомления по ст. 22 ФЗ-152 и Приказу РКН № 180.
  • Политика обработки персональных данных, опубликованная на сайте оператора и соответствующая требованиям ч. 2 ст. 18.1 ФЗ-152.
  • Приказ о назначении лица, ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152), с подтверждением квалификации.
  • Журнал инцидентов с ПДн за последние 12 месяцев: дата обнаружения, характер, меры реагирования, факт уведомления РКН.
  • Комплект соглашений с подрядчиками, обрабатывающими ПДн по поручению (п. 3 ст. 6 ФЗ-152), с перечнем допустимых действий.

Как разграничиваются роли РКН и ФСБ при проверке оператора?

Юристу важно понимать процессуальную структуру: РКН и ФСБ действуют в разных правовых режимах, хотя могут вести проверки одновременно.

РКН проводит административную проверку в рамках Закона № 294-ФЗ и Административного регламента. Результат — акт проверки, предписание об устранении нарушений и (или) протокол по ст. 13.11 КоАП. Оператор вправе участвовать в проверке, давать объяснения, представлять документы. Срок проверки — не более 20 рабочих дней (плановая) или не более 20 рабочих дней (внеплановая с учётом продления).

ФСБ действует в режиме оперативно-розыскной деятельности или предварительного расследования по УПК РФ. Выемка документов, осмотр серверов, допрос сотрудников — самостоятельные процессуальные действия, не требующие уведомления по правилам 294-ФЗ. Права оператора на этом этапе регулируются УПК и ФЗ «Об оперативно-розыскной деятельности».

Ключевая ошибка юристов — смешивать эти режимы. Документы, добровольно представленные в ходе проверки РКН, могут быть запрошены следствием. Объяснения, данные инспектору РКН, не являются показаниями в уголовно-процессуальном смысле, но могут использоваться для формирования картины событий. Это не означает отказа от сотрудничества с РКН — это означает, что каждый документ и каждое объяснение должны быть юридически выверены до передачи.

Если юрист компании сопровождает проверку РКН, а параллельно ведутся следственные действия ФСБ — согласование позиции по двум производствам одновременно критично. Несогласованные объяснения создают противоречия, которые используются против оператора. Юристы DATUM выстраивают единую позицию по административному и уголовному треку.

Защитить от штрафа 13.11

Практические сценарии: как это разворачивается на практике

Сценарий 1. Утечка выявлена ФСБ раньше, чем оператором. Ситуация: хакерская атака на ИСПДн компании, данные появились в даркнете. ФСБ выявила факт в рамках мониторинга, передала сведения в РКН до того, как оператор сам обнаружил и зафиксировал инцидент. Доказательства: отсутствие журнала инцидентов, отсутствие первичного уведомления РКН в 24 часа, реестр с устаревшими сведениями об ИСПДн. Вероятный исход: протоколы по ч. 11 (неуведомление, 1–3 млн ₽) и ч. 12–14 ст. 13.11 (по масштабу утечки). Стратегия: зафиксировать дату фактического обнаружения, подготовить отчёт по Приказу РКН № 187 ретроспективно, представить план мер по ст. 19 ФЗ-152 как смягчающее обстоятельство. Возможность применения ст. 4.1.1 КоАП (замена на предупреждение) зависит от масштаба утечки и категории субъектов.

Сценарий 2. Внутренний сотрудник передал данные третьим лицам. Ситуация: бывший сотрудник ИТ-департамента скопировал базу клиентов и продал её. ФСБ возбудила уголовное дело по ст. 272.1 УК в отношении физического лица. Параллельно направлены материалы в РКН для проверки оператора. Доказательства: отсутствие разграничения прав доступа к ИСПДн по Приказу ФСТЭК № 21, журнал событий с признаками массового копирования. Вероятный исход: протокол по ч. 1 ст. 13.11 (ненадлежащая обработка) и ч. 12 или ч. 13 по масштабу. Для самого сотрудника — уголовное преследование независимо от позиции оператора. Стратегия оператора: демонстрация факта ведения журналов, мер контроля доступа, документирования договора о неразглашении с сотрудником — для разграничения ответственности оператора и физического лица.

Сценарий 3. Трансграничная передача данных под прикрытием сервисного контракта. Ситуация: компания использовала зарубежный SaaS-сервис для обработки ПДн клиентов без уведомления РКН по ст. 12 ФЗ-152. ФСБ в рамках оперативного мероприятия зафиксировала трансграничный поток. Доказательства: сетевые логи, договор с иностранным вендором без оговорки о локализации. Вероятный исход: протокол по ч. 8 ст. 13.11 (нарушение локализации, ч. 5 ст. 18 ФЗ-152) — штраф 1–6 млн рублей; при повторности — ч. 9, 6–18 млн рублей. Стратегия: оценить, действительно ли происходила запись и накопление ПДн граждан РФ за рубежом, или лишь транзит; подготовить технический анализ архитектуры для разграничения составов.

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка включает три уровня. Документарный: выписка из реестра операторов ПДн, актуальная политика обработки по ч. 2 ст. 18.1 ФЗ-152, приказ об ответственном по ст. 22.1, пакет согласий субъектов по ст. 9 (в редакции ФЗ-156 с 01.09.2025 — отдельными документами), договоры с обработчиками по п. 3 ст. 6. Технический: журналы событий ИСПДн, документация по уровню защищённости по ПП РФ № 1119, выполненные меры по Приказу ФСТЭК № 21. Процессуальный: назначенный представитель оператора на проверке, инструктаж сотрудников о порядке взаимодействия с инспектором, позиция по каждому возможному нарушению. При межведомственной проверке с участием ФСБ — дополнительно: юридическая позиция по уголовно-правовому треку.

2. Какие индикаторы риска у РКН?

РКН применяет индикаторы риска при принятии решения о внеплановой проверке (профвизит). К типичным относятся: отсутствие в реестре операторов при наличии сайта с формами сбора ПДн; публикации об утечках в открытых источниках или даркнете; жалобы субъектов, зарегистрированные в системе РКН; информация от иных государственных органов (ФСБ, МВД, СК, прокуратура); отсутствие обязательной публикации политики обработки на сайте (ч. 2 ст. 18.1 ФЗ-152). Профвизит по индикатору — более мягкая форма контроля, чем внеплановая проверка, но по его результатам может быть принято решение о проведении полноценной внеплановой проверки.

3. Можно ли отказаться отвечать на запрос РКН?

Нет. Оператор обязан выполнять требования РКН как уполномоченного органа по защите прав субъектов ПДн (ст. 23 ФЗ-152). Непредставление документов или уклонение от ответа на запрос квалифицируется как воспрепятствование законной деятельности должностного лица и влечёт ответственность по КоАП отдельно от нарушений 152-ФЗ. Вместе с тем оператор вправе: запросить уточнение предмета запроса, представить документы с сопроводительным письмом с правовой позицией, оспорить требования, выходящие за пределы полномочий РКН, — в административном или судебном порядке.

4. Что грозит за невыполнение предписания РКН?

Неисполнение предписания РКН об устранении нарушений влечёт ответственность по ч. 1 ст. 19.5 КоАП: штраф для юридического лица от 10 000 до 20 000 рублей, для должностных лиц — от 1 000 до 2 000 рублей. Это отдельный состав, не поглощающий штрафы по ст. 13.11 КоАП. При повторном неисполнении предписания либо при грубом нарушении — дисквалификация должностного лица. Помимо административной ответственности, РКН вправе направить материалы в прокуратуру для принятия мер прокурорского реагирования. Практически важно: предписание исполняется в установленный срок с уведомлением РКН об устранении нарушений — это фиксируется как смягчающее обстоятельство при дальнейшем производстве.

5. Куда обжаловать постановление РКН?

С 28 декабря 2025 года (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП переданы мировым судьям. Постановление мирового судьи обжалуется в районный суд в течение 10 суток с момента вручения или получения копии постановления (ст. 30.1–30.3 КоАП). Решение районного суда обжалуется в суд субъекта РФ, далее — в кассационный суд общей юрисдикции. При оспаривании возможно применение: ст. 4.1 КоАП (смягчающие обстоятельства, инвестиции в ИБ ≥ 0,1% выручки за 3 года дают снижение до 1/10 минимума по оборотным составам); ст. 4.1.1 КоАП (замена штрафа на предупреждение для микропредприятий при первичном нарушении — не применяется к ч. 15 и ч. 18); процессуальные нарушения при проведении проверки.

Итог

Уведомление РКН, инициированное по материалам ФСБ, — это сигнал о том, что нарушения в сфере персональных данных попали в поле зрения не только регулятора, но и силового ведомства. Для оператора это означает два параллельных производства с разными стандартами доказывания и разными последствиями — административными (до 500 млн рублей по ч. 15 ст. 13.11 КоАП) и уголовными (до 10 лет лишения свободы по ч. 5 ст. 272.1 УК). Разграничить эти треки, выстроить единую позицию и минимизировать санкции — задача, требующая специализированной юридической поддержки с первого часа.

Практика DATUM по сопровождению проверок РКН и защите по ст. 13.11 КоАП включает дела с межведомственным участием: подготовку позиции, взаимодействие с инспекторами, обжалование протоколов и постановлений в судах общей юрисдикции.

Услуги DATUM по теме

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.

14 июля 2027 года