аналитика 3 апреля 2027 По состоянию на 3 апреля 2027

Внеплановая по информации от других ведомств

Внеплановая проверка РКН по сведениям от других ведомств — наиболее непредсказуемое основание: оператор не получает предупреждения за 24 часа и узнаёт о ней только в момент вручения распоряжения.

С 30.05.2025 штраф по ст. 13.11 КоАП составляет до 15 млн ₽ за утечку от 100 000 субъектов (ч. 14), а при повторности — оборотный штраф до 500 млн ₽ (ч. 15). Нарушения, выявленные в ходе внеплановой проверки, могут квалифицироваться одновременно по нескольким частям.

Если вы юрист компании и получили распоряжение о внеплановой проверке — у вас есть часы, а не дни, чтобы оценить реальное состояние документации и выстроить позицию.

Роскомнадзор проводит внеплановые проверки по нескольким основаниям. Одно из них — получение сведений о нарушениях от иных федеральных органов: прокуратуры, ФСБ, Следственного комитета, Минтруда, налоговых органов, Банка России. Для юриста компании это означает, что источником риска является не жалоба гражданина, а официальная межведомственная коммуникация — с иным весом доказательной базы и иными процессуальными сроками. В этом материале — механизм таких проверок, правовые основания, типичные ошибки операторов и стратегия защиты.

Как возникает внеплановая проверка по информации от других ведомств?

Основания для внеплановых проверок РКН установлены ч. 2 ст. 26 ФЗ-152 и конкретизированы подзаконными актами. Один из прямых триггеров — поступление в РКН из государственного органа сведений о нарушении требований по защите персональных данных. Прокуратура, выявив в ходе надзорной проверки отсутствие политики обработки ПДн или ненадлежащее согласие, направляет информацию в РКН. Следственный комитет, возбудив уголовное дело по ст. 272.1 УК или ст. 272 УК, сообщает об операторе. ФСБ, зафиксировав компрометацию данных, инициирует межведомственный запрос.

Такое основание принципиально отличается от проверки по жалобе субъекта. Жалоба субъекта влечёт обязательное уведомление оператора за 24 часа до начала. Проверка по информации от иного ведомства может начаться без предварительного уведомления: по смыслу ч. 16 ст. 10 ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей» срок уведомления может быть сокращён или исключён при угрозе причинения вреда.

«Ст. 26 ФЗ-152 — оператор обязан обеспечить доступ инспекторов к документам и информационным системам в ходе проверки. Воспрепятствование проверке само по себе является самостоятельным основанием для составления протокола.»

Отдельно нужно учитывать режим индикаторов риска. Приказом РКН установлены индикаторы, при выявлении которых регулятор вправе инициировать профилактический визит или внеплановую проверку без заявления субъекта. Межведомственная информация нередко служит подтверждением уже сработавшего индикатора — и тогда РКН имеет двойное основание для выхода.

Какие права и обязанности юриста при получении распоряжения о проверке?

Распоряжение (приказ) о проведении внеплановой проверки должно содержать основание, цели, предмет, сроки и перечень документов, которые инспектор вправе запросить. Юрист обязан проверить реквизиты документа в момент его предъявления: наименование органа, подпись, дату, регистрационный номер. Проверка без надлежащего распоряжения — основание для обжалования.

Оператор не вправе отказаться от проверки, но вправе не предоставлять документы, которые не указаны в распоряжении. Юрист должен немедленно сформировать список фактически запрошенных документов и зафиксировать их перечень в протоколе осмотра — это инструмент защиты при последующем оспаривании предписания.

Получили распоряжение о внеплановой проверке РКН?

Если вы юрист компании и распоряжение уже на руках — счёт идёт на часы. Ошибка при первом контакте с инспектором сужает возможности обжалования. Юристы DATUM подключатся к проверке в день обращения: оценят распоряжение, сформируют позицию по каждому запрошенному документу и представят интересы компании на выезде инспекторов.

Подготовиться к проверке РКН

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что проверяет РКН при внеплановой проверке по межведомственной информации?

Предмет проверки определяется основанием. Если прокуратура сообщила об отсутствии уведомления об обработке ПДн — инспектор проверит наличие записи в реестре операторов (pd.rkn.gov.ru) и соответствие реальной обработки заявленным целям. Если ФСБ или Следственный комитет сообщили о компрометации — предметом станет выполнение требований ст. 19 ФЗ-152 (организационные и технические меры), ПП РФ №1119 (уровни защищённости УЗ-1..4) и Приказа ФСТЭК №21.

На практике инспекторы не ограничиваются формальным предметом и запрашивают весь стандартный перечень документов: политику обработки ПДн по ст. 18.1, согласия субъектов по ст. 9, приказ о назначении ответственного по ст. 22.1, журналы учёта обращений, договоры с обработчиками по ст. 6 ч. 3. Отсутствие любого из них — самостоятельный состав нарушения.

Что подготовить до прихода инспектора

Выписка из реестра операторов ПДн (pd.rkn.gov.ru) с актуальными сведениями об обрабатываемых категориях и целях — несоответствие влечёт штраф по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).
Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте оператора — отсутствие публикации квалифицируется по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽).
Отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): согласия, включённые в текст трудового договора или оферты после этой даты, недействительны.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с подтверждением квалификации.
Журнал учёта запросов субъектов за последние 12 месяцев с фиксацией даты поступления и даты ответа (срок ответа — 10 рабочих дней по ст. 20 ФЗ-152).

Типичные ошибки при межведомственных проверках и их последствия

Первая ошибка — попытка ограничить доступ инспектора к информационным системам под предлогом коммерческой тайны. ФЗ-152 содержит прямую обязанность оператора предоставить инспектору доступ, и ссылка на коммерческую тайну не является основанием для отказа. Результатом становится протокол по ст. 19.7.2 КоАП (воспрепятствование), который добавляется к основным нарушениям.

Вторая ошибка — предоставление устных объяснений без документального подтверждения. Все ответы на запросы инспектора следует давать письменно или подтверждать подписью уполномоченного лица в акте проверки. Устные заверения в акте не фиксируются и не учитываются при обжаловании.

Третья ошибка — игнорирование источника межведомственной информации. Если проверка инициирована по материалам уголовного дела по ст. 272.1 УК (незаконные действия с ПДн, введена ФЗ-421 от 30.11.2024), административное производство идёт параллельно уголовному. Позиция в административном деле должна быть согласована с позицией в уголовном — иначе возникают противоречия в объяснениях, которые инспектор и следователь используют взаимно.

Если юрист компании готовит ответы на запросы инспектора — каждое слово в протоколе осмотра становится доказательством. Позиция по административному и уголовному делу должна быть единой с первого дня. Юристы DATUM сформируют согласованную защитную стратегию и возьмут коммуникацию с РКН на себя.

Защитить от штрафа по 13.11

Сценарии: как развивается внеплановая проверка по межведомственной информации

Сценарий 1. Прокуратура сообщила об отсутствии уведомления в реестре РКН. Ситуация: оператор никогда не подавал уведомление по ст. 22 ФЗ-152, прокуратура выявила это в ходе надзорной проверки трудового законодательства. Доказательства: отсутствие записи в реестре pd.rkn.gov.ru — проверяется мгновенно. Исход: штраф по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽) плюс штраф по ч. 1 ст. 13.11 (150 000–300 000 ₽) за обработку без надлежащего уведомления. Стратегия: до начала проверки подать уведомление по форме Приказа РКН №180 — это не снимет ответственность, но смягчит наказание по ст. 4.2 КоАП; для микропредприятий возможна замена на предупреждение по ст. 4.1.1 КоАП.

Сценарий 2. ФСБ сообщила об инциденте, оператор не уведомил РКН в 24 часа. Ситуация: хакерская атака зафиксирована, но CISO расценил её как неудачную попытку и не направил первичное уведомление по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187. ФСБ, имея свою фиксацию инцидента, сообщила в РКН. Доказательства: журналы систем мониторинга, отчёты ФСБ, отсутствие записи в системе уведомлений РКН. Исход: штраф по ч. 11 ст. 13.11 КоАП — 1 000 000–3 000 000 ₽ за неуведомление об утечке. Если данные фактически компрометированы — дополнительно по ч. 12–14 в зависимости от числа субъектов. Стратегия: юрист должен немедленно восстановить хронологию событий, доказать, что реальной передачи данных третьим лицам не было (тогда состав ч. 12–14 отсутствует), и оспорить квалификацию инцидента как утечки.

Сценарий 3. Следственный комитет возбудил дело по ст. 272.1 УК, информация передана в РКН. Ситуация: сотрудник IT-компании передал базу клиентов конкурентам, уголовное дело — в отношении физического лица, но данные об операторе переданы в РКН как о лице, не обеспечившем защиту по ст. 19 ФЗ-152. Доказательства: материалы уголовного дела, которые РКН вправе запросить. Исход: предписание об устранении нарушений по ст. 19 ФЗ-152 плюс штраф по ч. 1 ст. 13.11 КоАП; при установлении утечки — ч. 12–14 ст. 13.11 (3–15 млн ₽). Стратегия: зафиксировать, что оператор принял меры по Приказу ФСТЭК №21, а нарушение — результат умышленных действий сотрудника, а не системного пренебрежения защитой; задействовать инвестиции в ИБ как основание для снижения оборотного штрафа по ст. 4.1 КоАП (примечание 3.4-2: инвестиции ≥ 0,1% выручки за 3 года дают право на 1/10 минимума, но не менее 15 млн ₽).

Как оспорить предписание или постановление по итогам внеплановой проверки?

Акт проверки и предписание обжалуются в вышестоящем органе РКН или в суде. С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП снова подсудны мировым судьям — это означает более короткие сроки рассмотрения и иную процессуальную динамику по сравнению с арбитражным судом.

При обжаловании постановления по ст. 13.11 КоАП юрист должен проверить три группы оснований. Первая — процессуальные нарушения при проведении проверки: ненадлежащее распоряжение, нарушение сроков, выход за предмет проверки. Вторая — неверная квалификация нарушения: например, оператор подпадает под исключения ст. 6 ФЗ-152 для данного вида обработки. Третья — основания для снижения штрафа: ст. 4.1 КоАП (смягчающие обстоятельства), ст. 4.1.1 КоАП (замена на предупреждение для микропредприятий), примечание 3.4-2 к ст. 4.1 КоАП (инвестиции в ИБ).

«Ч. 3 ст. 26.2 КоАП — доказательства, полученные с нарушением закона, не могут быть использованы. Если инспектор вышел за предмет проверки, зафиксированные им нарушения не должны ложиться в основу постановления.»

Как это выглядит на практике

Кейс 1. Производственная компания (Уральский ФО, осень 2025). Налоговые органы при проверке выявили передачу данных работников в зарубежный HR-сервис без уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152 и направили информацию в РКН. Внеплановая проверка началась без предварительного уведомления. Юрист компании при поддержке внешних консультантов сформировал документальное подтверждение того, что фактическая обработка в российской базе продолжалась (ч. 5 ст. 18 ФЗ-152 соблюдена), а зарубежный сервис получал только обезличенные данные. Штраф был назначен по ч. 1 ст. 13.11 КоАП в диапазоне 150 000–300 000 ₽ вместо ч. 8 (1 000 000–6 000 000 ₽ за нарушение локализации). Позиция по обезличиванию была принята судом при обжаловании.

Кейс 2. Медицинская лаборатория (Центральный ФО, начало 2026). Следственный комитет возбудил дело об утечке медицинских данных пациентов через подрядчика IT-сопровождения и передал информацию в РКН. Юрист лаборатории к моменту прихода инспекторов подготовил договор поручения обработки по ч. 3 ст. 6 ФЗ-152 с подрядчиком, инструкцию подрядчика, журнал проверок исполнения договора. Это позволило переквалифицировать нарушение: вместо ч. 14 ст. 13.11 (10–15 млн ₽) протокол был составлен по ч. 1 ст. 13.11 (150 000–300 000 ₽) — лаборатория приняла разумные меры, нарушение возникло по вине подрядчика. Принцип ответственности оператора за действия обработчика был применён с учётом задокументированного контроля.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП
Аудит соответствия 152-ФЗ — проверка документации до прихода инспектора

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка включает три уровня. Документарный: политика обработки ПДн по ст. 18.1 ФЗ-152 опубликована на сайте, уведомление подано в реестр по Приказу РКН №180, согласия субъектов оформлены отдельными документами с 01.09.2025 по ФЗ-156, назначен ответственный по ст. 22.1 ФЗ-152. Технический: уровень защищённости определён по ПП РФ №1119, меры защиты соответствуют Приказу ФСТЭК №21. Процессуальный: юрист или DPO знает, какие документы предоставлять по распоряжению, а какие — нет.

2. Какие индикаторы риска у РКН?

Индикаторы риска утверждены подзаконным актом РКН и включают: отсутствие оператора в реестре при наличии сайта с формой сбора ПДн, отсутствие политики конфиденциальности на сайте, факт утечки, зафиксированный в публичных источниках, жалобы субъектов за последние 12 месяцев. Межведомственная информация служит самостоятельным триггером и накладывается на уже сработавший индикатор, что даёт РКН двойное основание для выхода без предупреждения.

3. Можно ли отказаться отвечать на запрос РКН?

Отказать в доступе к документам, перечисленным в распоряжении, — нельзя. Оператор обязан обеспечить доступ к документам и информационным системам в ходе проверки по ст. 26 ФЗ-152. Однако оператор вправе не предоставлять документы, не входящие в предмет проверки. Каждый запрос следует сверять с перечнем в распоряжении и фиксировать расхождения письменно — это основание для исключения доказательств при обжаловании.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания в установленный срок квалифицируется по ст. 19.5 КоАП (неисполнение законного предписания) — для юридических лиц штраф составляет от 10 000 до 20 000 ₽ за первичное нарушение. При повторном неисполнении или неисполнении предписания, выданного по факту нарушения ст. 13.11 КоАП, санкция существенно выше. Кроме того, РКН вправе инициировать повторную внеплановую проверку по факту неисполнения предписания, что формирует основание для квалификации нарушения как повторного по ч. 1.1, ч. 2.1 или ч. 5.1 ст. 13.11 КоАП.

5. Куда обжаловать постановление РКН?

С 28.12.2025 (ФЗ-508 от 28.12.2025) постановления по ст. 13.11 КоАП обжалуются мировым судьям по месту нахождения юридического лица. Срок обжалования — 10 суток с момента получения постановления (ст. 30.3 КоАП). Пропущенный срок восстанавливается судом по ходатайству с обоснованием уважительных причин. При обжаловании необходимо проверить: основание проверки, предмет, полномочия должностного лица, составившего протокол, и соответствие квалификации нарушения фактическим обстоятельствам.

Итог

Внеплановая проверка по межведомственной информации — наиболее серьёзное из всех оснований: к ней прилагается уже собранная другим ведомством доказательная база, предварительное уведомление может отсутствовать, а параллельное уголовное или административное производство формирует согласованное давление на оператора. Юрист компании должен к такой проверке готовиться заранее: документация по ст. 18.1, 9, 22 и 22.1 ФЗ-152 должна быть в порядке в любой момент, а не к конкретной дате выхода инспектора.

Практика DATUM по сопровождению проверок РКН включает подготовку документации, участие юриста непосредственно при выезде инспекторов и последующее обжалование предписаний и постановлений в мировых судах. Нарушения, выявленные в ходе межведомственных проверок, оспаривались с применением ст. 4.1, ст. 4.1.1 КоАП и примечания 3.4-2 — во всех случаях, где имелись процессуальные или материальные основания для снижения.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.