аналитика 27 мая 2027 По состоянию на 27 мая 2027

Внеплановая по СМИ-сообщениям

Публикация в СМИ о нарушении 152-ФЗ — самостоятельное основание для внеплановой проверки Роскомнадзора без предварительного уведомления оператора.

С 30.05.2025 штраф по итогам такой проверки достигает 15 млн ₽ за утечку (ч. 14 ст. 13.11 КоАП), а при повторном нарушении — до 500 млн ₽ оборотного штрафа (ч. 15 ст. 13.11).

→ Если вы юрист и в СМИ появилось сообщение о нарушении вашей компанией 152-ФЗ — у вас, вероятно, несколько дней до назначения проверки.

Роскомнадзор использует публикации в средствах массовой информации как индикатор риска для назначения внеплановых проверок операторов персональных данных. Механизм закреплён в федеральном законодательстве о государственном контроле и применяется регулятором наряду с жалобами субъектов и собственным мониторингом. Для юриста компании-оператора это означает: любая публикация о предполагаемом нарушении 152-ФЗ — потенциальный триггер проверки, которая не попадает под мораторий на плановые проверки и начинается без предварительного согласования с прокуратурой по общему правилу. В этой статье разбираем правовые основания, хронологию событий и стратегию защиты.

Какие правовые основания даёт СМИ-сообщение для внеплановой проверки РКН?

Государственный контроль за обработкой персональных данных регулируется ФЗ-152 и Федеральным законом от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре)». Статья 57 ФЗ-248 перечисляет индикаторы риска нарушения обязательных требований — формализованные признаки, при наступлении которых регулятор вправе назначить внеплановое контрольное мероприятие.

РКН утверждает собственный перечень индикаторов риска приказом. Публикация в СМИ сведений о нарушении оператором требований 152-ФЗ входит в этот перечень как самостоятельный индикатор. Речь идёт не только о крупных федеральных изданиях: региональные СМИ, отраслевые порталы и даже верифицированные телеграм-каналы, зарегистрированные как СМИ, также учитываются.

«Ст. 57 ФЗ-248 устанавливает, что индикаторы риска нарушения обязательных требований утверждаются федеральным органом исполнительной власти, осуществляющим нормативно-правовое регулирование в соответствующей сфере. Для 152-ФЗ такой орган — Роскомнадзор.»

Внеплановая проверка по индикатору риска (в форме документарной или выездной проверки либо инспекционного визита) не требует согласования с органами прокуратуры — в отличие от ряда других оснований по ФЗ-248. Это принципиально: мораторий на плановые проверки, действующий с 2022 года, на внеплановые по индикаторам риска в сфере ПДн не распространяется.

Помимо СМИ-сообщений, типовые индикаторы риска включают: отсутствие оператора в реестре РКН при наличии факта обработки, сведения о компрометации базы данных в открытом доступе, жалобы субъектов ПДн. Публикация в СМИ — наиболее публичный и потому наиболее значимый для репутации триггер.

СМИ написали о нарушении 152-ФЗ вашей компанией?

С момента публикации у РКН появляется основание для внеплановой проверки. Первые действия юриста определяют, будет ли это документарная проверка или выездная с протоколом. Промедление сужает возможности защиты: если проверка уже назначена, стратегия меняется принципиально.

Защитить от штрафа 13.11

Ответим в течение рабочего дня · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как РКН действует от публикации до назначения проверки?

Хронология стандартная. После появления публикации сотрудники РКН фиксируют её в системе мониторинга СМИ. Регулятор проверяет, зарегистрирован ли оператор в реестре операторов персональных данных (pd.rkn.gov.ru), соответствует ли заявленный вид деятельности сообщению и имеются ли предшествующие нарушения. На основании этого анализа принимается решение о форме контрольного мероприятия.

Возможны три сценария после публикации. Первый — профилактический визит: РКН приходит без составления протокола, разъясняет требования, предлагает устранить нарушения добровольно. Второй — документарная проверка: запрос документов по почте или через личный кабинет оператора, без выезда. Третий — выездная проверка: инспекторы на объекте, полный осмотр ИСПДн, интервью с сотрудниками, запрос журналов и ОРД.

Срок уведомления оператора о внеплановой выездной проверке по ФЗ-248 — не менее чем за 24 часа. Документарная проверка начинается с запроса документов, срок ответа на который устанавливает регулятор. Профилактический визит проводится по согласованию с оператором.

«Приказ РКН № 180 от 28.10.2022 определяет форму уведомлений о намерении обрабатывать персональные данные и о прекращении обработки. Отсутствие актуальной записи в реестре операторов при наличии факта обработки — самостоятельный индикатор риска, который проверяется при любом контрольном мероприятии.»

Типичный срок от публикации до уведомления о проверке на практике составляет от нескольких дней до нескольких недель. Это время — единственное окно для подготовки. Если публикация касается предполагаемой утечки, параллельно начинают действовать сроки по ч. 3.1 ст. 21 ФЗ-152: 24 часа на первичное уведомление РКН об инциденте и 72 часа на отчёт о расследовании по Приказу РКН № 187 от 14.11.2022. Пропуск этих сроков — отдельный состав по ч. 11 ст. 13.11 КоАП, штраф 1–3 млн ₽.

Что проверяет РКН и какие нарушения выявляют чаще всего?

Предмет контроля при внеплановой проверке, инициированной СМИ-публикацией, определяется содержанием самой публикации. Если написано об утечке — проверяют технические и организационные меры защиты, уведомление РКН об инциденте, наличие регламента реагирования. Если написано о незаконной обработке — проверяют основания обработки, согласия, политику конфиденциальности.

По данным практики проверок 2024–2025 годов, наиболее частые нарушения, выявляемые при внеплановых проверках в сфере ПДн, — следующие. Отсутствие оператора в реестре РКН при фактической обработке (ч. 10 ст. 13.11 КоАП, штраф 100–300 тыс. ₽). Политика обработки ПДн отсутствует или не опубликована в доступном месте (ч. 3 ст. 13.11, штраф 30–60 тыс. ₽). Согласия субъектов не соответствуют требованиям ст. 9 ФЗ-152 — особенно актуально после вступления в силу ФЗ-156 от 24.06.2025, по которому с 01.09.2025 согласие оформляется отдельным документом (ч. 2 ст. 13.11, штраф 300–700 тыс. ₽). Отсутствие приказа о назначении ответственного по ст. 22.1 ФЗ-152.

Что подготовить до прихода инспектора

Выписку из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями об обработке
Политику обработки ПДн, опубликованную на сайте, с датой последнего обновления
Пакет ОРД: приказ о назначении ответственного (ст. 22.1), согласия субъектов, регламент реагирования на инциденты
Журнал учёта обращений субъектов ПДн за 12 месяцев с отметками о сроках ответа по ст. 20 ФЗ-152
Документацию об уровне защищённости ИСПДн (УЗ-1..4 по ПП РФ № 1119) и реализованных мерах по Приказу ФСТЭК № 21

Какие индикаторы риска у РКН приводят к проверке?

Индикаторы риска — формализованный инструмент приоритизации надзорной нагрузки. РКН утверждает их отдельным приказом в соответствии с ФЗ-248. Для юриста важно понимать полный перечень, поскольку СМИ-сообщение часто не единственный действующий индикатор на момент проверки.

Помимо публикаций в СМИ, к индикаторам риска в сфере ПДн относятся: сведения об операторе в открытых источниках даркнета (базы данных, выложенные на форумах), жалобы субъектов, поданные через портал РКН или непосредственно инспекторам, отсутствие ответа на запрос РКН в установленный срок, несоответствие сведений в реестре операторов фактической деятельности компании, факт возбуждения уголовного дела по ст. 272.1 УК РФ в отношении работников оператора.

Каждый из этих индикаторов может действовать отдельно. При наличии нескольких одновременно — вероятность выездной проверки с составлением протокола существенно возрастает. СМИ-публикация об утечке при одновременном наличии базы в открытом доступе — практически гарантированная внеплановая выездная проверка.

Если вы юрист и оцениваете риски до начала проверки — момент для подготовки ОРД ещё не упущен. Срок уведомления о выездной проверке — 24 часа: после него поздно исправлять документы.

Подготовиться к проверке РКН

Как выглядит проверка по СМИ-сообщению на практике

Сценарий 1. Публикация об утечке данных клиентов. Региональный онлайн-ретейлер (Приволжский ФО, осень 2025). Отраслевое издание опубликовало материал о базе данных покупателей компании в открытом доступе. РКН назначил внеплановую документарную проверку через 10 дней. Юрист компании не направил первичное уведомление об инциденте в 24 часа — на момент публикации не было подтверждения утечки изнутри. По итогам проверки составлены протоколы по ч. 11 (неуведомление об инциденте, штраф в диапазоне 1–3 млн ₽) и по ч. 3 (отсутствие политики на сайте). Оспаривание протокола позволило снизить штраф до минимального значения по ч. 3, по ч. 11 — применить обстоятельства, смягчающие ответственность.

Сценарий 2. Публикация о незаконном сборе ПДн в маркетинговых целях. Крупная e-commerce площадка (Центральный ФО, начало 2026). Федеральное издание опубликовало расследование о передаче данных пользователей платформы третьим лицам для таргетированной рекламы без надлежащего основания по ст. 6 ФЗ-152. РКН инициировал выездную проверку. При осмотре выявлено: согласие на обработку ПДн в маркетинговых целях включено в текст пользовательского соглашения, не оформлено отдельным документом в нарушение ФЗ-156 (с 01.09.2025). Составлен протокол по ч. 2 ст. 13.11 (штраф 300–700 тыс. ₽). Параллельно РКН выдал предписание об устранении нарушения в 30-дневный срок.

Невыполнение предписания РКН в установленный срок влечёт штраф по ст. 19.5 КоАП (неисполнение предписания государственного органа) и, при повторности, создаёт основание для нового контрольного мероприятия. Это отдельный риск, который юристы нередко недооценивают, сосредотачиваясь на обжаловании протокола по ст. 13.11.

Услуги DATUM по теме

Сопровождение проверок РКН — подготовка, представительство, обжалование предписаний
Аудит соответствия 152-ФЗ — проверка документов и процессов до прихода инспектора
Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка начинается с проверки актуальности записи в реестре операторов ПДн на pd.rkn.gov.ru: сведения об обрабатываемых категориях данных, целях и основаниях должны совпадать с реальными процессами. Далее — проверка ОРД: политика обработки ПДн опубликована и содержит реквизиты по ч. 2 ст. 18.1 ФЗ-152, согласия субъектов оформлены отдельными документами по ст. 9 ФЗ-152 в редакции ФЗ-156 (с 01.09.2025), назначен ответственный по ст. 22.1. Если публикация в СМИ касается предполагаемой утечки — параллельно оцениваем, нужно ли направлять уведомление в РКН по Приказу № 187.

2. Какие индикаторы риска у РКН ведут к внеплановой проверке?

РКН утверждает перечень индикаторов риска приказом в соответствии с ч. 5 ст. 8 ФЗ-248. К наиболее частым относятся: публикации в СМИ о нарушениях 152-ФЗ, сведения о компрометации базы данных оператора в открытых источниках, жалобы субъектов ПДн, отсутствие оператора в реестре РКН при наличии признаков обработки, несоответствие сведений в уведомлении фактической деятельности. При наличии нескольких индикаторов одновременно вероятность выездной проверки существенно выше.

3. Можно ли отказаться отвечать на запрос РКН?

Оператор обязан предоставить документы и сведения по запросу РКН в рамках контрольного мероприятия. Отказ или непредставление в установленный срок квалифицируются как воспрепятствование законной деятельности государственного органа (ст. 19.4.1 КоАП). Вместе с тем оператор вправе не предоставлять документы, выходящие за предмет проверки, и фиксировать это в письменных возражениях. Юрист может и должен участвовать в каждом взаимодействии с инспектором.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания регулятора в установленный срок влечёт штраф по ч. 1 ст. 19.5 КоАП: для юридических лиц — от 10 000 до 20 000 ₽ за первое нарушение. Однако практические последствия серьёзнее: невыполненное предписание — основание для назначения новой внеплановой проверки и, при наличии повторных нарушений по ст. 13.11 КоАП, для применения оборотного штрафа по ч. 15 (1–3% выручки, не менее 20 млн ₽). Срок исполнения предписания РКН устанавливает самостоятельно, как правило 30 дней.

5. Куда обжаловать постановление РКН?

Постановление по делу об административном правонарушении по ст. 13.11 КоАП с 28.12.2025 (ФЗ-508) рассматривают мировые судьи — туда же подаётся жалоба на постановление, вынесенное должностным лицом РКН. Вышестоящая инстанция — районный суд. Срок на обжалование — 10 суток с момента получения постановления (ст. 30.3 КоАП). В жалобе целесообразно ссылаться на ст. 4.1 КоАП (смягчающие обстоятельства), а при первичном нарушении для субъектов МСП — на ст. 4.1.1 КоАП (замена штрафа предупреждением). К оборотным составам (ч. 15, ч. 18) ст. 4.1.1 не применяется.

Итог

Публикация в СМИ о нарушении 152-ФЗ запускает цепочку: индикатор риска — назначение внеплановой проверки — документарная или выездная форма — протокол — постановление о штрафе. Каждый этап имеет временной лимит, и промедление с реакцией сужает возможности защиты. Проверка по СМИ-сообщению не попадает под мораторий на плановые проверки и начинается с уведомлением за 24 часа — у юриста нет недель на подготовку.

DATUM сопровождает операторов на всех стадиях: от оценки публикации и проверки ОРД до представительства при инспекционном визите и обжалования постановлений в арбитраже и у мирового судьи по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies как ПДн, согласия в интернет-магазинах и SaaS, трансграничные сервисы аналитики, политики конфиденциальности для маркетплейсов и мобильных приложений.