Внеплановая по жалобе работника
Внеплановая проверка Роскомнадзора по жалобе работника — это отдельный сценарий, который не попадает под мораторий на плановые контрольные мероприятия 2022–2025 годов. Жалоба считается индикатором риска, достаточным для назначения проверки без предварительного уведомления оператора. Юристу компании важно знать: что именно РКН вправе потребовать, какие документы обязательны к предъявлению, как выстроить защитную позицию до выхода инспектора и после получения предписания.
Почему жалоба работника запускает внеплановую проверку?
Роскомнадзор как уполномоченный орган по защите прав субъектов персональных данных обязан реагировать на обращения граждан. Согласно ст. 23 ФЗ-152, РКН вправе проводить проверки операторов при наличии жалоб от субъектов ПДн. Работник — субъект персональных данных по отношению к работодателю-оператору. Его жалоба о нарушении прав при обработке ПДн является основанием для внеплановой проверки вне зависимости от того, плановая ли проверка данного оператора запланирована на текущий год.
С 2022 года действует мораторий на плановые проверки бизнеса, продлённый в 2024–2025 годах. Он не распространяется на проверки по жалобам субъектов ПДн: это исключение прямо предусмотрено нормативной базой. Поэтому оператор, который считает, что «проверок нет», рискует получить инспектора без предупреждения.
Типичные основания жалоб: отсутствие ответа на запрос об уничтожении или блокировании ПДн, передача данных третьим лицам без согласия, обработка ПДн после увольнения, несоответствие реквизитов согласия требованиям ст. 9 ФЗ-152. После вступления в силу ФЗ-156 от 24.06.2025 (с 01.09.2025) каждое согласие работника должно быть оформлено отдельным документом, не встроенным в трудовой договор или иной документ. Жалобы по этому основанию участились.
Жалоба уже подана или запрос РКН уже получен?
Если вы юрист компании и в материалах проверки появилось обращение работника — у вас ограниченное время до выхода инспектора. Стратегия защиты выстраивается до первого визита: пробел в ОРД, устранённый за 3–5 дней, существенно снижает риск предписания. Юристы DATUM сопроводят проверку РКН, подготовят документацию и выстроят позицию для диалога с инспектором.
Подготовиться к проверке РКН+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Что проверяет РКН при обработке ПДн работников?
Предмет внеплановой проверки определяется содержанием жалобы, но инспектор вправе запросить весь комплект документов по обработке ПДн. На практике РКН проверяет следующее.
Реестр операторов. Оператор обязан уведомить РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 до начала обработки. Форма подачи — Приказ РКН №180 от 28.10.2022, через портал pd.rkn.gov.ru. Если уведомление не подано или сведения в реестре не соответствуют фактической обработке — это отдельное нарушение по ч. 10 ст. 13.11 КоАП (штраф 100 000–300 000 ₽).
Политика обработки персональных данных. По ч. 2 ст. 18.1 ФЗ-152 оператор обязан опубликовать политику в открытом доступе. Отсутствие или ненадлежащее содержание — ч. 3 ст. 13.11 КоАП (до 60 000 ₽). Политика должна описывать цели, категории ПДн, основания, сроки хранения, права субъектов.
Согласия работников. С 01.09.2025 согласие — отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152: ФИО, контактные данные, наименование оператора, перечень ПДн, цель, действия, срок, способ отзыва. Согласие, встроенное в трудовой договор или подписанное «по умолчанию», не соответствует требованиям ФЗ-156 от 24.06.2025.
Сроки хранения и уничтожение ПДн. Если работник уволен и требует уничтожения ПДн, оператор обязан уничтожить данные, обработка которых не основана на иных правовых основаниях. Личное дело хранится 75 лет по архивному законодательству — это самостоятельное основание по ст. 6 ФЗ-152, не требующее согласия. Но данные в маркетинговых CRM, мессенджерах, рассылках — подлежат уничтожению по требованию субъекта.
Ответы на запросы субъекта. По ст. 20 ФЗ-152 оператор обязан ответить на запрос субъекта в течение 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Если работник жалуется, что ответа не получил — инспектор запросит журнал учёта обращений.
Что подготовить до прихода инспектора РКН
- Выписка из реестра операторов ПДн с pd.rkn.gov.ru — актуальные сведения об обрабатываемых категориях и целях.
- Политика обработки ПДн — опубликована на сайте, содержит разделы по ч. 2 ст. 18.1 ФЗ-152.
- Отдельные согласия работников по форме ст. 9 ФЗ-152 в редакции с 01.09.2025 — для всех действующих и, при необходимости, уволенных сотрудников.
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с актуальной датой и подписью руководителя.
- Журнал учёта обращений субъектов ПДн за последние 12 месяцев — с входящими запросами и датами ответов.
Как проходит внеплановая проверка по жалобе: процедура и права сторон
Внеплановая проверка проводится на основании распоряжения руководителя (заместителя) территориального органа РКН. Оператор вправе потребовать предъявить это распоряжение и служебные удостоверения инспекторов до начала мероприятия. Отказ предъявить распоряжение — основание не допускать инспектора на территорию.
Срок проведения проверки по общему правилу — не более 20 рабочих дней (для субъектов МСП — ограничения по общему режиму). Инспектор вправе запрашивать документы, объяснения должностных лиц, осматривать информационные системы. Он не вправе изымать оригиналы документов без отдельного процессуального основания.
По итогам проверки составляется акт. Если выявлены нарушения — выдаётся предписание об устранении. Одновременно или после — протокол об административном правонарушении по соответствующей части ст. 13.11 КоАП. Оператор вправе подать возражения на акт в течение 15 рабочих дней.
Профвизит — более мягкая форма контрольного мероприятия (наблюдение без составления протоколов по итогам). Он тоже возможен по жалобе, если РКН оценивает риск как невысокий. Индикаторы риска определяют тип мероприятия: жалоба работника на прямое нарушение прав с приложением документов — почти всегда полноценная проверка, а не профвизит.
Типовые сценарии по жалобам работников: ситуация, риск, стратегия
Сценарий 1. Уволенный сотрудник требовал уничтожить ПДн — ответа не получил. Ситуация: работник направил письменный запрос, компания не ответила в срок. Доказательства: у работника есть квитанция об отправке. Вероятный исход: нарушение ч. 4 и ч. 5 ст. 13.11 КоАП (неответ на запрос + неуничтожение), штраф до 90 000 ₽ за каждый состав, предписание об устранении. Стратегия: до проверки восстановить журнал обращений, направить ответ с документальным подтверждением, при необходимости — уничтожить данные с актом и зафиксировать факт уничтожения.
Сценарий 2. Согласие на обработку биометрии в СКУД включено в трудовой договор. Ситуация: компания использует систему контроля доступа с распознаванием лица; согласие встроено в текст трудового договора или в приложение к нему единым документом. После 01.09.2025 это нарушает требование об отдельном согласии (ФЗ-156). Доказательства: работник прикладывает копию договора. Вероятный исход: ч. 2 ст. 13.11 КоАП — штраф 300 000–700 000 ₽, а при наличии биометрии — возможна дополнительная квалификация по ч. 16 ст. 13.11 КоАП. Стратегия: немедленно переоформить согласия на биометрию отдельными документами по требованиям ст. 9 и ст. 11 ФЗ-152, получить новые подписи действующих сотрудников до даты выхода инспектора.
Сценарий 3. Данные работника переданы в зарплатный банк без надлежащего основания. Ситуация: работодатель передаёт ФИО, паспорт, ИНН, СНИЛС работника в банк для открытия зарплатного счёта. Отдельное согласие на передачу третьему лицу отсутствует. Работник жалуется, что его данные переданы без его ведома. Вероятный исход: ч. 1 ст. 13.11 КоАП (обработка сверх целей) или ч. 2 (без надлежащего согласия). Стратегия: проверить наличие отдельного основания передачи (согласие работника на конкретный банк или договор с банком по поручению с ограничением целей), при отсутствии — переоформить документацию и отразить в уведомлении реестра.
Если жалоба уже зарегистрирована в РКН — у вас, как правило, не более 7–10 рабочих дней до получения запроса документов или уведомления о проверке. Юристы DATUM сопроводят весь цикл: от анализа жалобы до обжалования предписания в арбитраже.
Защитить от штрафа 13.11Как применяется практика: два случая из регионов
Кейс 1. В компании розничной торговли (Уральский ФО, осень 2025) уволенный менеджер пожаловался в РКН на то, что работодатель продолжает обрабатывать его номер телефона в рекламной рассылке после увольнения. Инспектор запросил подтверждение уничтожения ПДн и журнал обращений субъектов. Журнала не было, акта уничтожения — тоже. РКН вынес предписание и протокол по ч. 5 ст. 13.11 КоАП. Юрист компании оспорил протокол, представив доказательства того, что работник ни разу не направлял письменный запрос; жалоба в РКН оказалась первым обращением. Мировой судья снизил квалификацию до ч. 4 ст. 13.11 (неинформирование) и назначил минимальный штраф. Итог: документооборот с субъектами восстановлен, журнал обращений введён в практику. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Кейс 2. IT-компания (Центральный ФО, начало 2026) получила жалобу разработчика на то, что его согласие на обработку ПДн при найме включено в оферту о трудоустройстве. После 01.09.2025 это прямое нарушение ФЗ-156. До прихода инспектора юрист компании переоформил согласия всех сотрудников отдельными документами, внёс изменения в уведомление в реестре операторов. При проверке РКН зафиксировал нарушение как устранённое на момент проверки. Предписание выдано, но протокол не составлен — инспектор учёл оперативность устранения. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Услуги DATUM по теме
- Сопровождение проверок РКН — подготовка, представительство, обжалование предписания.
- Аудит соответствия 152-ФЗ — проверка 38 пунктов ОРД, включая согласия работников и реестр операторов.
- Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП.
Частые вопросы
1. Как подготовиться к проверке РКН?
Первый шаг — сверить сведения в реестре операторов на pd.rkn.gov.ru с фактической обработкой: категории ПДн, цели, третьи лица, трансграничная передача. Второй — проверить, что политика обработки ПДн опубликована на сайте и содержит все разделы по ч. 2 ст. 18.1 ФЗ-152. Третий — убедиться, что согласия работников оформлены отдельными документами с 01.09.2025 (ФЗ-156). Четвёртый — проверить наличие журнала обращений субъектов и журнала учёта инцидентов. Пятый — назначен ответственный за обработку ПДн по ст. 22.1 ФЗ-152.
2. Какие индикаторы риска у РКН?
РКН использует индикаторы риска при назначении контрольных мероприятий. К ним относятся: жалоба субъекта ПДн (работника, клиента, пользователя) с приложенными документами; отсутствие оператора в реестре при наличии сайта с формами сбора данных; публикация сведений об утечке в открытых источниках или уведомление об инциденте по ч. 3.1 ст. 21 ФЗ-152; отсутствие политики обработки ПДн в открытом доступе. Жалоба работника с приложенными документами — один из наиболее весомых индикаторов для назначения именно внеплановой проверки, а не профвизита.
3. Можно ли отказаться отвечать на запрос РКН?
Нет. Оператор обязан исполнять требования уполномоченного органа по защите прав субъектов ПДн — это прямо предусмотрено ст. 18.1 и ст. 23 ФЗ-152. Непредставление документов или отказ в доступе инспектору при наличии законного распоряжения о проверке влечёт самостоятельный состав по КоАП (воспрепятствование проверке). Правомерная тактика — не отказывать, а проверить полномочия (наличие распоряжения, служебные удостоверения) и запросить разумный срок для подготовки документов в пределах установленных нормативами.
4. Что грозит за невыполнение предписания РКН?
Предписание РКН — ненормативный правовой акт, обязательный для исполнения. Невыполнение в установленный срок влечёт ответственность по ч. 1 ст. 19.5 КоАП (неисполнение предписания надзорного органа) — для юридических лиц штраф до 500 000 ₽, для должностных лиц — до 30 000 ₽. При этом административное производство по самому нарушению ст. 13.11 КоАП продолжается параллельно. Предписание можно обжаловать в арбитражном суде в течение 3 месяцев — оспаривание не приостанавливает исполнение, если суд не примет обеспечительные меры.
5. Куда обжаловать постановление РКН?
С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 суток с момента вручения. Постановление самого РКН как должностного лица обжалуется в районный суд по месту рассмотрения дела или в вышестоящий орган РКН. Предписание РКН как ненормативный правовой акт оспаривается в арбитражном суде по ст. 197–201 АПК РФ. Параллельное обжалование постановления по КоАП и предписания в арбитраже — допустимая и распространённая тактика.
Итог
Внеплановая проверка по жалобе работника — не форс-мажор, а предсказуемый сценарий для оператора, который не ведёт журнал обращений субъектов, не оформил отдельные согласия после 01.09.2025 и не обновил реестр. Основные нарушения, которые фиксирует РКН по таким проверкам: несоответствие согласий ст. 9 ФЗ-152, отсутствие ответа субъекту в 10 рабочих дней, отсутствие политики обработки ПДн в открытом доступе.
DATUM сопровождает операторов на всех стадиях: от экстренного анализа жалобы до обжалования постановления в суде. Практика включает подготовку к проверкам РКН, восстановление ОРД в сжатые сроки и защиту по ч. 2, 4, 5 ст. 13.11 КоАП.
22 мая 2027 года