аналитика 9 января 2028 По состоянию на 9 января 2028

Внеплановая проверка после уведомления об утечке

Уведомление РКН об утечке по ч. 3.1 ст. 21 ФЗ-152 почти гарантированно запускает внеплановую проверку. С 30.05.2025 за выявленные нарушения грозит оборотный штраф — от 20 млн до 500 млн рублей.

Роскомнадзор использует уведомление об инциденте как повод войти в компанию и проверить не только факт утечки, но и весь комплаенс по 152-ФЗ: документы, согласия, локализацию, меры защиты. Это стандартная практика 2025–2026 годов.

→ Если вы CEO и получили уведомление о проверке — у вас ограниченное время на подготовку. Как выстроить защиту и снизить риск оборотного штрафа, разобрано ниже.

С вступлением в силу ФЗ-420 от 30.11.2024 Роскомнадзор получил в руки инструмент давления, которого раньше не было: любая утечка, о которой оператор честно сообщил, становится точкой входа для полноценной внеплановой проверки. Генеральный директор, подписавший уведомление по форме Приказа РКН №187, должен понимать: в течение нескольких недель инспектор придёт проверять не только, правильно ли оформлено уведомление, но и всё, что связано с обработкой персональных данных в компании.

Почему внеплановая проверка следует за уведомлением об утечке?

По ч. 3.1 ст. 21 ФЗ-152 оператор обязан уведомить Роскомнадзор об инциденте в течение 24 часов с момента обнаружения и направить отчёт о результатах внутреннего расследования — в течение 72 часов. Само по себе направление уведомления не является нарушением. Но именно оно создаёт формальное основание для внеплановой проверки по ст. 10 Федерального закона о защите прав юридических лиц (ФЗ-294): получение сведений об инциденте с ПДн — стандартный повод для внепланового визита контролирующего органа.

На практике Роскомнадзор в 2025–2026 годах стабильно проводит внеплановые проверки после получения первичного уведомления. Проверка охватывает три блока: корректность самого уведомления, состояние технической защиты ИСПДн, а также весь пакет организационно-распорядительной документации — от политики обработки до приказа о назначении ответственного по ст. 22.1 ФЗ-152.

«Ст. 21 ч. 3.1 ФЗ-152 — оператор обязан уведомить уполномоченный орган в течение 24 часов с момента выявления инцидента, а в течение 72 часов — направить результаты расследования. Приказ РКН №187 от 14.11.2022 устанавливает формы и порядок обоих уведомлений.»

Ключевое, что должен понимать генеральный директор: инспекторы не ограничиваются проверкой факта утечки. Любой выявленный попутно недостаток — отсутствие актуальной политики, несоответствие уведомления в реестре операторов реальной обработке, согласия работников в трудовом договоре вместо отдельного документа — оформляется отдельным протоколом. Итогом одной проверки может быть несколько производств по разным частям ст. 13.11 КоАП.

Получили уведомление о проверке РКН или уже идёт проверка?

Внеплановая проверка после утечки — это не только разбор инцидента. Инспектор проверит весь комплаенс. Если у компании нет актуального пакета документов, каждый пробел превращается в отдельный протокол. До начала проверки или в её ходе у вас есть возможность минимизировать число нарушений.

Юристы DATUM подготовят компанию к проверке: проведут экспресс-аудит по чек-листу из 38 пунктов, закроют критические пробелы в ОРД, подготовят позицию по инциденту и будут представлять интересы на проверке.

Подготовиться к проверке РКН

Ответ в течение 2 часов · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что именно проверяет РКН в ходе внеплановой проверки?

Программа внеплановой проверки, как правило, включает несколько направлений. Первое — соответствие уведомления в реестре операторов ПДн реальной практике обработки: категории данных, цели, перечень ИСПДн, наличие поручения третьим лицам. Если компания три года назад указала в уведомлении обработку только персональных данных сотрудников, а на деле обрабатывает клиентскую базу с биометрическими данными — это отдельный состав по ч. 1 ст. 13.11 (150–300 тыс. рублей) или ч. 2 (300–700 тыс. рублей).

Второе направление — организационно-распорядительная документация. Проверяется наличие политики обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, приказа о назначении ответственного по ст. 22.1, регламента реагирования на инциденты, договоров с лицами, осуществляющими обработку по поручению. Отсутствие публично размещённой политики — ч. 3 ст. 13.11 (30–60 тыс. рублей). Отсутствие назначенного ответственного — основание для предписания об устранении.

Третье направление — технические меры защиты. Инспектор вправе запросить документацию об установленном уровне защищённости ИСПДн по ПП РФ №1119, акт классификации, документальное подтверждение выполнения мер по Приказу ФСТЭК №21. Если уровень защищённости формально определён как УЗ-3 или УЗ-4, но фактических мер нет — это нарушение ст. 19 ФЗ-152.

«Ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420) содержит 18 частей. Ч. 1 — обработка в случаях, не предусмотренных законом: 150–300 тыс. ₽. Ч. 2 — отсутствие надлежащего согласия: 300–700 тыс. ₽. Ч. 3 — нарушение обязанности по опубликованию политики: 30–60 тыс. ₽. Все эти нарушения выявляются в ходе одной внеплановой проверки.»

Что подготовить до прихода инспектора

Выписку из реестра операторов ПДн с pd.rkn.gov.ru — убедиться, что она отражает текущую практику обработки (категории, цели, ИСПДн, третьи лица).
Актуальную политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте, датирована после последних изменений.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с актуальной датой и подписью.
Комплект согласий — работников (отдельные документы по ст. 9 в редакции ФЗ-156 с 01.09.2025), клиентов, третьих лиц — проверить соответствие обязательным реквизитам.
Документацию по уровню защищённости ИСПДн (акт классификации по ПП РФ №1119) и выполненным техническим мерам по Приказу ФСТЭК №21.

Какой штраф грозит по итогам внеплановой проверки?

Штрафная нагрузка определяется совокупностью выявленных нарушений. По каждому самостоятельному составу ст. 13.11 КоАП составляется отдельный протокол. Если в ходе проверки зафиксированы нарушения по ч. 1, ч. 2 и ч. 3 — три отдельных производства, три постановления.

Но ключевой риск — это оборотный штраф по ч. 15 ст. 13.11 КоАП. Он применяется при повторном совершении нарушений по ч. 12–14 (утечки данных субъектов в зависимости от масштаба). Если компания уже привлекалась по любой из этих частей или по ч. 15–18, а инцидент произошёл снова — штраф составляет 1–3% совокупной выручки за предшествующий календарный год, но не менее 20 млн рублей и не более 500 млн рублей.

«Ст. 13.11 ч. 15 КоАП в редакции с 30.05.2025 (ФЗ-420) — оборотный штраф при повторной утечке: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Скидка за быструю уплату по ст. 32.2 КоАП к оборотным штрафам не применяется.»

Для компании с выручкой 2 млрд рублей минимальный оборотный штраф составит 20 млн рублей. Для компании с выручкой 10 млрд рублей — 100–300 млн рублей. Это несопоставимо с затратами на приведение обработки в соответствие.

Есть один механизм снижения: ст. 4.1 КоАП содержит примечание о том, что если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам снижается до 1/10 минимального размера, но не менее 15 млн рублей и не более 50 млн рублей. Применение этой нормы требует документального подтверждения расходов на ИБ.

Как действуют сценарии проверки на практике?

Сценарий 1. Компания направила уведомление, комплаенс частично выстроен. Уведомление об инциденте подано в срок, первичная документация есть, но ряд согласий устарел (оформлены до 01.09.2025 как часть договора, а не отдельным документом по ФЗ-156). Инспектор фиксирует нарушение ч. 2 ст. 13.11. Штраф 300–700 тыс. рублей. Если это первое нарушение и компания — субъект МСП, возможно применение ст. 4.1.1 КоАП с заменой на предупреждение. Стратегия: до проверки устранить нарушения по согласиям, задокументировать устранение, заявить о нём в процессе проверки как о смягчающем обстоятельстве.

Сценарий 2. Компания ранее привлекалась по ст. 13.11, новый инцидент крупнее. Утечка затронула более 100 000 субъектов — это ч. 14 ст. 13.11 (10–15 млн рублей). При наличии предшествующего привлечения по ч. 12–14 автоматически появляется квалификация по ч. 15 (оборотный штраф от 20 млн рублей). Если оператор не может документально подтвердить инвестиции в ИБ по ст. 4.1 КоАП — полный оборотный штраф. Стратегия: немедленно привлекать юристов, оценивать доказательную базу по инвестициям в ИБ, готовить позицию для арбитражного суда с учётом ст. 4.1 КоАП.

Сценарий 3. Утечка произошла через подрядчика. CRM-система передана на обслуживание стороннему исполнителю. Подрядчик допустил утечку. По позиции судебной практики оператор отвечает за утечку через лицо, осуществляющее обработку по поручению, если договор поручения не содержит надлежащих условий по ст. 6 ФЗ-152. Стратегия: проверить договор с подрядчиком, при необходимости переложить часть ответственности в рамках регрессного требования, задокументировать меры контроля подрядчика.

Если вы CEO и уже получили протокол по ст. 13.11 КоАП — у вас ограниченные сроки на обжалование. Оборотный штраф по ч. 15 не снижается за быструю уплату, но может быть существенно уменьшен через арбитражный суд при правильно выстроенной позиции по ст. 4.1 КоАП.

Защитить от штрафа 13.11

Как применяются ст. 4.1 и ст. 4.1.1 КоАП при обжаловании?

Ст. 4.1 КоАП — основной инструмент снижения оборотного штрафа. Помимо инвестиционного механизма (0,1% выручки за три года → штраф 1/10 минимума, но не менее 15 млн рублей и не более 50 млн рублей), ст. 4.1 предусматривает учёт смягчающих обстоятельств: признание нарушения, добровольное устранение, оказание содействия регулятору, возмещение вреда субъектам. Каждое из них фиксируется в протоколе и учитывается при назначении штрафа в диапазоне между минимумом и максимумом части.

Ст. 4.1.1 КоАП позволяет заменить штраф предупреждением при одновременном выполнении условий: первичное нарушение, отсутствие причинённого вреда субъектам, наличие статуса микропредприятия или субъекта МСП. Ключевое ограничение: ст. 4.1.1 не применяется к оборотным составам — ч. 15 и ч. 18 ст. 13.11 КоАП. Для них применима только ст. 4.1.

После ФЗ-508 от 28.12.2025 дела по ст. 13.11 КоАП снова рассматривают мировые судьи (с 30.05.2025 по 27.12.2025 их рассматривали арбитражные суды). Подсудность влияет на процессуальные особенности обжалования: апелляция на решение мирового судьи — в районный суд, обжалование решений арбитражных судов (если дело попало туда в переходный период) — в апелляционный арбитражный суд.

«Ст. 4.1.1 КоАП — замена штрафа предупреждением: применяется при первичном нарушении, отсутствии вреда, статусе МСП или микропредприятия. Не применяется к оборотным составам ч. 15 и ч. 18 ст. 13.11 КоАП. Ст. 4.1 КоАП — учёт смягчающих обстоятельств и снижение оборотного штрафа при документальном подтверждении инвестиций в ИБ: минимум снижается до 15 млн ₽, максимум — 50 млн ₽.»

Практика: два кейса

Кейс 1. Торговая компания из Сибирского федерального округа (осень 2025) направила уведомление об инциденте в срок — утечка затронула около 8 000 субъектов (квалификация по ч. 12 ст. 13.11, штраф 3–5 млн рублей). В ходе внеплановой проверки инспектор выявил три дополнительных нарушения: устаревшее уведомление в реестре РКН, согласия клиентов в договоре оферты вместо отдельного документа, отсутствие назначенного ответственного. Итог — четыре протокола. Генеральный директор обратился за юридическим сопровождением на стадии подготовки к проверке. Юристы закрыли ОРД до прихода инспектора, два из четырёх протоколов оспорили в производстве с применением ст. 4.1 КоАП — штраф снижен до нижней границы диапазона.

Кейс 2. По делу о внеплановой проверке арбитражный суд (Северо-Западный ФО, начало 2026) рассмотрел спор о применении ч. 15 ст. 13.11 КоАП к компании из сектора розничной торговли. Компания ранее привлекалась по ч. 13 ст. 13.11, новая утечка затронула более 100 000 субъектов — автоматическая квалификация по ч. 14 и ч. 15. Компания документально подтвердила инвестиции в информационную безопасность (более 0,1% выручки за три предшествующих года). Суд применил механизм ст. 4.1 КоАП: штраф снижен с расчётного значения в сотни миллионов рублей до 15 млн рублей. Ключевым доказательством стали контракты с подрядчиком по ИБ, аудиторские заключения и акты внедрения СЗИ. ⚠️ Номер дела уточняется менеджером при публикации.

Услуги DATUM по теме

Сопровождение проверок РКН — представительство на проверке, обжалование предписаний
Защита при штрафе в арбитраже — оспаривание протоколов, применение ст. 4.1 и 4.1.1 КоАП
Аудит соответствия 152-ФЗ — экспресс-аудит перед проверкой по чек-листу из 38 пунктов

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

Ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 содержит 18 частей. Диапазоны для юридических лиц: ч. 1 (незаконная обработка) — 150–300 тыс. ₽, ч. 2 (отсутствие надлежащего согласия) — 300–700 тыс. ₽, ч. 12 (утечка 1 000–10 000 субъектов) — 3–5 млн ₽, ч. 13 (10 000–100 000 субъектов) — 5–10 млн ₽, ч. 14 (более 100 000 субъектов) — 10–15 млн ₽, ч. 15 (оборотный при повторности) — 1–3% выручки, не менее 20 млн ₽ и не более 500 млн ₽.

2. Что такое оборотный штраф 1–3% и когда он применяется?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушения по ч. 12–14 лицом, которое ранее привлекалось по ч. 12–14, 15, 16, 17 или 18. Размер — 1–3% совокупной выручки компании за предшествующий календарный год. Минимальный порог — 20 млн рублей, максимальный — 500 млн рублей. Скидка за досрочную уплату штрафа по ст. 32.2 КоАП к оборотным составам не применяется.

3. Когда применяется минимум 20 млн рублей по оборотному штрафу?

Минимум 20 млн рублей применяется, если расчётная величина 1–3% выручки окажется меньше этой суммы. Например, для компании с выручкой 500 млн рублей 1% составит 5 млн рублей — но штраф всё равно будет назначен в размере 20 млн рублей. Снизить минимум до 15 млн рублей можно только при подтверждении инвестиций в ИБ в размере не менее 0,1% выручки за три предшествующих года по механизму ст. 4.1 КоАП.

4. Можно ли заменить штраф по ст. 13.11 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна при трёх условиях одновременно: первичное нарушение, отсутствие причинённого вреда субъектам ПДн, статус микропредприятия или субъекта МСП. Это применимо к ч. 1–14 ст. 13.11. К оборотным составам — ч. 15 и ч. 18 ст. 13.11 — ст. 4.1.1 КоАП не применяется. По ним возможно только снижение в рамках ст. 4.1 КоАП при наличии смягчающих обстоятельств или документально подтверждённых инвестиций в ИБ.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

С 28.12.2025 дела по ст. 13.11 КоАП снова рассматривают мировые судьи. В переходный период с 30.05.2025 по 27.12.2025 эти дела рассматривали арбитражные суды. Дела, возбуждённые в переходный период и переданные в арбитраж, продолжают рассматриваться там. Новые дела — у мировых судей, апелляция — в районные суды общей юрисдикции.

Итог

Уведомление об утечке по ч. 3.1 ст. 21 ФЗ-152 — это не завершение истории, а начало проверочного процесса. Внеплановая проверка Роскомнадзора охватывает весь комплаенс, а не только сам инцидент. С 30.05.2025 выявленные нарушения могут суммироваться в оборотный штраф от 20 млн рублей — механизм ст. 4.1 КоАП позволяет снизить его, но только при документальной подготовке до или в ходе производства.

Практика DATUM по сопровождению проверок Роскомнадзора и защите от штрафов по ст. 13.11 КоАП — более 60 дел с 2022 года, включая дела с оборотными штрафами в редакции ФЗ-420. Разрыв между ценой подготовки (от 100 тыс. рублей за экспресс-аудит) и ценой штрафа (от 20 млн рублей) достаточен, чтобы принять решение до прихода инспектора.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.