Запрос РКН в иностранную компанию с базой в РФ
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 составов вместо прежних семи. Для иностранных компаний, которые хранят ПДн российских граждан в базах на территории РФ, это означает принципиальное изменение: регулятор располагает расширенным инструментарием и реальными прецедентами взыскания. В этом материале разбираем, на каком основании РКН направляет запросы иностранным компаниям, каков порядок ответа, что считается нарушением и как выстроить защиту.
Почему иностранная компания с базой в РФ подпадает под 152-ФЗ?
Федеральный закон «О персональных данных» не содержит изъятий для иностранных юридических лиц. Если компания обрабатывает персональные данные граждан РФ — собирает, хранит, систематизирует, передаёт — она признаётся оператором по ст. 3 ФЗ-152. При этом ключевой признак — не место регистрации, а место обработки и категория субъектов.
Ч. 5 ст. 18 ФЗ-152 закрепляет требование локализации: запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться в базах данных, физически расположенных в России. Если иностранная компания открыла российский офис, использует местный дата-центр или подключила российского облачного провайдера — она уже обрабатывает ПДн на территории РФ и обязана соблюдать закон.
Помимо локализации, оператор обязан уведомить РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152, форма по Приказу РКН №180 от 28.10.2022), назначить ответственного (ст. 22.1 ФЗ-152), разработать политику обработки (ст. 18.1 ФЗ-152) и соблюдать требования к уровню защищённости (ПП РФ №1119, Приказ ФСТЭК №21). Всё это — не рекомендации, а обязанности под угрозой административной ответственности.
Как РКН формирует основание для запроса или проверки?
Роскомнадзор использует три механизма воздействия на операторов: плановая проверка (включение в план на основе риск-ориентированного подхода), внеплановая проверка (при наличии жалобы субъекта, сигнала другого органа или обнаружении инцидента) и профилактический визит — новый инструмент, не влекущий формальных санкций, но фиксирующий нарушения.
Индикаторы риска — это формализованный перечень условий, при наступлении которых РКН вправе провести внеплановую проверку. К ним относятся: обнаружение данных из базы оператора в открытом доступе или даркнете, поступление трёх и более жалоб субъектов на одного оператора за квартал, отсутствие уведомления в реестре операторов при наличии признаков обработки ПДн.
Мораторий на плановые проверки малого и среднего бизнеса, действовавший в 2022–2024 годах, на РКН не распространялся: ведомство вело собственный план проверок операторов ПДн без ограничений. В 2025 году практика внеплановых проверок по индикаторам риска заметно активизировалась — по данным самого регулятора, за первое полугодие зафиксировано более 35 инцидентов с потерей данных.
Получили запрос РКН или уведомление о проверке?
Для юриста иностранной компании срок на ответ по запросу РКН — фиксированный. Ошибка в первом ответе сужает пространство для защиты: регулятор фиксирует позицию оператора с момента получения документов. Юристы DATUM подготовят к проверке, представят интересы компании перед РКН и обжалуют предписание при необходимости.
Подготовиться к проверке РКН+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Что содержит запрос РКН и каков порядок ответа?
Запрос Роскомнадзора направляется в письменной форме (или через портал pd.rkn.gov.ru) и содержит: перечень запрашиваемых сведений или документов, основание проверочного мероприятия, реквизиты нормативного акта, срок исполнения. Типовой запрос при плановой проверке — это реестровая выписка об операторе, перечень категорий субъектов, организационно-распорядительная документация (политика, согласия, приказы), а также технические сведения о системах, в которых ведётся обработка.
Для иностранной компании критичен вопрос о представителе: если у компании нет официального российского юридического лица или уполномоченного представителя на территории РФ, РКН вправе рассматривать отсутствие ответа как уклонение. На практике это влечёт возбуждение дела об административном правонарушении по ч. 4 ст. 13.11 КоАП (непредоставление информации субъекту) или, при системном уклонении, ходатайство о блокировке ресурса.
Документы, которые регулятор запрашивает в первую очередь: уведомление о внесении в реестр (Приказ РКН №180), политика обработки персональных данных по ст. 18.1 ФЗ-152, образцы согласий субъектов, сведения об уровне защищённости ИСПДн (УЗ-1..4 по ПП РФ №1119), договоры с обработчиками по поручению (ст. 6 ч. 3 ФЗ-152), документы о назначении ответственного по ст. 22.1.
Что подготовить до ответа на запрос РКН
- Выписка из реестра операторов с pd.rkn.gov.ru — подтверждение факта уведомления по ст. 22 ФЗ-152 и актуальности сведений.
- Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1: цели, категории субъектов, перечень действий, сроки хранения, меры защиты.
- Образцы согласий субъектов в редакции с 01.09.2025 — отдельный документ по ФЗ-156 от 24.06.2025, не встроенный в договор или оферту.
- Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152) с актуальными данными сотрудника.
- Перечень информационных систем с указанием уровня защищённости (УЗ-1..4) и местонахождения баз данных — подтверждение локализации по ч. 5 ст. 18 ФЗ-152.
Какие составы нарушений чаще всего выявляет РКН при проверке иностранных компаний?
По результатам проверок, ставших публичными в 2024–2025 годах, РКН фиксирует у иностранных операторов несколько устойчивых нарушений. Первое — отсутствие уведомления в реестре или несоответствие реестровых сведений фактической обработке (ч. 10 ст. 13.11, штраф 100–300 тыс. ₽). Второе — нарушение требований к согласию: встроенное в договор, без обязательных реквизитов, без отдельного документа после 01.09.2025 (ч. 2 ст. 13.11, штраф 300–700 тыс. ₽). Третье — передача данных за рубеж без уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152.
Особую позицию занимает нарушение локализации. Если база формально размещена в российском дата-центре, но первичный сбор и систематизация данных идут через зарубежный сервис — РКН квалифицирует это как нарушение ч. 5 ст. 18 ФЗ-152. Штраф по ч. 8 ст. 13.11 — 1–6 млн ₽, при повторном нарушении по ч. 9 — 6–18 млн ₽.
Наиболее серьёзный риск — выявление утечки, которая повлекла компрометацию данных российских граждан. По ч. 12–14 ст. 13.11 КоАП штрафы составляют от 3 до 15 млн ₽ в зависимости от числа пострадавших субъектов. При повторном нарушении — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.
Типичные ситуации из практики DATUM
Ситуация 1. Европейский e-commerce оператор (Центральный ФО, начало 2026 года) использовал российский облачный провайдер для хранения заказов, но CRM-система оставалась на серверах в Нидерландах. РКН при внеплановой проверке квалифицировал это как нарушение локализации: первичная систематизация данных велась за рубежом. Компании выдано предписание о переносе CRM-функций в РФ в течение 90 дней. Параллельно возбуждено дело по ч. 8 ст. 13.11 — штраф в нижней части диапазона 1–6 млн ₽. Юристы сопровождения добились отсрочки исполнения предписания на период реструктуризации инфраструктуры.
Ситуация 2. IT-компания с регистрацией в ОАЭ и российским офисом (Северо-Западный ФО, осень 2025 года) не подала уведомление в реестр операторов после начала обработки данных сотрудников. После жалобы одного из работников РКН провёл профвизит, зафиксировал отсутствие уведомления и отсутствие политики обработки. По итогам выдано два предписания — по ч. 10 и ч. 3 ст. 13.11 КоАП. Общий размер штрафов — в диапазоне сотен тысяч рублей. Компания подала уведомление в реестр, утвердила политику и обжаловала одно из постановлений по процессуальным основаниям — суд снизил штраф.
Если вы юрист иностранной компании и регулятор уже выявил нарушения — сроки на ответ по предписанию исчисляются с даты вручения. Промедление с обжалованием закрывает возможность применения ст. 4.1.1 КоАП.
Защитить от штрафа по 13.11Можно ли отказаться от ответа на запрос РКН или оспорить предписание?
Отказ от ответа — не опция. Уклонение от исполнения запроса РКН само по себе является основанием для возбуждения административного дела. При этом для иностранной компании без представителя в России регулятор вправе направить запрос по последнему известному адресу, а неполучение документов не освобождает от ответственности.
Обжалование предписания — стандартный инструмент. Предписание РКН обжалуется в арбитражном суде по месту нахождения территориального управления регулятора, вынесшего документ. Срок на обжалование — 3 месяца с момента получения. После ФЗ-508 от 28.12.2025 дела по ст. 13.11 КоАП снова рассматривают мировые судьи (с 30.05.2025 по 27.12.2025 — арбитражные суды). Это влияет на подсудность при обжаловании постановлений по административным составам.
Ст. 4.1 КоАП (примечание 3.4-2) предусматривает снижение оборотного штрафа по ч. 15 и ч. 18 ст. 13.11 до 1/10 минимального размера при подтверждённых инвестициях в информационную безопасность от 0,1% совокупной выручки за три предшествующих года, но не менее 15 млн ₽ и не более 50 млн ₽. Этот механизм — реальный инструмент снижения нагрузки для крупных иностранных операторов.
Связанные услуги DATUM
- Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписания.
- Аудит соответствия 152-ФЗ — проверка полноты ОРД, локализации, согласий и уведомлений.
- Защита при штрафе в арбитраже — оспаривание постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1.
Частые вопросы
1. Как подготовиться к проверке РКН?
Подготовка включает четыре блока. Первый — реестровый: проверить наличие уведомления в реестре операторов pd.rkn.gov.ru и актуальность сведений (цели, категории субъектов, перечень действий). Второй — документальный: политика обработки по ст. 18.1 ФЗ-152, согласия в редакции с 01.09.2025 (ФЗ-156), приказ о назначении ответственного по ст. 22.1. Третий — технический: подтверждение локализации (ч. 5 ст. 18), документы об уровне защищённости ИСПДн (ПП РФ №1119). Четвёртый — процессуальный: журнал обращений субъектов и доказательства своевременного реагирования по ст. 20 ФЗ-152.
2. Какие индикаторы риска применяет РКН?
Роскомнадзор использует формализованный перечень индикаторов риска для назначения внеплановых проверок. К ним относятся: появление сведений из базы оператора в открытом доступе или даркнете, поступление трёх и более жалоб субъектов за квартал, несоответствие между фактической обработкой и сведениями в реестре, отсутствие политики конфиденциальности на сайте при очевидной обработке ПДн. Для иностранных компаний дополнительный триггер — отсутствие уведомления о трансграничной передаче при использовании зарубежных сервисов.
3. Можно ли отказаться отвечать на запрос РКН?
Нет. Уклонение от исполнения запроса регулятора само по себе образует состав административного нарушения. Для иностранной компании без представителя в России это означает дополнительный риск: неполучение документов не освобождает от ответственности. Правомерны только мотивированные возражения против конкретных требований запроса — например, о предоставлении сведений, составляющих коммерческую тайну, с соблюдением установленной процедуры.
4. Что грозит за невыполнение предписания РКН?
Невыполнение предписания РКН в установленный срок влечёт самостоятельную административную ответственность. Помимо этого, регулятор вправе обратиться в суд с требованием об ограничении доступа к ресурсу оператора на территории РФ — механизм блокировки применялся к крупным иностранным платформам. При повторном нарушении или утечке данных на фоне неисполненного предписания риск квалификации по оборотным составам (ч. 15 ст. 13.11, до 500 млн ₽) существенно возрастает.
5. Куда обжаловать постановление РКН?
После ФЗ-508 от 28.12.2025 постановления по делам об административных правонарушениях по ст. 13.11 КоАП рассматривают мировые судьи. Обжалование — в районный суд по месту вынесения постановления. Срок — 10 суток с момента вручения копии постановления. Предписания РКН как ненормативные правовые акты обжалуются в арбитражном суде в течение 3 месяцев по правилам гл. 24 АПК РФ.
Итог
Иностранная компания с базой данных в РФ несёт полный объём обязанностей оператора ПДн по 152-ФЗ — от уведомления РКН до соблюдения требований к уровню защищённости. Запрос регулятора — не повод для игнорирования: срок на ответ фиксирован, а уклонение само по себе образует состав нарушения. Ключевые риски — отсутствие уведомления в реестре, нарушение локализации, несоответствие согласий требованиям ФЗ-156 с 01.09.2025 и непредставление отчёта об утечке в срок 24/72 часа.
Практика DATUM включает сопровождение иностранных компаний при проверках РКН, подготовку полного пакета ОРД в соответствии с актуальными требованиями и защиту от штрафов по ст. 13.11 КоАП в арбитражных судах и у мировых судей.
29 июля 2027 года