Защита коммерческой тайны при ответе РКН
С 30 мая 2025 года штрафы по ст. 13.11 КоАП достигают 15 млн ₽ за утечку и 500 млн ₽ при повторности. На этом фоне взаимодействие с Роскомнадзором перестало быть формальностью: каждый предоставленный документ фиксируется в материалах дела, а каждое лишнее раскрытие может стать доказательством нарушения или создать репутационный ущерб. Статья объясняет, как выстроить ответ РКН так, чтобы соблюсти требования ФЗ-152 и сохранить режим коммерческой тайны.
Что РКН вправе запрашивать и в каком объёме?
Роскомнадзор — уполномоченный орган по защите прав субъектов персональных данных в соответствии со ст. 23 ФЗ-152. В рамках государственного контроля регулятор вправе запрашивать у оператора документы и сведения, необходимые для оценки соответствия обработки ПДн требованиям закона. Перечень документов, подлежащих представлению, определяется программой проверки или конкретным запросом.
При плановой проверке РКН уведомляет оператора не менее чем за три рабочих дня, при внеплановой — основания закреплены в ст. 10 ФЗ-294 и регламенте РКН. Профилактический визит, введённый ФЗ-248, не влечёт обязательного предоставления документов, однако инспектор вправе давать рекомендации, которые при невыполнении могут инициировать внеплановую проверку.
Индикаторы риска, утверждённые приказом Минцифры, формируют основания для внеплановых контрольных мероприятий. К ним относятся: отсутствие оператора в реестре РКН при наличии явных признаков обработки ПДн, жалобы субъектов, информация об инцидентах из открытых источников. Понимание индикаторов позволяет прогнозировать вероятность проверки и готовиться заблаговременно.
Получили запрос РКН и не знаете, что можно раскрывать?
У юриста компании, который впервые столкнулся с запросом регулятора, как правило, нет времени выстраивать стратегию с нуля: срок ответа фиксирован, а неполный или избыточный ответ одинаково опасен. Правильный баланс между обязанностью раскрытия и режимом коммерческой тайны требует анализа конкретного запроса и состава документов компании.
Защитить от штрафа по ст. 13.11+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Как режим коммерческой тайны работает в контексте проверки РКН?
Федеральный закон № 98-ФЗ «О коммерческой тайне» устанавливает, что информация, в отношении которой введён режим коммерческой тайны, передаётся органам государственной власти в объёме, необходимом для выполнения их функций, с обязательством соблюдения конфиденциальности. Это означает: РКН получает запрошенные сведения, но не вправе распространять их за пределы контрольного мероприятия.
Для того чтобы режим коммерческой тайны был действующим, а не номинальным, необходимо соблюдение трёх условий по ст. 10 ФЗ-98: принятие мер по охране конфиденциальности, нанесение на носители грифа «Коммерческая тайна» с указанием обладателя, ограничение доступа. Если режим не введён надлежащим образом — ссылка на него при ответе РКН юридически несостоятельна.
На практике это выражается в следующем: документы, передаваемые в РКН в рамках проверки, сопровождаются сопроводительным письмом с указанием грифа и ссылкой на ФЗ-98. Инспектор обязан это зафиксировать. При последующей публикации материалов дела или передаче сведений третьим лицам оператор вправе требовать соблюдения установленного режима.
Что подготовить до ответа на запрос РКН
- Проверить, что режим коммерческой тайны введён и оформлен по ст. 10 ФЗ-98: положение, перечень сведений, грифы на носителях.
- Определить, какие из запрошенных документов содержат сведения, отнесённые к коммерческой тайне (архитектура ИСПДн, схемы сети, договоры с подрядчиками по обработке ПДн).
- Подготовить сопроводительное письмо с перечнем переданных документов, указанием грифа и ссылкой на ст. 6 ФЗ-98.
- Убедиться, что передаваемые документы соответствуют запросу по объёму: не меньше требуемого и не больше необходимого.
- Зафиксировать дату и способ передачи документов для доказательства соблюдения сроков.
Какие документы РКН запрашивает чаще всего и что в них защищать?
По результатам анализа типовых запросов РКН при плановых и внеплановых проверках в 2024–2025 годах чаще всего запрашиваются: политика обработки персональных данных, приказ о назначении ответственного по ст. 22.1 ФЗ-152, перечень обрабатываемых ПДн, согласия субъектов, договоры с операторами по поручению (ч. 3 ст. 6 ФЗ-152), технические описания информационных систем.
Коммерческую тайну могут составлять: схемы сетевой инфраструктуры и архитектура ИСПДн (если они не требуются для подтверждения мер защиты по ст. 19 ФЗ-152), условия договоров с подрядчиками по обработке ПДн в части коммерческих условий, сведения о поставщиках программного обеспечения и их уязвимостях.
Стратегия разделения документа: если технический паспорт ИСПДн содержит как сведения, необходимые РКН (уровень защищённости по ПП РФ № 1119, меры по Приказу ФСТЭК № 21), так и конфиденциальные технические детали — подготавливаются две версии: полная (с грифом КТ, хранится у оператора) и выписка (передаётся в РКН с указанием, что является извлечением из документа, содержащего коммерческую тайну).
Юрист компании готовит ответ на запрос РКН и не уверен, нужно ли передавать технические схемы и договоры с подрядчиками. Срок ответа — три рабочих дня. Юристы DATUM анализируют запрос и определяют минимально достаточный объём раскрытия с оформлением грифа КТ.
Подготовиться к проверке РКНТиповые ситуации при ответе РКН: что происходит и как действовать
Ситуация 1. Запрос на полный технический паспорт ИСПДн. РКН запрашивает технический паспорт информационной системы персональных данных в ходе внеплановой проверки по жалобе субъекта. Документ содержит сетевые схемы и сведения об уязвимостях. Доказательства: режим КТ введён, перечень утверждён приказом генерального директора. Вероятный исход без защиты: инспектор получает полный документ, сведения об инфраструктуре могут попасть в акт проверки и стать доступными третьим лицам. Стратегия: передать выписку с разделами, подтверждающими УЗ-3 по ПП РФ № 1119, с сопроводительным письмом по ФЗ-98; полный паспорт предоставить для ознакомления на месте без изъятия копии.
Ситуация 2. Запрос договора с подрядчиком по обработке ПДн. РКН в рамках плановой проверки запрашивает договор поручения по ч. 3 ст. 6 ФЗ-152. Договор содержит коммерческие условия и ставки. Доказательства: в перечне КТ данного оператора договорные условия с контрагентами включены. Исход без защиты: коммерческие условия фиксируются в материалах дела. Стратегия: передать выписку из договора — разделы об объёме поручения, мерах защиты и ответственности; коммерческие приложения — с грифом КТ и требованием конфиденциальности.
Ситуация 3. РКН выдаёт предписание, основанное на документе с грифом КТ. После проверки регулятор издаёт предписание об устранении нарушений, цитируя технический паспорт ИСПДн, переданный с грифом КТ. Фрагменты документа включены в открытую часть акта проверки. Стратегия: направить в РКН мотивированное возражение со ссылкой на ст. 6 ФЗ-98, потребовать изъятия сведений из открытой части. При обжаловании предписания в арбитражном суде — приобщить переписку как доказательство нарушения режима конфиденциальности регулятором.
Как это работает на практике
Кейс 1. Производственная компания (Приволжский ФО, осень 2024) получила внеплановую проверку РКН по индикатору риска — отсутствие актуального уведомления в реестре операторов по Приказу РКН № 180. Юрист компании передал технический паспорт ИСПДн в полном объёме без грифа КТ. По результатам проверки паспорт был процитирован в акте, сведения о структуре сети стали доступны в рамках открытого реестра дел. Штраф составил сумму в нижней границе диапазона по ч. 1 ст. 13.11 КоАП, однако репутационные потери оказались существеннее. После введения режима КТ и разработки порядка взаимодействия с регулятором компания прошла повторный профвизит без замечаний.
Кейс 2. Технологическая компания (Центральный ФО, начало 2025) обжаловала постановление РКН по ч. 3 ст. 13.11 КоАП (штраф в сотни тысяч рублей за непубликацию политики обработки ПДн). В ходе подготовки к обжалованию выяснилось, что в переданных при проверке документах содержались сведения о внутренней архитектуре CRM-системы, не отнесённые к КТ. Арбитражный суд региона снизил штраф на основании ст. 4.1 КоАП с учётом оперативного устранения нарушения; вопрос о режиме КТ был урегулирован дополнительным соглашением с регулятором.
Услуги DATUM по теме
- Сопровождение проверок РКН — подготовка к визиту, представительство, обжалование предписаний
- Аудит соответствия 152-ФЗ — проверка документооборота и режима КТ до прихода регулятора
- Защита при штрафе в арбитраже — обжалование постановлений по ст. 13.11 КоАП
Частые вопросы
1. Как подготовиться к проверке РКН?
Проверьте актуальность уведомления в реестре операторов через pd.rkn.gov.ru (Приказ РКН № 180). Убедитесь, что политика обработки ПДн опубликована и соответствует ч. 2 ст. 18.1 ФЗ-152. Введите режим коммерческой тайны по ст. 10 ФЗ-98 для технических документов и договоров с подрядчиками. Подготовьте реестр обрабатываемых ПДн и актуальные согласия субъектов. Назначьте ответственного по ст. 22.1 ФЗ-152 и оформите это приказом с должностной инструкцией.
2. Какие индикаторы риска использует РКН для внеплановых проверок?
Индикаторы риска утверждены Минцифры и включают: отсутствие оператора в реестре при признаках обработки ПДн, жалобы субъектов в РКН, публичные сведения об утечках из открытых источников и даркнета, несоответствие заявленного в уведомлении объёма обработки фактическому по данным мониторинга. Три и более жалобы субъектов за квартал — достаточное основание для инициирования внеплановой проверки.
3. Можно ли отказаться отвечать на запрос РКН?
Нет. Отказ или уклонение от предоставления документов является самостоятельным нарушением и влечёт штраф по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица в редакции с 30.05.2025), а также может быть квалифицировано как воспрепятствование контрольному мероприятию. Режим коммерческой тайны не даёт права отказать в предоставлении — он даёт право требовать соблюдения конфиденциальности полученных сведений.
4. Что грозит за невыполнение предписания РКН?
Невыполнение предписания РКН в установленный срок образует состав по ч. 1 ст. 19.5 КоАП. Для юридического лица штраф составляет от 10 000 до 20 000 ₽, однако регулятор вправе одновременно инициировать новую проверку, которая выявит нарушения по ст. 13.11 КоАП с несопоставимо более высокими санкциями. При систематическом невыполнении предписаний РКН вправе обратиться в суд с иском об ограничении обработки ПДн.
5. Куда обжаловать постановление РКН?
С 28 декабря 2025 года (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд. Срок обжалования — 10 суток с момента получения постановления (ст. 30.3 КоАП). При обжаловании применимы ст. 4.1 КоАП (смягчающие обстоятельства) и ст. 4.1.1 КоАП (замена штрафа на предупреждение для микропредприятий и СМП при первичном нарушении без существенного вреда), кроме составов по ч. 15 и ч. 18.
Итог
Ответ на запрос РКН — не выбор между соблюдением закона и защитой коммерческой тайны. Это управляемый процесс: режим КТ по ФЗ-98, правильно введённый до проверки, ограничивает распространение сведений регулятором, не освобождая от обязанности их предоставить. Разделение документов на передаваемую выписку и защищённый оригинал — стандартная практика при взаимодействии с контролирующими органами.
DATUM сопровождает операторов при взаимодействии с Роскомнадзором: от подготовки к плановой проверке и анализа индикаторов риска до обжалования предписаний и постановлений в арбитраже. За период с 2014 года практика «Ветров и партнёры» прошла более 300 контрольных мероприятий по 152-ФЗ.