Перейти к содержанию
аналитика 10 февраля 2027 По состоянию на 10 февраля 2027

Защита персональной тайны при ответе РКН

Ответ на запрос Роскомнадзора — это процессуальный документ, который определяет дальнейший ход проверки и объём административной ответственности оператора.
С 30.05.2025 действуют 18 составов ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024. Ошибка в ответе РКН при плановой или внеплановой проверке создаёт самостоятельное основание для штрафа — независимо от фактического состояния обработки ПДн.
→ Если вы юрист и готовите ответ на требование РКН — разберём, какие сведения раскрывать обязательно, какие защищены режимом персональной тайны, и как выстроить позицию до составления протокола.

Взаимодействие с Роскомнадзором в режиме проверки — это не переписка, а процессуальные действия с последствиями. Юрист компании, формирующий ответ на запрос регулятора, одновременно определяет объём раскрытых данных, закрепляет доказательственную базу и создаёт или устраняет основания для предписаний. В 2025 году РКН провёл более 2 000 проверочных мероприятий, в том числе профвизиты — форму, которая формально не является проверкой, но влечёт те же последствия при выявлении нарушений. Материал отвечает на три вопроса: что именно защищено режимом персональной тайны при ответе РКН, как выстроить позицию оператора в ходе проверки и что делать, если предписание уже выдано.

Что такое персональная тайна в контексте ответа на запрос РКН?

Понятие «персональная тайна» в 152-ФЗ напрямую не закреплено — закон оперирует понятием «конфиденциальность персональных данных»: обязанностью оператора не раскрывать третьим лицам и не распространять ПДн без согласия субъекта (ст. 7 ФЗ-152). В контексте взаимодействия с регулятором персональная тайна — это совокупность сведений о субъектах ПДн, которые оператор обязан защищать даже при ответе на законный запрос РКН.

Ключевое разграничение: РКН как регулятор вправе получать сведения об организации обработки ПДн — наличии правовых оснований, составе баз, мерах защиты, назначении ответственного. Но это не означает права на доступ к содержимому баз данных с ПДн конкретных субъектов. Статья 23 ФЗ-152 устанавливает, что при проведении проверки РКН вправе запрашивать документы и информацию, необходимые для осуществления своих полномочий. «Необходимость» — ключевое слово: она определяет границу между законным запросом и избыточным раскрытием.

«Ст. 7 ФЗ-152 — конфиденциальность ПДн: оператор и лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта, если иное не предусмотрено законом.»

На практике это означает следующее. При ответе на запрос РКН оператор предоставляет: копии локальных актов (политика обработки, приказ о назначении ответственного, регламент реагирования на инциденты), копии форм согласий (без самих данных субъектов), выписку из уведомления по Приказу РКН № 180 от 28.10.2022, технические описания информационных систем в части уровней защищённости по ПП РФ № 1119. Оператор не обязан предоставлять: содержимое баз данных с ПДн конкретных субъектов, переписку с субъектами, коммерческую тайну в объёме, не связанном с обработкой ПДн.

Как проходит проверка РКН и какие формы существуют?

Роскомнадзор использует несколько форм контроля. Плановая проверка включается в ежегодный план — он публикуется на сайте РКН и proverki.gov.ru. До проверки оператор получает уведомление не позднее чем за три рабочих дня (выездная) или за 24 часа (документарная). Внеплановая проверка инициируется при получении жалобы субъекта, обращения иного госоргана или при выявлении признаков нарушения по индикаторам риска. Профвизит — форма профилактического визита без статуса проверки: инспектор вправе осматривать помещения, запрашивать документы, но не составлять протоколы по итогам. Однако если в ходе профвизита выявлено нарушение, РКН инициирует внеплановую проверку.

С 2022 года действует мораторий на плановые проверки субъектов малого и среднего предпринимательства, неоднократно продлевавшийся. По состоянию на 2026 год он сохраняется для ряда категорий операторов — актуальный статус моратория следует проверять на proverki.gov.ru непосредственно перед публикацией. Индикаторы риска для назначения внеплановых проверок утверждены Приказом РКН (точный номер и дата актуальной редакции — верифицировать перед публикацией). К ним относятся: поступление жалобы субъекта ПДн, наличие в открытых источниках сведений об утечке, длительное отсутствие оператора в реестре при наличии публичного сайта со сбором ПДн.

«Ст. 22 ФЗ-152 — уведомление РКН: оператор обязан уведомить РКН о намерении осуществлять обработку ПДн до её начала. Форма уведомления — Приказ РКН № 180 от 28.10.2022. Неуведомление или несвоевременное уведомление — штраф 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП в редакции с 30.05.2025.»

Получили уведомление о проверке РКН?

Юрист, получивший уведомление о плановой или внеплановой проверке, располагает ограниченным временем — 3 рабочих дня до выездной проверки или 24 часа до документарной. Ошибки в ответе на первый запрос инспектора становятся доказательствами, которые крайне сложно опровергнуть на стадии обжалования. Команда DATUM подготовит позицию оператора, скомплектует документы и сопроводит проверку от первого запроса до предписания.

Подготовиться к проверке РКН

Ответим в течение 2 часов · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как правильно отвечать на запрос РКН: принципы позиции оператора

Ответ на запрос РКН строится на четырёх принципах.

Полнота в пределах запроса. Оператор отвечает на то, о чём спрошено — не шире и не уже. Предоставление избыточных сведений (например, полного дампа базы данных, когда запрошено лишь описание состава ПДн) — грубая ошибка, создающая дополнительные основания для протоколов. Недостаточность ответа влечёт повторный запрос и риск квалификации действий как воспрепятствования проверке.

Документальное подтверждение каждого тезиса. Если оператор утверждает, что согласия соответствуют ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025), — к ответу прикладывается образец формы. Если утверждает, что назначен ответственный по ст. 22.1 ФЗ-152, — прилагается копия приказа. Голые утверждения без документов инспектор вправе не учитывать.

Разграничение фактических данных и оценок. В ответе фиксируется то, что существует на момент проверки. Обещания («устраним в течение месяца») — не ответ. Обязательство об устранении нарушений оформляется отдельным планом корректирующих мероприятий с датами — это смягчающее обстоятельство по ст. 4.1 КоАП.

Соблюдение конфиденциальности субъектов. Если РКН запрашивает подтверждение факта согласия конкретного субъекта — оператор вправе предоставить форму согласия, журнал учёта согласий с обезличенными данными (дата, идентификатор, статус), но не полные ПДн субъекта сверх того, что необходимо для подтверждения факта. Это и есть практическое применение режима персональной тайны при ответе РКН.

Что подготовить для ответа на запрос РКН

  • Актуальная выписка оператора из реестра РКН — pd.rkn.gov.ru (подтверждает уведомление по ст. 22 ФЗ-152)
  • Политика обработки персональных данных с разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликованная версия и дата последнего обновления
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
  • Образцы форм согласий на обработку ПДн по ст. 9 ФЗ-152 в редакции с 01.09.2025
  • Журнал учёта обращений субъектов ПДн за последние 12 месяцев с отметками об ответах

Что грозит за нарушения при взаимодействии с РКН?

Санкции формируются по двум направлениям: за нарушения в сфере обработки ПДн, выявленные в ходе проверки, и за нарушения самой процедуры взаимодействия с регулятором.

По существу обработки действуют штрафы по ч. 1–18 ст. 13.11 КоАП в редакции с 30.05.2025. Диапазон для юридических лиц: от 30 000 ₽ (ч. 3, отсутствие опубликованной политики) до 15 000 000 ₽ (ч. 14, утечка более 100 000 субъектов). При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 000 000 ₽ и не более 500 000 000 ₽. С 28.12.2025 дела рассматривают мировые судьи (ФЗ-508 от 28.12.2025).

«Ст. 13.11 ч. 15 КоАП (ред. с 30.05.2025) — оборотный штраф за повторную утечку: 1–3% совокупной годовой выручки за предшествующий календарный год, не менее 20 000 000 ₽, не более 500 000 000 ₽.»

За нарушение процедуры взаимодействия с РКН: невыполнение предписания регулятора влечёт ответственность по ст. 19.5 КоАП (неисполнение законного предписания госоргана) — до 500 000 ₽ для юридических лиц и до 50 000 ₽ для должностных лиц. Воспрепятствование законной деятельности должностного лица при проверке — ст. 19.4 КоАП. Обе статьи применяются самостоятельно, независимо от состава по ст. 13.11.

Отдельный риск — уголовная ответственность. С 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024): незаконные сбор, хранение, использование или передача компьютерной информации, содержащей ПДн. Максимальное наказание по ч. 5 — лишение свободы до 10 лет при тяжких последствиях. Если в ходе проверки РКН обнаруживает признаки состава ст. 272.1 УК — материалы передаются в следственные органы.

Если юрист компании уже получил протокол по ст. 13.11 КоАП или предписание РКН — срок на обжалование ограничен. Юристы DATUM проведут анализ позиции и подготовят возражения или жалобу для арбитражного суда.

Защитить от штрафа 13.11

Типовые сценарии взаимодействия юриста с РКН

Сценарий 1. Внеплановая проверка по жалобе субъекта. Бывший сотрудник подал жалобу в РКН: компания отказала в уничтожении его ПДн после увольнения, сославшись на требования налогового учёта. РКН запрашивает документальное подтверждение оснований хранения. Юрист оператора обязан предоставить норму-основание (ст. 6 ФЗ-152, подп. 2 п. 1 ст. 23 НК РФ — хранение бухгалтерских документов 5 лет), показать, что хранение ограничено минимально необходимым составом. Если ПДн хранятся шире этого состава (например, паспортные данные для задач, которые уже завершены), — позиция слабая. Вероятный исход при отсутствии позиции: предписание + штраф по ч. 5 ст. 13.11 (50 000–90 000 ₽). Стратегия: ещё до ответа РКН — провести сверку хранимых ПДн на предмет соответствия целям обработки, зафиксировать результат актом.

Сценарий 2. Плановая проверка: реестр устарел. Оператор уведомлял РКН в 2019 году, с тех пор добавил три новых цели обработки и передаёт ПДн двум подрядчикам, которые не указаны в реестре. Инспектор в ходе документарной проверки сравнивает политику конфиденциальности на сайте с данными реестра — расхождение очевидно. Вероятный исход: протокол по ч. 1 ст. 13.11 (150 000–300 000 ₽) за обработку, не соответствующую уведомлению. Стратегия: перед проверкой — актуализировать уведомление по Приказу РКН № 180 через pd.rkn.gov.ru, привести политику в соответствие с реальной обработкой, оформить договоры с подрядчиками как поручение обработки по п. 3 ст. 6 ФЗ-152.

Сценарий 3. Профвизит с последующей внеплановой проверкой. Инспектор РКН приходит с профвизитом в медицинскую клинику. В ходе осмотра обнаруживает, что форма согласия пациента на сайте объединена с пользовательским соглашением и не соответствует требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие не оформлено отдельным документом. Инспектор не составляет протокол по итогам профвизита, но назначает внеплановую проверку. Вероятный исход: штраф по ч. 2 ст. 13.11 (300 000–700 000 ₽) за обработку без надлежащего согласия. Стратегия: исправить форму согласия до дня внеплановой проверки, уведомить РКН о принятых мерах — это смягчающее обстоятельство по ст. 4.1 КоАП.

Как обжаловать предписание или постановление РКН?

Постановление по делу об административном правонарушении по ст. 13.11 КоАП с 28.12.2025 выносят мировые судьи. Жалоба подаётся в районный суд в течение 10 суток с момента вручения или получения копии постановления (ст. 30.3 КоАП). Срок — процессуальный, пропуск требует ходатайства о восстановлении с уважительными причинами.

Предписание РКН об устранении нарушений — ненормативный правовой акт. Обжалуется в арбитражном суде субъекта РФ в течение трёх месяцев с момента, когда оператор узнал или должен был узнать о нарушении его прав (ст. 198 АПК РФ). Подача заявления не приостанавливает действие предписания автоматически — требуется ходатайство об обеспечительных мерах.

Основания для отмены постановления: нарушение процедуры проверки (уведомление подано позднее установленного срока, акт не подписан оператором, протокол составлен с нарушением ст. 28.2 КоАП), отсутствие события или состава правонарушения, применение ст. 4.1.1 КоАП о замене штрафа предупреждением. Последнее возможно только для субъектов малого и среднего предпринимательства при первичном нарушении и отсутствии вреда — и не применяется к ч. 15 и ч. 18 ст. 13.11 (оборотные составы).

Также возможно снижение оборотного штрафа по ч. 15 и ч. 18 ст. 13.11 до 1/10 минимального размера (но не менее 15 000 000 ₽ и не более 50 000 000 ₽) при инвестициях в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года (ст. 4.1 КоАП, прим. 3.4-2, введённое ФЗ-420). Для применения льготы оператор документирует расходы на ИБ и заявляет об этом при рассмотрении дела.

Практика: как это работает в реальных делах

Кейс 1. Юридическая служба торговой компании в Сибирском федеральном округе (осень 2025) получила уведомление о документарной внеплановой проверке за 20 часов. За это время юристы актуализировали уведомление в реестре РКН, подготовили пакет из 12 документов с описью и сопроводительным письмом, разграничив состав предоставляемых сведений и сведения, защищённые режимом персональной тайны субъектов. По итогам проверки РКН ограничился предписанием об устранении одного нарушения (отсутствие отдельного согласия по ФЗ-156); протокол по ст. 13.11 не составлялся. Нарушение устранено в течение 5 рабочих дней — предписание исполнено в срок.

Кейс 2. В деле АС Санкт-Петербурга и Ленинградской области (дело № А56-4733/2026) рассматривалась утечка данных около 70 000 субъектов — ФИО, должностей, служебных email-адресов и телефонов сотрудников цифровой платформы «ПКР Аналитика» после хакерской атаки. Квалификация — ч. 14 ст. 13.11 КоАП. Суд применил смягчающие обстоятельства. Кейс показывает: даже при утечке, квалифицируемой по ч. 14 (штраф 10 000 000–15 000 000 ₽), наличие документальной позиции оператора и оперативное уведомление РКН по Приказу № 187 влияют на итоговый размер санкции.

Услуги DATUM по теме

Частые вопросы

1. Как подготовиться к проверке РКН?

Подготовка к проверке РКН включает проверку актуальности уведомления в реестре операторов на pd.rkn.gov.ru, приведение политики обработки ПДн в соответствие с ч. 2 ст. 18.1 ФЗ-152, проверку форм согласий на соответствие ст. 9 ФЗ-152 в редакции с 01.09.2025, наличие приказа о назначении ответственного по ст. 22.1 ФЗ-152 и журнала учёта обращений субъектов. При плановой проверке оператор получает уведомление не позднее чем за три рабочих дня — этого времени достаточно только при наличии полного пакета документов заранее.

2. Какие индикаторы риска используются РКН для назначения внеплановых проверок?

К основным индикаторам риска относятся: поступление жалобы субъекта ПДн, наличие в открытых источниках сведений об утечке данных оператора, длительное отсутствие в реестре операторов при наличии публичного сайта со сбором ПДн, расхождение между сведениями в реестре и фактической обработкой, выявленное при мониторинге. Точный перечень индикаторов закреплён в подзаконном акте РКН — актуальную редакцию следует проверять перед взаимодействием с регулятором.

3. Можно ли отказаться отвечать на запрос РКН?

Отказ от ответа на законный запрос РКН в рамках проверки недопустим и влечёт ответственность по ст. 19.4 КоАП (воспрепятствование законной деятельности должностного лица). Вместе с тем оператор вправе: ограничить ответ рамками запроса и не предоставлять избыточные сведения, защитить данные конкретных субъектов, сославшись на их конфиденциальность (ст. 7 ФЗ-152), запросить у инспектора письменное уточнение формулировки запроса. Грамотный ответ — это не отказ, а управляемое раскрытие информации в пределах законных полномочий РКН.

4. Что грозит за невыполнение предписания РКН?

Невыполнение законного предписания государственного органа в установленный срок квалифицируется по ст. 19.5 КоАП. Для юридических лиц штраф составляет до 500 000 ₽, для должностных лиц — до 50 000 ₽. Санкция применяется самостоятельно — независимо от штрафа по ст. 13.11 КоАП за само нарушение в сфере ПДн. Повторное невыполнение предписания усиливает ответственность и осложняет обжалование итогового постановления.

5. Куда обжаловать постановление РКН по ст. 13.11 КоАП?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025). Жалоба на постановление мирового судьи подаётся в районный суд в течение 10 суток с момента вручения постановления (ст. 30.3 КоАП). Предписание РКН как ненормативный правовой акт обжалуется в арбитражном суде субъекта РФ в течение трёх месяцев (ст. 198 АПК РФ). На стадии обжалования возможно применение ст. 4.1 КоАП (смягчающие обстоятельства), ст. 4.1.1 (замена штрафа предупреждением для МСП при первичном нарушении) и льготы за инвестиции в ИБ по прим. 3.4-2 к ст. 4.1 КоАП.

Итог

Защита персональной тайны при ответе на запрос РКН — это не противодействие регулятору, а управление объёмом раскрываемой информации в рамках законных полномочий проверяющего. Оператор обязан предоставить документы об организации обработки ПДн, но не обязан раскрывать содержимое баз данных субъектов сверх необходимого. Ошибки в ответе на первый запрос инспектора формируют доказательственную базу против самого оператора.

Команда DATUM сопровождает операторов на всех стадиях взаимодействия с Роскомнадзором: от подготовки уведомления по Приказу РКН № 180 до обжалования постановлений по ст. 13.11 КоАП в судах общей юрисдикции и арбитраже. Практика по 152-ФЗ — с 2014 года в сети «Ветров и партнёры».

Смотрите также

АС
Анна Соколова
Партнёр · ПДн в HR
Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025, биометрия в СКУД, передача в зарплатных проектах, сопровождение проверок РКН.