Жалоба работника в РКН
Жалоба работника в РКН — не административная формальность, а инструмент запуска надзорного цикла. С введением в действие ФЗ-420 от 30.11.2024 и обновлением системы индикаторов риска РКН в 2025 году одно обращение работника способно повлечь внеплановую проверку, предписание и цепочку штрафов по нескольким частям ст. 13.11 КоАП. Для юриста компании это означает: нужно понимать основания, по которым работник обращается в РКН, как регулятор реагирует на жалобу, какие нарушения он ищет и как выстроить защиту до того, как инспектор появится на пороге.
По каким основаниям работник вправе жаловаться в РКН?
Право работника как субъекта ПДн на обращение к регулятору закреплено в ст. 17 ФЗ-152. Работник вправе обжаловать действия или бездействие оператора (работодателя), если считает, что его права нарушены. На практике жалобы распределяются по нескольким типичным основаниям.
Первое — нарушение требований к согласию. С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть встроено в трудовой договор или приказ о приёме (ФЗ-156 от 24.06.2025). Если работник подписал согласие в составе трудового договора до 01.09.2025, а договор продолжает действовать без переоформления — это основание для жалобы в РКН по ч. 2 ст. 13.11 (штраф 300 000–700 000 ₽).
Второе — избыточный сбор данных. Работодатель запросил данные, не предусмотренные трудовым законодательством или не связанные с целями обработки по ст. 5 ФЗ-152: биометрию для СКУД без письменного согласия, данные родственников без обоснования, медицинские документы сверх обязательных.
Третье — непредоставление информации по запросу субъекта. По ст. 20 ФЗ-152 работодатель обязан в течение 10 рабочих дней ответить на запрос работника об обработке его ПДн. Игнорирование запроса или формальный ответ без раскрытия перечня данных, целей и оснований — прямой путь к жалобе.
Четвёртое — передача данных третьим лицам без согласия. Передача ПДн в зарплатный проект, страховой компании, коллекторскому агентству без отдельного согласия работника по ст. 6 ФЗ-152.
Пятое — нарушение требований при увольнении. После прекращения трудовых отношений работодатель обязан прекратить обработку ПДн, утратившую правовое основание, или обеспечить хранение с соблюдением установленных сроков. Нарушение влечёт жалобу по ч. 5 ст. 13.11 — от 50 000 до 90 000 ₽.
Получили жалобу работника или запрос РКН по её итогам?
Если юрист компании зафиксировал жалобу работника в РКН — счёт идёт на дни. РКН вправе инициировать внеплановую проверку без предупреждения, опираясь на индикаторы риска. Промедление с ответом на запрос регулятора или неполный пакет документов превращает частную жалобу в протокол по ч. 1 и ч. 4 ст. 13.11 КоАП.
Юристы DATUM подготовят ответ на запрос РКН, проведут экспресс-аудит HR-документации и выстроят позицию для взаимодействия с инспектором.
Подготовиться к проверке РКНОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Как РКН обрабатывает жалобу работника и инициирует проверку?
После поступления жалобы РКН проверяет её формальные реквизиты: указан ли оператор, описано ли нарушение, приложены ли подтверждающие материалы. Жалоба без указания конкретного нарушения или без попытки предварительно обратиться к оператору, как правило, возвращается заявителю.
Если жалоба принята к рассмотрению, РКН вправе направить оператору запрос о предоставлении документов и пояснений. Срок ответа на такой запрос — 10 рабочих дней с момента получения. Непредставление документов или уклонение от ответа само по себе является основанием для протокола по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽).
Начиная с 2023 года РКН активно использует систему индикаторов риска при принятии решения о внеплановой проверке. К индикаторам, релевантным для HR-сферы, относятся: отсутствие оператора в реестре по Приказу РКН №180, отсутствие или несоответствие требованиям политики обработки ПДн, три и более жалобы от работников одного оператора за 12 месяцев, а также несоответствие заявленных в реестре целей обработки фактической деятельности компании.
Внеплановая проверка на основании жалобы проводится без предварительного уведомления оператора (профвизит или документарная проверка). В рамках проверки инспектор запрашивает полный пакет ОРД: политику обработки ПДн, согласия работников, локальные акты, журналы учёта обращений субъектов, технические регламенты. Мораторий на проверки малого бизнеса, действовавший в 2022–2024 годах, на проверки по жалобам субъектов ПДн не распространялся.
Какие нарушения инспектор выявляет чаще всего при HR-проверке?
Анализ практики РКН по HR-направлению показывает устойчивый набор нарушений, которые инспектор фиксирует в большинстве компаний.
Согласия работников, встроенные в трудовой договор или правила внутреннего трудового распорядка, нарушают требования ст. 9 ФЗ-152 в редакции ФЗ-156. После 01.09.2025 такие согласия не имеют юридической силы. Каждое согласие, не соответствующее обязательным реквизитам (ФИО субъекта, наименование оператора, цель, перечень данных, перечень действий, срок, способ отзыва), образует состав по ч. 2 ст. 13.11.
Политика обработки ПДн, не размещённая в открытом доступе или не содержащая обязательных разделов по ч. 2 ст. 18.1 ФЗ-152, — нарушение по ч. 3 ст. 13.11 (30 000–60 000 ₽). Это одно из самых распространённых и легко устранимых нарушений, но инспектор его фиксирует неизменно.
Передача ПДн работников третьим лицам без надлежащего правового основания — страховым компаниям, банкам в рамках зарплатных проектов, аутсорсинговым HR-платформам — без договора поручения обработки по п. 3 ст. 6 ФЗ-152 влечёт ч. 1 ст. 13.11 (150 000–300 000 ₽).
Обработка биометрических ПДн (изображение лица в СКУД, сканирование отпечатков) без письменного согласия по ст. 11 ФЗ-152 — нарушение по ч. 16 ст. 13.11. Письменное согласие на биометрию должно быть отдельным документом, даже если у компании есть общее согласие на обработку ПДн.
Наконец, отсутствие журнала учёта обращений субъектов и фактов предоставления ответов на запросы лишает компанию доказательной базы при оспаривании штрафа за нарушение ч. 4–5 ст. 13.11.
Что подготовить до прихода инспектора РКН
- Выписку из реестра операторов ПДн с pd.rkn.gov.ru с актуальными целями и категориями обработки.
- Отдельные согласия работников, оформленные по требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): не встроенные в трудовой договор, с полным набором реквизитов.
- Политику обработки ПДн в открытом доступе (сайт компании или информационный стенд) с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152.
- Договоры поручения обработки ПДн с HR-аутсорсерами, банками по зарплатным проектам и иными третьими лицами, получающими данные работников.
- Журнал учёта обращений субъектов ПДн с фиксацией входящих запросов, дат ответов и содержания ответов за последние 12 месяцев.
Если юрист компании не уверен в полноте пакета ОРД — внеплановая проверка по жалобе работника может занять от 1 до 20 рабочих дней. Пробел в документации инспектор зафиксирует как самостоятельное нарушение. Аудит соответствия 152-ФЗ выявляет критические точки до визита РКН, а не после.
Заказать аудит 152-ФЗКак выглядят типовые сценарии при жалобе работника?
Сценарий 1. Бывший работник требует уничтожения ПДн после увольнения. Работник уволен, направляет работодателю требование уничтожить все персональные данные, затем жалобу в РКН о бездействии. Работодатель полагает, что имеет право хранить личное дело 75 лет. Позиция правомерна в части обязательных кадровых документов, хранящихся по требованию архивного законодательства. Однако ПДн, обработка которых утратила цель (контактные данные для корпоративной рассылки, фото для внутреннего портала), подлежат уничтожению или обезличиванию по ст. 21 ФЗ-152. Инспектор оценит, разграничивает ли компания категории хранения. Отсутствие такого разграничения — нарушение ч. 5 ст. 13.11 (50 000–90 000 ₽). Стратегия: разработать регламент хранения с указанием сроков и правовых оснований для каждой категории данных, выделить данные, хранение которых необязательно, уничтожить их в 30-дневный срок после увольнения.
Сценарий 2. Работник жалуется на передачу данных банку без его согласия. Компания подключила зарплатный проект, передала банку ФИО, паспортные данные и СНИЛС всех сотрудников без их отдельного согласия. Один из работников, не желающий менять банк, подаёт жалобу в РКН. РКН направляет запрос: предоставьте договор с банком, основание для передачи данных, согласие работника. У компании нет ни договора поручения обработки, ни согласия на передачу. Это два самостоятельных состава: ч. 1 ст. 13.11 (обработка без надлежащего основания) и ч. 2 ст. 13.11 (отсутствие согласия) — итого до 1 млн ₽ суммарно. Стратегия: заключить договор поручения обработки ПДн с банком по п. 3 ст. 6 ФЗ-152, получить отдельные согласия работников на передачу данных, уведомить реестр об изменении состава третьих лиц.
Сценарий 3. СКУД с биометрией и отсутствие письменных согласий. Компания установила СКУД с распознаванием лиц. Согласие на биометрическую обработку включено в общее согласие при трудоустройстве. Один из работников подаёт жалобу в РКН, указывая, что письменного отдельного согласия на биометрию ему не предлагали. РКН инициирует проверку. Смешанное согласие не соответствует требованиям ст. 11 ФЗ-152: письменное согласие на биометрию должно быть самостоятельным документом. Нарушение квалифицируется по ч. 16 ст. 13.11 — точный диапазон штрафа требует уточнения по актуальной редакции КоАП, однако санкция существенна. Стратегия: переоформить согласия на биометрию как отдельные документы до начала проверки, обеспечить альтернативный способ доступа для работников, отозвавших согласие.
Что грозит за невыполнение предписания РКН и как обжаловать постановление?
По итогам проверки РКН вправе выдать предписание об устранении нарушений с установленным сроком. Неисполнение предписания в срок образует самостоятельный состав правонарушения. Кроме того, невыполнение законного требования РКН может повлечь административное взыскание по ч. 1 ст. 19.5 КоАП (дискреция суда).
Постановление РКН по делу об административном правонарушении обжалуется в порядке, установленном КоАП. С 28.12.2025 (ФЗ-508) дела по ст. 13.11 рассматривают мировые судьи, а апелляция направляется в районный суд. До 28.12.2025 дела рассматривались арбитражными судами, что создавало разрыв в правоприменении — ряд компаний воспользовался переходным периодом для затягивания производства.
При обжаловании постановления юрист должен проверить: соблюдены ли сроки составления протокола, правильно ли квалифицировано нарушение, учтены ли обстоятельства, смягчающие ответственность. По ст. 4.1.1 КоАП для микропредприятий при первичном нарушении и отсутствии вреда субъектам штраф может быть заменён на предупреждение — этот инструмент суды применяют точечно, но реально. По ст. 4.1 КоАП суд при оборотных штрафах (ч. 15, ч. 18 ст. 13.11) учитывает инвестиции в информационную безопасность: если они составляли не менее 0,1% выручки за три предшествующих года, штраф снижается до одной десятой минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.
Практика: как работает защита по жалобе работника
Кейс 1. Производственная компания Уральского ФО (осень 2025) получила жалобу от уволенного работника: тот указал на передачу его ПДн в коллекторское агентство для взыскания аванса. РКН направил запрос документов. Юридическая служба собрала договор цессии, который компания ошибочно считала основанием для передачи ПДн третьему лицу. Договор цессии не является поручением обработки по п. 3 ст. 6 ФЗ-152 и не освобождает от требования получить согласие субъекта. Протокол составлен по ч. 1 ст. 13.11 (150 000–300 000 ₽). В ходе рассмотрения дела мировым судьёй компания представила доказательства принятых мер: заключила договор поручения обработки, уведомила РКН об изменении состава получателей. Штраф назначен в минимальном размере диапазона.
Кейс 2. Торговая сеть Центрального ФО (начало 2026) получила три жалобы от работников розничных точек: общее согласие в трудовом договоре, биометрия в СКУД без отдельного согласия, отсутствие ответа на запрос субъекта. Три жалобы за один квартал — индикатор риска, активировавший внеплановую проверку. По итогам проверки составлены протоколы по ч. 2, ч. 3 и ч. 4 ст. 13.11 — суммарный потенциальный штраф до 830 000 ₽. Компания устранила нарушения до вынесения постановления, представила доказательства в материалы дела. Мировой судья учёл устранение нарушений как смягчающее обстоятельство, назначил штраф ниже среднего диапазона по каждому составу.
Услуги DATUM по теме
- Сопровождение проверок РКН — подготовка к визиту, участие в проверке, обжалование предписания.
- Аудит соответствия 152-ФЗ — анализ HR-документации по чек-листу из 38 пунктов, отчёт с планом устранения.
- Защита при штрафе в арбитраже — оспаривание протокола и постановления, применение ст. 4.1 и ст. 4.1.1 КоАП.
Частые вопросы
1. Как подготовиться к проверке РКН по жалобе работника?
Немедленно проверьте наличие оператора в реестре РКН, актуальность политики обработки ПДн и соответствие согласий работников требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025. Соберите пакет ОРД: политику, отдельные согласия, приказ о назначении ответственного по ст. 22.1 ФЗ-152, договоры поручения обработки с третьими лицами, журнал учёта обращений субъектов. Устраните выявленные нарушения до прихода инспектора: факт устранения фиксируется как смягчающее обстоятельство по КоАП.
2. Какие индикаторы риска у РКН могут запустить проверку по жалобе?
К основным индикаторам риска для HR-направления относятся: отсутствие оператора в реестре по Приказу РКН №180, несоответствие заявленных целей обработки фактической деятельности, три и более жалоб от работников одного оператора за 12 месяцев, отсутствие политики обработки ПДн в открытом доступе, сведения об утечке ПДн работников в общедоступных источниках. Наличие хотя бы одного индикатора достаточно для инициирования внеплановой проверки без предварительного уведомления.
3. Можно ли отказаться отвечать на запрос РКН после жалобы работника?
Нет. Непредставление документов и пояснений по запросу РКН в 10-рабочедневный срок образует самостоятельный состав по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽). Кроме того, уклонение от взаимодействия с регулятором учитывается как отягчающее обстоятельство при назначении штрафа по основному составу. Ответить на запрос следует в срок, даже если вы намерены оспорить его правомерность: возражения включаются в текст ответа, а не служат основанием для молчания.
4. Что грозит за невыполнение предписания РКН?
Неисполнение предписания РКН об устранении нарушений влечёт ответственность по ч. 1 ст. 19.5 КоАП (неисполнение законного требования уполномоченного органа). Помимо этого, при повторной проверке нарушение будет квалифицировано как повторное: ряд составов ст. 13.11 КоАП предусматривает повторность с кратным увеличением санкции — например, по ч. 1.1 (повторное по ч. 1) штраф составит 300 000–500 000 ₽ вместо 150 000–300 000 ₽.
5. Куда обжаловать постановление РКН по делу о нарушении 152-ФЗ?
С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи по месту совершения правонарушения. Постановление мирового судьи обжалуется в районный суд. Срок обжалования — 10 суток с момента вручения или получения постановления. При подаче жалобы исполнение постановления не приостанавливается автоматически — для этого необходимо отдельное ходатайство о приостановлении.
Итог
Жалоба работника в РКН — точка входа для проверки, которая охватывает всю систему обработки ПДн в компании, а не только предмет жалобы. С момента действия ФЗ-420 (с 30.05.2025) цена ошибки выросла кратно: три самостоятельных нарушения по HR-документации дают суммарный штраф до 1 млн ₽ при первичном обращении регулятора. Системная подготовка пакета ОРД и переоформление согласий по требованиям ФЗ-156 — это превентивная мера, а не реакция на жалобу.
Практика DATUM по сопровождению проверок РКН в HR-секторе охватывает подготовку ОРД, участие юриста на проверке, составление ответов на запросы регулятора и обжалование постановлений в судах общей юрисдикции.
16 июня 2027 года