справочник 25 октября 2026 По состоянию на 25 октября 2026

Жалоба субъекта в РКН: процедура и сроки

Жалоба субъекта персональных данных в Роскомнадзор — это обращение физического лица, чьи права при обработке ПДн нарушены оператором, с требованием провести проверку и привлечь нарушителя к ответственности по ст. 13.11 КоАП.

С 30.05.2025 жалоба может повлечь штраф от 150 тыс. до 15 млн ₽ за утечку, от 300 тыс. до 700 тыс. ₽ за нарушение условий согласия. При повторных нарушениях — оборотный штраф до 500 млн ₽.

Если вы юрист и компания получила уведомление о жалобе субъекта — у вас 10 рабочих дней на ответ субъекту по ст. 20 ФЗ-152 и ограниченное окно для формирования позиции до составления протокола.

Роскомнадзор рассматривает жалобы субъектов как один из основных поводов для внеплановых проверок операторов. С 30.05.2025 одна жалоба может запустить производство по любой из 18 частей ст. 13.11 КоАП. Для юриста компании понимание процедуры и сроков — это разница между предупреждением и постановлением с шестизначной суммой.

Кто такой субъект ПДн и каковы его права по 152-ФЗ?

Субъект персональных данных — физическое лицо, которое прямо или косвенно определяется через обрабатываемые данные (ст. 3 ФЗ-152). Гражданство и место нахождения значения не имеют: российский закон защищает всех физических лиц, чьи ПДн обрабатывает оператор на территории РФ.

Оператор персональных данных — государственный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими определяет цели и состав обрабатываемых ПДн (ст. 3 ФЗ-152). Именно оператор несёт ответственность перед субъектом и РКН.

Обработка персональных данных — любое действие с данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Даже однократный просмотр базы данных в ИС является обработкой.

Основные права субъекта, нарушение которых влечёт жалобу:

получить информацию об операторе, составе и целях обработки — ст. 14 ФЗ-152;
требовать уточнения, блокирования или уничтожения недостоверных или незаконно обрабатываемых ПДн — ст. 21 ФЗ-152;
отозвать согласие на обработку — ст. 9 ФЗ-152;
обжаловать действия оператора в РКН или суд — ст. 17 ФЗ-152.

«Ст. 20 ФЗ-152: оператор обязан предоставить субъекту сведения об обработке его ПДн в течение 10 рабочих дней с даты получения запроса. Продление — не более чем на 5 рабочих дней с уведомлением субъекта.»

На каких правовых основаниях допускается обработка ПДн?

Правовые основания обработки ПДн — исчерпывающий перечень из ст. 6 ФЗ-152, при наличии хотя бы одного из которых обработка считается законной. Отсутствие основания — самостоятельный состав нарушения по ч. 1 ст. 13.11 КоАП (штраф для юрлица 150–300 тыс. ₽).

Ключевые основания по ст. 6 ФЗ-152:

Согласие субъекта (п. 1 ч. 1 ст. 6): Наиболее распространённое основание. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом — не встраивается в договор, политику или оферту. Обязательные реквизиты: ФИО, контактные данные субъекта, наименование оператора, цель, перечень ПДн, срок действия, способ отзыва.
Исполнение договора с субъектом (п. 5 ч. 1 ст. 6): Применяется, когда субъект — сторона договора. Обработка допустима только в объёме, необходимом для исполнения договора. Расширение этого объёма в маркетинговых целях требует отдельного согласия.
Исполнение обязанностей, предусмотренных законом (п. 2 ч. 1 ст. 6): Типичный пример — обработка ПДн работников по ТК РФ, налоговая отчётность, архивное хранение. Объём ПДн должен соответствовать конкретной обязанности.
Жизненно важные интересы и иные основания (п. 6–11 ч. 1 ст. 6): Охватывают судопроизводство, журналистику, научные исследования, публично доступные данные. Применяются как исключение — расширительное толкование недопустимо.

Принципы обработки ПДн по ст. 5 ФЗ-152 — семь обязательных требований: законность, конкретность целей, недопустимость объединения несовместимых баз, соответствие объёма целям, точность данных, ограничение сроков хранения, уничтожение при достижении цели. Нарушение любого принципа — основание для жалобы субъекта.

Компания получила запрос от субъекта или уведомление о жалобе в РКН?

Если юрист компании не имеет отработанного регламента ответа на запросы субъектов — каждое обращение создаёт риск нарушения 10-рабочедневного срока по ст. 20 ФЗ-152. Просроченный ответ или отказ — повод для жалобы в РКН и штраф по ч. 4 ст. 13.11 (40–80 тыс. ₽) или ч. 5 ст. 13.11 (50–90 тыс. ₽). Юристы DATUM обеспечат абонентское сопровождение функции DPO: обработку запросов субъектов, подготовку ответов, ведение журнала обращений.

Подключить DPO-аутсорс

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как субъект подаёт жалобу в РКН и что происходит дальше?

Жалоба в Роскомнадзор — письменное или электронное обращение субъекта с описанием нарушения, данными оператора и требованием о проведении проверки. Подаётся через портал pd.rkn.gov.ru, Госуслуги или по почте в территориальный орган РКН.

Процедура рассмотрения жалобы включает следующие этапы:

Регистрация и проверка полноты (до 7 дней): РКН регистрирует жалобу, проверяет её соответствие требованиям Федерального закона о порядке рассмотрения обращений граждан. Анонимные жалобы не рассматриваются.
Запрос оператору (в рамках внеплановой проверки): РКН вправе инициировать внеплановую документарную или выездную проверку. Оператор получает уведомление, после которого начинается ограниченный срок на предоставление документов. На этом этапе критически важно иметь актуальный комплект ОРД.
Составление протокола по ст. 13.11 КоАП: При выявлении нарушений уполномоченное лицо РКН составляет протокол об административном правонарушении. С 28.12.2025 (ФЗ-508) дела по ст. 13.11 рассматриваются мировыми судьями.
Рассмотрение дела и вынесение постановления: Мировой судья рассматривает дело по существу, исследует доказательства оператора — политику, согласия, журналы. Постановление может быть обжаловано в районном суде.

Категории персональных данных по ст. 10 ФЗ-152 — специальные: сведения о расовой принадлежности, политических взглядах, религии, состоянии здоровья, интимной жизни, судимости. Их обработка без исключительного основания запрещена. Жалоба на нарушение ст. 10 запускает состав по ч. 2 ст. 13.11 КоАП (штраф 300–700 тыс. ₽).

Что подготовить при получении уведомления о жалобе субъекта

Актуальное уведомление оператора в реестре РКН (pd.rkn.gov.ru) с перечнем целей, соответствующих реальной обработке.
Политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованную на сайте оператора.
Отдельное согласие субъекта по ст. 9 ФЗ-152 (в редакции ФЗ-156 с 01.09.2025) с полным перечнем реквизитов.
Журнал учёта обращений субъектов с фиксацией даты запроса и срока ответа по ст. 20 ФЗ-152.
Документы, подтверждающие правовое основание обработки по ст. 6 ФЗ-152 применительно к конкретному субъекту.

Какие нарушения 152-ФЗ чаще всего выявляются по жалобам субъектов?

По итогам 2025 года РКН зафиксировал 118 случаев компрометации баз данных. Внеплановые проверки по жалобам выявляют типовые нарушения в следующих группах:

Нарушение условий согласия (ч. 2 ст. 13.11): Согласие отсутствует, встроено в договор или не содержит обязательных реквизитов по ст. 9 ФЗ-152. С 01.09.2025 — дополнительное требование об оформлении отдельным документом. Штраф для юрлица — 300–700 тыс. ₽, при повторности по ч. 2.1 — 1–1,5 млн ₽.
Несоответствие объёма обработки заявленным целям (ч. 1 ст. 13.11): Оператор собирает больше данных, чем указано в уведомлении РКН и политике. Типичный случай — маркетинговый сбор под видом исполнения договора. Штраф — 150–300 тыс. ₽, при повторности — 300–500 тыс. ₽.
Неисполнение требования субъекта об уничтожении или уточнении ПДн (ч. 5 ст. 13.11): Оператор получил требование об уничтожении ПДн после отзыва согласия, но данные продолжают обрабатываться. Срок исполнения — 7 рабочих дней (ст. 21 ФЗ-152). Штраф — 50–90 тыс. ₽, при повторности — 300–500 тыс. ₽.
Непредоставление информации субъекту (ч. 4 ст. 13.11): Оператор не ответил на запрос субъекта в течение 10 рабочих дней по ст. 20 ФЗ-152 или ответил с нарушением содержания. Штраф — 40–80 тыс. ₽.

Если юрист ещё не аудировал комплект ОРД под актуальные требования ФЗ-152 — жалоба субъекта выявит пробелы быстрее проверки РКН. Аудит DATUM по 38 пунктам даст приоритизированный план устранения нарушений до составления протокола.

Заказать аудит 152-ФЗ

Как компания может защититься при рассмотрении дела по жалобе?

Защита при производстве по ст. 13.11 КоАП строится на трёх направлениях.

Первое — доказательная база соблюдения требований 152-ФЗ. Полный комплект ОРД: политика, согласия, регламенты, журналы обращений субъектов — позволяет оспорить сам факт нарушения или снизить квалификацию.

Второе — применение ст. 4.1.1 КоАП. Для микропредприятий и субъектов малого предпринимательства при первичном нарушении и отсутствии вреда субъекту суд вправе заменить штраф предупреждением. Для торговой компании малого бизнеса (Центральный ФО, начало 2026) такая замена позволила избежать штрафа в 150–300 тыс. ₽ по ч. 1 ст. 13.11 после жалобы клиента на использование данных без согласия. ⚠️ Данный инструмент не применяется по ч. 15 и ч. 18 ст. 13.11 (оборотные составы).

Третье — смягчение при повторных нарушениях по ч. 15 и ч. 18 ст. 13.11. Оборотный штраф 1–3% совокупной годовой выручки (не менее 20 млн ₽, не более 500 млн ₽) может быть снижен до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽ — при подтверждённых инвестициях в информационную безопасность не менее 0,1% выручки за три предшествующих года (примечание 3.4-2 к ст. 4.1 КоАП, введённое ФЗ-420).

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка комплекта ОРД, оснований обработки, согласий по актуальным требованиям
Комплект ОРД под ключ — 38 документов, включая политику, согласия по ФЗ-156 и журналы обращений субъектов
DPO-аутсорсинг — обработка запросов субъектов, ответы в срок по ст. 20 ФЗ-152, ведение журнала

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка персональных данных по ст. 3 ФЗ-152 — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Даже однократный просмотр данных в информационной системе является обработкой. Автоматизация роли не играет: неавтоматизированная обработка также регулируется 152-ФЗ при наличии базы, структурированной по ПДн.

2. На основании чего можно обрабатывать ПДн?

Перечень правовых оснований установлен ч. 1 ст. 6 ФЗ-152 и является исчерпывающим. Основные: согласие субъекта (п. 1), исполнение обязанностей, предусмотренных законом (п. 2), исполнение договора с субъектом (п. 5). С 01.09.2025 согласие по ФЗ-156 от 24.06.2025 должно быть оформлено отдельным документом. Для специальных категорий ПДн по ст. 10 ФЗ-152 — только письменное согласие или прямое указание закона.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность — по ст. 13.11 КоАП в редакции с 30.05.2025: от 30 тыс. ₽ (ч. 3, отсутствие политики) до 15 млн ₽ (ч. 14, утечка свыше 100 тыс. субъектов). При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽. Уголовная ответственность — по ст. 272.1 УК РФ (действует с 11.12.2024): незаконные использование, передача, сбор или хранение компьютерной информации с ПДн — до 10 лет лишения свободы по ч. 5 за тяжкие последствия.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 оператор обязан уведомить РКН до начала обработки ПДн. Исключения установлены ч. 2 ст. 22 ФЗ-152: например, обработка только ПДн работников в рамках трудового договора или данных, полученных оператором в связи с заключением договора с субъектом исключительно для его исполнения. Если обработка не укладывается в исключения — уведомление обязательно вне зависимости от размера бизнеса. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

По общему правилу согласие даёт сам субъект. ФЗ-152 не устанавливает специального возрастного порога — применяются нормы ГК РФ о дееспособности. На практике для лиц до 14 лет (малолетних) согласие дают родители или законные представители. Для несовершеннолетних от 14 до 18 лет — их собственное согласие с согласия законных представителей. Образовательные организации и EdTech-платформы при обработке ПДн детей применяют повышенные требования.

Итог

Жалоба субъекта в РКН — это не административная формальность, а триггер внеплановой проверки, которая выявляет системные нарушения 152-ФЗ: отсутствие оснований обработки по ст. 6, нарушение требований согласия по ст. 9, несоблюдение принципов ст. 5. С 30.05.2025 каждая из 18 частей ст. 13.11 КоАП даёт самостоятельный состав, и одна жалоба может повлечь несколько протоколов одновременно.

Практика DATUM показывает: компании, имеющие актуальный комплект ОРД и отлаженный регламент ответов на запросы субъектов, урегулируют жалобы на стадии до составления протокола — либо получают предупреждение вместо штрафа.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420), защита от оборотных штрафов с 30.05.2025.