Проверка Роскомнадзора: порядок и права компании

Проверка Роскомнадзора - это контрольное мероприятие, в ходе которого ведомство проверяет соблюдение компанией требований законодательства о персональных данных, связи и информации. По состоянию на май 2026 года основным правовым стержнем остаётся статья 13.11 КоАП РФ: нарушения в сфере персональных данных влекут штрафы до 6 млн рублей за каждый состав, а при повторных нарушениях - до 18 млн рублей. Компании, не готовые к проверке, рискуют получить несколько предписаний одновременно и оспорить их будет значительно сложнее.

Роскомнадзор проводит плановые и внеплановые проверки операторов персональных данных, провайдеров связи и владельцев информационных ресурсов. Предмет контроля охватывает обработку персональных данных, локализацию баз данных, уведомление об утечках, соблюдение требований к согласиям и политикам конфиденциальности. Понимание порядка проверки и прав компании позволяет снизить риск штрафов и выстроить защиту ещё до визита инспектора.

Виды проверок Роскомнадзора и основания для их проведения

Роскомнадзор проводит три вида проверок: плановые, внеплановые и документарные. Плановые включаются в ежегодный план, который публикуется на сайте ведомства и на портале Генеральной прокуратуры. Внеплановые назначаются при поступлении жалобы субъекта персональных данных, при истечении срока исполнения предписания или по поручению прокуратуры. Документарные проводятся без выезда - ведомство запрашивает документы, компания направляет их в установленный срок.

Основания для внеплановой проверки перечислены в статье 10 Федерального закона от 26.12.2008 № 294-ФЗ о защите прав юридических лиц при осуществлении государственного контроля. Жалоба физического лица на нарушение его прав как субъекта персональных данных - наиболее частое основание на практике. Ведомство обязано уведомить компанию о внеплановой выездной проверке не менее чем за 24 часа, за исключением случаев, когда уведомление может затруднить проверку.

Плановые проверки проводятся не чаще одного раза в три года. Для субъектов малого предпринимательства до конца 2025 года действовал мораторий на плановые проверки, однако он не распространялся на проверки в сфере персональных данных - эта сфера исключена из-под моратория отдельным постановлением Правительства РФ. Компании, обрабатывающие персональные данные, должны учитывать это при планировании комплаенса.

Типичное заблуждение - считать, что небольшая компания не попадёт в план проверок. Роскомнадзор формирует план на основе риск-ориентированного подхода: организации, обрабатывающие данные специальных категорий (здоровье, биометрия), или имеющие нарушения в прошлом, проверяются чаще независимо от размера.

Как проходит проверка Роскомнадзора: порядок и этапы

Проверка Роскомнадзора проходит в четыре этапа: уведомление компании, предъявление распоряжения о проверке, проведение контрольных мероприятий и составление акта. Распоряжение о проверке должно содержать цели, предмет, сроки, перечень документов и состав инспекторов - это требование статьи 14 Федерального закона № 294-ФЗ. Проверка без распоряжения или с нарушением его содержания является грубым нарушением и влечёт недействительность её результатов.

Срок плановой проверки - не более 20 рабочих дней. Для малого предприятия - не более 50 часов в год, для микропредприятия - не более 15 часов. Документарная проверка проводится в течение 10 рабочих дней с момента получения запроса. Если компания не представила документы в срок, инспектор вправе назначить выездную проверку.

В ходе выездной проверки инспекторы вправе запрашивать документы, осматривать помещения, брать объяснения у сотрудников. Компания обязана обеспечить доступ и предоставить запрошенные материалы. Вместе с тем инспекторы не вправе требовать документы, не относящиеся к предмету проверки, и изымать оригиналы без отдельного решения.

По итогам проверки составляется акт в двух экземплярах. Один экземпляр вручается представителю компании под подпись. Если нарушения выявлены - выдаётся предписание об их устранении с указанием срока. При наличии состава административного правонарушения возбуждается дело об АП по статье 13.11 КоАП РФ.

Многие недооценивают значение этапа ознакомления с распоряжением. Именно здесь нужно проверить: соответствие инспекторов списку в распоряжении, правильность указания предмета проверки и сроков. Несоответствие - основание для последующего оспаривания результатов.

Если ваша компания получила уведомление о проверке или запрос документов, а внутренних ресурсов для подготовки недостаточно, промедление с реакцией сужает возможности защиты. Ошибки при представлении документов фиксируются в акте и используются как доказательства нарушений.

Что проверяет Роскомнадзор: предмет контроля и статья 13.11 КоАП РФ

Предмет проверки Роскомнадзора в части персональных данных охватывает семь самостоятельных составов правонарушений, закреплённых в частях 1-7 статьи 13.11 КоАП РФ. Каждый состав - отдельное нарушение с отдельным штрафом: обработка данных без законного основания, нарушение требований к согласию, отсутствие политики конфиденциальности, непредоставление информации субъекту, нарушение требований к локализации, необеспечение уничтожения данных и необеспечение безопасности при утечке.

Штрафы по статье 13.11 КоАП РФ существенно выросли после реформы 2023-2024 годов. За первичное нарушение требований к согласию (часть 2) штраф для юридического лица составляет от 50 000 до 300 000 рублей. За повторное - от 300 000 до 500 000 рублей. За утечку персональных данных (часть 6) - от 1 до 6 млн рублей при первичном нарушении и от 10 до 15 млн рублей при повторном. Совокупный штраф по нескольким составам может превысить 20 млн рублей.

Помимо персональных данных, Роскомнадзор контролирует соблюдение требований Федерального закона от 27.07.2006 № 149-ФЗ об информации: выполнение требований о блокировке запрещённого контента, соблюдение правил хранения данных о пользователях организаторами распространения информации, исполнение требований о локализации баз данных на территории России (статья 18.1 Федерального закона № 152-ФЗ о персональных данных).

Неочевидный риск: инспекторы проверяют не только наличие документов, но и их содержание. Политика конфиденциальности, скопированная с чужого сайта и не отражающая реальные процессы компании, квалифицируется как нарушение наравне с полным отсутствием документа.

Чек-лист: что подготовить к проверке Роскомнадзора

Готовность к проверке определяется наличием полного пакета документов и выстроенными процессами обработки персональных данных. Отсутствие даже одного обязательного документа фиксируется в акте как самостоятельное нарушение по соответствующей части статьи 13.11 КоАП РФ. Подготовку следует начинать не позднее чем за месяц до предполагаемой проверки.

Для прохождения проверки Роскомнадзора подготовьте:

• Уведомление об обработке персональных данных, поданное в Роскомнадзор (или обоснование освобождения от обязанности уведомлять по статье 22 Федерального закона № 152-ФЗ).
• Политику в отношении обработки персональных данных, опубликованную на сайте и актуальную на дату проверки.
• Согласия субъектов персональных данных по каждому виду обработки, требующему согласия, с подтверждением их получения.
• Локальные акты: приказ о назначении ответственного за организацию обработки, перечень обрабатываемых данных, инструкции для сотрудников.
• Договоры с операторами-обработчиками (облачные сервисы, колл-центры, CRM-провайдеры) с условиями об обработке персональных данных по поручению.

Пропуск трёхмесячного срока на устранение нарушений, указанных в предписании Роскомнадзора, автоматически влечёт возбуждение нового дела об административном правонарушении - уже по факту неисполнения предписания. Штраф за это составляет от 20 000 до 300 000 рублей дополнительно к основному.

Какие права есть у компании при проверке Роскомнадзора?

Компания при проверке Роскомнадзора вправе: знакомиться с распоряжением о проверке и проверять полномочия инспекторов, не допускать к проверке лиц, не указанных в распоряжении, давать объяснения и представлять документы только в рамках предмета проверки, привлекать юриста для сопровождения, вносить замечания в акт проверки и обжаловать его результаты. Эти права закреплены в статье 21 Федерального закона № 294-ФЗ.

Право на юридическое сопровождение - одно из ключевых. Представитель компании вправе в любой момент пригласить юриста, и инспекторы не могут этому препятствовать. На практике присутствие юриста с первого дня проверки снижает риск некорректной фиксации обстоятельств в акте.

Компания вправе не представлять документы, не относящиеся к предмету проверки. Если инспектор запрашивает сведения за пределами указанного в распоряжении предмета, отказ в их предоставлении правомерен. Такой отказ следует оформить письменно с указанием основания - это создаёт доказательственную базу на случай спора.

При несогласии с актом проверки компания вправе в течение 15 рабочих дней представить письменные возражения с приложением документов. Возражения приобщаются к материалам проверки и учитываются при рассмотрении дела об АП. Пропуск этого срока не лишает права оспорить постановление в суде, однако снижает доказательственный потенциал позиции.

Самостоятельная подача возражений на акт проверки без анализа доказательственной базы нередко приводит к противоположному результату: компания раскрывает слабые места позиции, которые инспектор использует при составлении постановления. Штраф по статье 13.11 КоАП РФ по нескольким составам может составить 5-10 млн рублей - цена ошибки в возражениях слишком высока.

Как обжаловать результаты проверки Роскомнадзора?

Результаты проверки Роскомнадзора обжалуются в двух порядках: административном - через вышестоящий орган (центральный аппарат Роскомнадзора) и судебном - в арбитражном суде по правилам главы 25 АПК РФ. Срок обжалования постановления по делу об административном правонарушении - 10 суток с момента вручения постановления (статья 30.3 КоАП РФ). Пропуск срока без уважительных причин лишает права на обжалование.

Основания для отмены постановления делятся на процессуальные и материальные. Процессуальные: нарушение порядка проверки (отсутствие уведомления, несоответствие инспекторов распоряжению, превышение сроков), нарушение порядка возбуждения дела об АП, составление протокола в отсутствие представителя компании без надлежащего уведомления. Материальные: недоказанность состава нарушения, неправильная квалификация, малозначительность деяния.

Арбитражные суды в последние годы активно применяют статью 2.9 КоАП РФ о малозначительности при первичных нарушениях в сфере персональных данных, если компания устранила нарушение до вынесения постановления и ущерб субъектам данных не причинён. Это позволяет ограничиться устным замечанием вместо штрафа. Однако при повторных нарушениях или утечках данных суды отказывают в применении малозначительности.

Экономия на юридическом сопровождении при обжаловании постановления с суммой штрафа от 1 млн рублей создаёт риск пропуска процессуальных сроков и утраты доказательств - восстановить их после вступления постановления в силу практически невозможно.

Частые вопросы

1. За сколько дней Роскомнадзор обязан уведомить о плановой проверке?

Роскомнадзор обязан уведомить компанию о плановой проверке не позднее чем за три рабочих дня до её начала - это требование части 12 статьи 9 Федерального закона № 294-ФЗ. Уведомление направляется заказным письмом или по электронной почте при наличии усиленной квалифицированной подписи. О внеплановой выездной проверке ведомство уведомляет за 24 часа, за исключением случаев, когда предварительное уведомление может помешать проверке.

2. Может ли Роскомнадзор проверить компанию без включения в план?

Да, Роскомнадзор вправе провести внеплановую проверку без включения в ежегодный план при наличии оснований: жалоба субъекта персональных данных, истечение срока предписания, поручение прокуратуры или Президента РФ. Внеплановые проверки не ограничены трёхлетним интервалом и могут проводиться в любое время при наличии законного основания по статье 10 Федерального закона № 294-ФЗ.

3. Что грозит компании за непредставление документов по запросу Роскомнадзора?

Непредставление документов по запросу Роскомнадзора в установленный срок влечёт административную ответственность по статье 19.7 КоАП РФ: штраф для юридического лица составляет от 3 000 до 5 000 рублей. Помимо этого, непредставление документов при документарной проверке является основанием для назначения выездной проверки, что существенно расширяет предмет контроля и риски выявления нарушений.

4. Можно ли снизить штраф по статье 13.11 КоАП РФ после вынесения постановления?

Снизить штраф по статье 13.11 КоАП РФ после вынесения постановления можно при обжаловании в арбитражном суде. Суд вправе применить статью 2.9 КоАП РФ о малозначительности при первичном нарушении и отсутствии реального ущерба субъектам данных, либо снизить штраф ниже минимума по части 3.2 статьи 4.1 КоАП РФ при наличии исключительных обстоятельств. На практике суды снижают штрафы в 30-50% дел при грамотно подготовленной позиции.

5. Нужно ли уведомлять Роскомнадзор об обработке персональных данных сотрудников?

Нет, обработка персональных данных сотрудников в целях трудовых отношений освобождена от обязанности уведомления по пункту 1 части 2 статьи 22 Федерального закона № 152-ФЗ о персональных данных. Однако это освобождение распространяется только на данные, обрабатываемые исключительно в рамках трудового договора. Если компания использует биометрию, передаёт данные третьим лицам или обрабатывает данные в маркетинговых целях - уведомление обязательно.

Проверка Роскомнадзора - управляемый риск при условии системной подготовки. Компании, выстроившие документооборот по персональным данным, назначившие ответственного и регулярно актуализирующие политику конфиденциальности, проходят проверки без существенных штрафов. Ключевые точки контроля - согласия субъектов, договоры с обработчиками и уведомление об утечках в течение 24 часов с момента обнаружения.

Юридическая фирма «Ветров и партнёры» сопровождает компании при проверках Роскомнадзора: от экспресс-аудита документации до представления интересов в арбитражном суде при обжаловании постановлений по статье 13.11 КоАП РФ. Практика охватывает операторов персональных данных различных отраслей - от ритейла до финансовых организаций.