Как пройти проверку Роскомнадзора

Проверка Роскомнадзора по персональным данным - это плановая или внеплановая инспекция соблюдения требований Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». По состоянию на май 2026 года санкции по статье 13.11 КоАП РФ достигают 6 миллионов рублей за одно нарушение, а при повторном - до 18 миллионов. Компании, которые заблаговременно выстраивают систему защиты данных, проходят проверку без штрафов: те, кто готовится за неделю до визита инспектора, как правило, получают предписания и протоколы.

Роскомнадзор ежегодно проводит тысячи проверок операторов персональных данных - от крупных банков до небольших интернет-магазинов. В 2024 году ведомство составило свыше 6 500 протоколов об административных правонарушениях по статье 13.11 КоАП РФ. Эта статья охватывает широкий спектр нарушений: от отсутствия политики конфиденциальности до незаконной обработки биометрии. Ниже - практический чеклист и разбор ключевых требований, которые проверяет инспектор.

Что проверяет Роскомнадзор и на каком основании

Роскомнадзор проверяет соблюдение Федерального закона № 152-ФЗ «О персональных данных» и подзаконных актов - прежде всего Постановления Правительства РФ от 1 ноября 2012 года № 1119 о защите персональных данных в информационных системах. Основание для плановой проверки - включение в ежегодный план, который публикуется на сайте РКН. Внеплановая проверка возможна по жалобе субъекта персональных данных, по поручению прокуратуры или при выявлении признаков нарушения в открытых источниках.

Предмет проверки охватывает несколько блоков. Первый - наличие и содержание внутренних документов: политика обработки персональных данных, приказ о назначении ответственного лица, согласия субъектов, регламенты. Второй - технические и организационные меры защиты: разграничение доступа, шифрование, журналирование. Третий - уведомление РКН о начале обработки и актуальность сведений в реестре операторов. Четвёртый - соблюдение прав субъектов: порядок ответа на запросы, сроки удаления данных.

Инспектор вправе запросить любые документы, связанные с обработкой персональных данных, провести осмотр помещений и опросить сотрудников. Срок документарной проверки - до 20 рабочих дней, выездной - до 10 рабочих дней. Уведомление о плановой проверке направляется не позднее чем за три рабочих дня до её начала.

Какие нарушения чаще всего выявляет инспектор?

По данным Роскомнадзора, наиболее распространённые нарушения при проверках - отсутствие или ненадлежащее оформление согласия на обработку персональных данных (часть 2 статьи 13.11 КоАП РФ, штраф до 150 000 рублей), отсутствие политики конфиденциальности в открытом доступе (часть 3 статьи 13.11, штраф до 60 000 рублей) и необеспечение безопасности данных (часть 1 статьи 13.11, штраф до 100 000 рублей для юридических лиц).

Типичное заблуждение - считать, что достаточно разместить на сайте любой текст с названием «Политика конфиденциальности». Инспектор проверяет содержание: в документе должны быть указаны цели обработки, перечень данных, сроки хранения, порядок реализации прав субъектов и сведения об операторе. Документ, скопированный с другого сайта без адаптации, почти всегда содержит несоответствия фактической деятельности компании.

Отдельный блок нарушений связан с трансграничной передачей данных. С 1 марта 2023 года оператор обязан до начала передачи данных за рубеж уведомить Роскомнадзор и получить разрешение (статья 12 Федерального закона № 152-ФЗ). Использование зарубежных CRM, облачных сервисов или аналитических платформ без соответствующего уведомления - одно из наиболее часто выявляемых нарушений у компаний, работающих с иностранными подрядчиками.

Многие недооценивают риски, связанные с обработкой биометрических данных. Сбор биометрии (фото, голос, отпечатки) требует отдельного письменного согласия и размещения данных исключительно в Единой биометрической системе или на серверах в России. Нарушение этих требований квалифицируется по части 9 статьи 13.11 КоАП РФ - штраф для юридических лиц до 500 000 рублей.

Контекстный мост: описанные нарушения выявляются по типовому алгоритму, но конкретная ситуация компании зависит от отрасли, состава обрабатываемых данных и истории взаимодействия с РКН. Самостоятельная оценка рисков без анализа документации нередко оставляет критические пробелы.

Чеклист подготовки к проверке Роскомнадзора

Подготовка к проверке РКН строится вокруг четырёх обязательных блоков: документация, технические меры, уведомление регулятора и работа с правами субъектов. Компания, закрывшая все четыре блока, проходит проверку без предписаний - это подтверждает практика по делам об административных правонарушениях по статье 13.11 КоАП РФ.

Блок 1. Документация. Проверьте наличие и актуальность следующих документов:

• Политика обработки персональных данных - опубликована на сайте, содержит цели, перечень данных, сроки хранения, порядок реализации прав субъектов.
• Приказ о назначении ответственного за организацию обработки персональных данных (статья 18.1 Федерального закона № 152-ФЗ).
• Согласия субъектов - отдельные для каждой цели обработки, с указанием конкретных действий с данными.
• Регламент реагирования на запросы субъектов и на инциденты (утечки данных).
• Перечень информационных систем персональных данных с указанием уровня защищённости.

Блок 2. Технические меры. Уровень защищённости информационной системы определяется по Постановлению Правительства № 1119. Для большинства коммерческих операторов достаточен 3-й или 4-й уровень защищённости. Минимальный набор мер: разграничение прав доступа, антивирусная защита, журналирование событий, резервное копирование. Отсутствие хотя бы одной из мер - основание для предписания.

Блок 3. Уведомление РКН. Оператор обязан уведомить Роскомнадзор до начала обработки персональных данных (статья 22 Федерального закона № 152-ФЗ). Исключения - обработка данных только сотрудников в рамках трудовых отношений или данных, полученных в связи с заключением договора. Если компания уже в реестре - проверьте актуальность сведений: изменение целей обработки, добавление новых категорий данных или трансграничной передачи требует подачи уточнённого уведомления.

Блок 4. Права субъектов. Компания обязана ответить на запрос субъекта о предоставлении информации об обработке его данных в течение 30 дней, на требование об удалении - в течение 10 рабочих дней. Отсутствие регламента обработки таких запросов инспектор расценивает как системное нарушение.

Как проходит выездная проверка: порядок действий

Выездная проверка Роскомнадзора начинается с предъявления инспектором служебного удостоверения и приказа о проведении проверки. Компания вправе потребовать копию приказа и проверить полномочия проверяющих. Срок выездной проверки - не более 10 рабочих дней; для малого бизнеса - не более 50 часов в год (статья 13 Федерального закона от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц»).

В ходе проверки инспектор вправе запрашивать документы, осматривать помещения, где обрабатываются данные, и опрашивать сотрудников. Неочевидный риск: сотрудники, не прошедшие инструктаж, могут сообщить инспектору сведения, противоречащие официальной документации. Это создаёт основания для дополнительных вопросов и расширения предмета проверки.

По итогам проверки составляется акт. Если выявлены нарушения - выдаётся предписание об устранении и (или) составляется протокол об административном правонарушении. Компания вправе представить письменные возражения на акт в течение 15 рабочих дней. Грамотно составленные возражения с доказательствами устранения нарушений нередко позволяют избежать штрафа или снизить его размер.

Пропуск срока обжалования постановления о назначении административного наказания - 10 суток с момента вручения (статья 30.3 КоАП РФ) - лишает компанию права на судебную защиту. Штраф на сумму от 500 000 рублей вступает в силу и подлежит принудительному взысканию.

Если компания уже получила протокол или предписание и пытается разобраться самостоятельно, риск ошибки в возражениях или пропуска процессуального срока существенно возрастает. Анализ документов и выработка позиции требуют понимания актуальной практики рассмотрения дел по статье 13.11 КоАП РФ.

Какие штрафы грозят по статье 13.11 КоАП РФ и как их снизить?

Статья 13.11 КоАП РФ содержит 11 частей с самостоятельными составами нарушений. Максимальный штраф для юридических лиц - 6 миллионов рублей (часть 1 при повторном нарушении - до 18 миллионов рублей). Наиболее часто применяемые части: часть 1 (нарушение общих требований к обработке) - до 100 000 рублей, часть 2 (обработка без согласия) - до 150 000 рублей, часть 8 (нарушение требований к локализации данных) - до 6 миллионов рублей.

Снизить штраф или избежать его позволяют несколько инструментов. Первый - доказательство малозначительности нарушения (статья 2.9 КоАП РФ): применяется редко, но возможно при формальном нарушении без реального ущерба субъектам. Второй - устранение нарушения до вынесения постановления: суды и должностные лица РКН учитывают это как смягчающее обстоятельство. Третий - оспаривание состава нарушения: если инспектор неверно квалифицировал действия компании, постановление можно отменить в суде.

Экономика вопроса: юридическое сопровождение подготовки к проверке обходится в 50 000-200 000 рублей в зависимости от объёма документации. Штраф по части 8 статьи 13.11 КоАП РФ за нарушение локализации данных - до 6 миллионов рублей при первом нарушении и до 18 миллионов при повторном. Соотношение очевидно.

Частые вопросы

1. Нужно ли уведомлять Роскомнадзор, если компания обрабатывает только данные своих сотрудников?

Нет, уведомление не требуется, если обработка персональных данных ведётся исключительно в рамках трудовых отношений - это прямое исключение из пункта 1 части 2 статьи 22 Федерального закона № 152-ФЗ. Однако исключение действует только при строгом соблюдении условия: данные используются только для целей, предусмотренных Трудовым кодексом РФ. Если компания передаёт данные сотрудников третьим лицам (например, банку для зарплатного проекта) или использует их в маркетинговых целях - уведомление обязательно.

2. Что грозит за отсутствие политики конфиденциальности на сайте?

Отсутствие политики обработки персональных данных в открытом доступе квалифицируется по части 3 статьи 13.11 КоАП РФ: штраф для юридических лиц составляет от 30 000 до 60 000 рублей. Инспектор проверяет не только наличие документа, но и его содержание - цели обработки, перечень данных, сроки хранения и порядок реализации прав субъектов должны соответствовать фактической деятельности компании.

3. Можно ли хранить персональные данные российских граждан на серверах за рубежом?

Нет, первичная запись и хранение персональных данных граждан России должны осуществляться на серверах, расположенных на территории Российской Федерации, - это требование части 5 статьи 18 Федерального закона № 152-ФЗ о локализации данных. Последующая передача данных за рубеж допустима при соблюдении требований статьи 12 того же закона: уведомление РКН и наличие оснований для трансграничной передачи. Нарушение локализации - штраф до 6 миллионов рублей по части 8 статьи 13.11 КоАП РФ.

4. В какой срок нужно сообщить в Роскомнадзор об утечке персональных данных?

Оператор обязан уведомить Роскомнадзор об инциденте (утечке) в течение 24 часов с момента его обнаружения, а о результатах внутреннего расследования - в течение 72 часов (статья 21 Федерального закона № 152-ФЗ в редакции, действующей с 1 сентября 2022 года). Уведомление направляется через портал госуслуг или официальный сайт РКН. Нарушение сроков уведомления - самостоятельное основание для привлечения к ответственности.

5. Как обжаловать постановление Роскомнадзора о штрафе по статье 13.11 КоАП РФ?

Постановление по делу об административном правонарушении обжалуется в арбитражный суд по месту нахождения компании в течение 10 суток с момента вручения (статья 30.3 КоАП РФ). Жалоба подаётся через суд, а не через РКН. Основания для отмены: нарушение процедуры проверки, неверная квалификация нарушения, истечение срока давности привлечения к ответственности (3 месяца по общему правилу статьи 4.5 КоАП РФ). Пропуск 10-суточного срока без уважительных причин лишает права на обжалование.

Проверка Роскомнадзора - управляемый риск при условии системной работы с документацией и техническими мерами защиты. Компании, выстроившие процессы обработки персональных данных в соответствии с Федеральным законом № 152-ФЗ, проходят проверку без штрафов. Те, кто откладывает приведение документации в порядок до получения уведомления о проверке, как правило, получают предписания и протоколы - а при повторных нарушениях санкции по статье 13.11 КоАП РФ кратно возрастают.

Юридическая фирма «Ветров и партнёры» сопровождает компании при проверках Роскомнадзора: от экспресс-аудита документации до представления интересов в суде при оспаривании постановлений. Практика охватывает все отрасли - от ритейла и IT до медицины и финансовых организаций.