Роскомнадзор в 2025–2026 годах осуществляет контроль за соблюдением 152-ФЗ «О персональных данных» на основе риск-ориентированного подхода. Плановых проверок нет, но внеплановые мероприятия, инспекционные визиты и штрафы по ст. 13.11 КоАП РФ — до 15 млн рублей — действуют в полном объёме.
Нормативная база: какие законы регулируют проверки РКН?
Федеральные законы
| Закон | Предмет регулирования |
|---|---|
| ФЗ №152-ФЗ от | Обязанности оператора, права субъектов, уведомление РКН, трансграничная передача |
| ФЗ №248-ФЗ от | Виды КНМ, права инспекторов и контролируемых лиц, обжалование |
| ФЗ №266-ФЗ от | Новый порядок трансграничной передачи, уведомление об утечках |
| ФЗ №272-ФЗ от | Оборотные штрафы за утечки ПДн (в силе с ) |
Постановления Правительства РФ
- ПП №336 от — мораторий на плановые проверки до 2030 года
- ПП №1119 от — уровни защищённости ИСПДн (УЗ-1–4)
- ПП №687 от — требования к обработке ПДн без средств автоматизации
Приказы регуляторов
- Приказ РКН №243 от — программа профилактики рисков на 2025 год
- Приказ ФСТЭК №21 от — технические меры защиты ПДн в ИСПДн
Главное: основу правового регулирования составляют 152-ФЗ и 248-ФЗ. С введены оборотные штрафы за утечки по 272-ФЗ.
Плановые проверки в 2025–2026 годах: мораторий
Плановых проверок Роскомнадзора в 2025 году нет. РКН официально подтвердил: «план проведения плановых контрольных (надзорных) мероприятий в 2025 году не формировался, ввиду отсутствия объектов контроля, отнесённых к чрезвычайно высокой и высокой категории риска причинения вреда».
Правовое основание — п. 11(3) ПП №336 от : до 2030 года плановые проверки возможны только для объектов чрезвычайно высокого и высокого риска. Операторы из Москвы, Краснодара, Ростова-на-Дону и других регионов России находятся в равных условиях: мораторий действует федерально.
Главное: мораторий не означает отсутствие контроля. Внеплановые проверки, инспекционные визиты и профилактические мероприятия продолжаются в полном объёме.
Три основания для внеплановой проверки РКН
- Угроза жизни, здоровью или безопасности государства — без согласования с прокуратурой, немедленно
- Срабатывание индикаторов риска — обработка свыше 100 000 субъектов, специальные категории ПДн, жалобы субъектов, трансграничная передача в страны без адекватной защиты
- Неисполнение предписания — автоматически, без согласования с прокуратурой (ч. 1 ст. 57 248-ФЗ)
Риск для бизнеса: крупные региональные компании с базами свыше 100 000 субъектов автоматически попадают под индикаторы риска. Жалоба одного субъекта ПДн достаточна для инициирования внеплановой проверки.
Главное: самый частый триггер внеплановой проверки — неисполненное предписание. Любое предписание РКН нужно либо исполнить, либо оспорить в установленный срок.
Программа профилактики нарушений РКН
Действующий документ — Приказ РКН №243 от , опубликован на официальном сайте ведомства.
Важно: Программа профилактики на 2026 год будет опубликована в конце 2025 года. Профилактический визит — не проверка. Инспектор даёт рекомендации без назначения штрафов. Уклонение от визита является основанием для последующей документарной или выездной проверки.
Виды контрольных мероприятий РКН
| Вид КНМ | Надзорные действия | Срок | Уведомление оператора |
|---|---|---|---|
| Инспекционный визит | Осмотр, опрос, изучение документов | 1 рабочий день | За 24 часа |
| Документарная проверка | Истребование документов, объяснений | До 10 рабочих дней | До отправки требования |
| Выездная проверка | Осмотр, досмотр, опрос, изъятие, экспертиза | До 10 рабочих дней | За 24 часа |
| Профилактический визит | Только рекомендации, без акта | 1 рабочий день | Заблаговременно |
С (Федеральный закон №540-ФЗ) инспекционный визит и выездная проверка могут проводиться дистанционно через видео-конференц-связь или приложение «Инспектор».
Главное: инспекционный визит — самый быстрый вид КНМ. Уведомление за 24 часа, 1 день, без штрафов при первом нарушении. Документарная и выездная проверки — уже с санкциями.
Реестр операторов персональных данных: обязательное уведомление
В реестре зарегистрировано более 960 000 операторов по всей России.
Содержание уведомления (ч. 3 ст. 22 152-ФЗ)
- Наименование и адрес оператора
- Цели обработки ПДн
- Категории и перечень обрабатываемых ПДн
- Категории субъектов
- Правовые основания обработки
- Перечень действий с ПДн, описание мер защиты (УЗ)
- Сроки обработки и хранения
- ФИО ответственного за организацию обработки ПДн
- Сведения о трансграничной передаче (при наличии)
- Сведения о локализации данных граждан РФ (ст. 18.1 152-ФЗ)
При изменении любого параметра — необходимо уведомить РКН в течение 10 рабочих дней (ч. 7 ст. 22 152-ФЗ). Подаётся отдельная форма «Уведомление об изменении сведений».
Трансграничная передача персональных данных
| Категория страны | Порядок передачи |
|---|---|
| Страны с адекватной защитой (перечень РКН) | По общим правилам 152-ФЗ |
| Страны без адекватной защиты, но с гарантиями оператора | Уведомление РКН + договорные гарантии или письменное согласие субъекта |
| Все прочие страны | Только при наличии оснований ч. 4 ст. 12 152-ФЗ |
Частые нарушения
- Google Analytics, Meta Pixel, Mailchimp — без уведомления РКН
- Хранение ПДн в Salesforce, HubSpot — без договора поручения
- Передача данных сотрудников в иностранную материнскую компанию — без согласия и уведомления
- Отсутствие нового уведомления при расширении перечня целей или стран передачи
Главное: уведомление о трансграничной передаче — это отдельный документ, независимый от уведомления об обработке ПДн. Использование зарубежных метрик без уведомления РКН — нарушение.
Уровни защищённости ИСПДн (ПП №1119 от 01.11.2012)
| Тип ПДн | До 100 000 субъектов | Свыше 100 000 субъектов |
|---|---|---|
| Общедоступные | УЗ-4 | УЗ-4 |
| Иные (ФИО, контакты, финансы) | УЗ-3 | УЗ-2 |
| Специальные (здоровье, религия, судимость) | УЗ-3 | УЗ-2 |
| Биометрические | УЗ-3 | УЗ-3 |
- УЗ-4 — антивирус, парольная политика, разграничение доступа
- УЗ-3 — + контроль целостности, журналирование, межсетевое экранирование
- УЗ-2 — + система обнаружения вторжений, защита от НСД
- УЗ-1 — + сертифицированные ФСТЭК средства защиты, аттестация ИСПДн
Утечка персональных данных: уведомление РКН в 24 и 72 часа
Этап 1 — первичное уведомление: в течение 24 часов
Содержание: описание инцидента, предполагаемые причины, вред субъектам, принятые меры, контактное лицо.
Этап 2 — расширенное уведомление: в течение 72 часов
По результатам внутреннего расследования: категории и объём ПДн, количество субъектов, установленные причины, сведения о лицах, допустивших утечку.
| Объём скомпрометированных ПДн | Штраф для юрлица |
|---|---|
| 1 000 – 10 000 субъектов | 3 000 000 – 5 000 000 руб. |
| 10 000 – 100 000 субъектов | 5 000 000 – 10 000 000 руб. |
| Свыше 100 000 субъектов | 10 000 000 – 15 000 000 руб. |
| Повторная утечка | До 3% от оборота, но не менее 1 000 000 руб. |
Главное: нарушение срока уведомления (24 или 72 часа) — самостоятельный состав нарушения по ст. 13.11 КоАП РФ, независимо от штрафа за саму утечку.
Ответственность по ст. 13.11 КоАП РФ
| Состав нарушения | Штраф (первичное) | Штраф (повторное) |
|---|---|---|
| Обработка без правового основания (ч. 1) | 60 000 – 100 000 руб. | 100 000 – 300 000 руб. |
| Обработка специальных категорий незаконно (ч. 2) | 100 000 – 300 000 руб. | 300 000 – 500 000 руб. |
| Нарушение порядка биометрии (ч. 3) | 100 000 – 300 000 руб. | 300 000 – 500 000 руб. |
| Нарушение трансграничной передачи (ч. 4) | 100 000 – 300 000 руб. | 300 000 – 500 000 руб. |
| Обработка без уведомления РКН (ч. 5) | 100 000 – 300 000 руб. | 300 000 – 500 000 руб. |
| Невыполнение запроса субъекта ПДн (ч. 6) | 40 000 – 80 000 руб. | 80 000 – 200 000 руб. |
| Нарушение требований локализации (ч. 8) | 1 000 000 – 6 000 000 руб. | 6 000 000 – 18 000 000 руб. |
Пошаговый аудит оператора: 7 шагов за 30 минут
Шаг 1. Проверить наличие КНМ в ЕРКНМ
proverki.gov.ru → поиск по ИНН → фильтр «Роскомнадзор» + 2025–2026. Приоритет — открытые предписания с истекающим сроком.
Шаг 2. Проверить статус в реестре операторов
Отсутствие в реестре — нарушение ч. 1 ст. 13.11 КоАП. Уведомление подаётся в электронном виде с ЭЦП или через Госуслуги.
Шаг 3. Аудит трансграничной передачи
Реестр всех внешних сервисов (аналитика, CRM, облако). Для каждого: страна сервера, уведомление РКН, правовое поручение.
Шаг 4. Проверить комплект документов
- Уведомление об обработке ПДн (актуальное)
- Политика конфиденциальности (опубликована на сайте)
- Формы согласий субъектов (явные, по каждой цели)
- Приказ о назначении ответственного за обработку ПДн
- Перечень ИСПДн с уровнями защищённости УЗ-1–4
- Журнал событий доступа к ИСПДн (хранение — 3 года)
- Инструкции для сотрудников с доступом к ПДн
- Договоры со всеми поручителями-обработчиками ПДн
Шаг 5. Определить уровень защищённости ИСПДн
По ПП №1119 определить УЗ-1–4 в зависимости от типа и объёма данных. Реализовать технические меры по Приказу ФСТЭК №21.
Шаг 6. Разработать протокол реагирования на утечку
Назначить ответственного, прописать порядок уведомления РКН в течение 24 и 72 часов, подготовить шаблоны уведомлений заранее — не в момент инцидента.
Шаг 7. Ежемесячный мониторинг официальных источников
Следите за планами КНМ, новыми предписаниями и обновлениями в программе профилактики на официальном портале регулятора.
Протокол действий при проверке РКН
При получении уведомления
- Зафиксируйте дату и способ получения
- Проверьте КНМ на proverki.gov.ru
- Немедленно привлеките юриста
- Соберите полный комплект документов
В ходе выездной проверки
- Проверьте служебные удостоверения и приказ о КНМ
- Не предоставляйте документы вне предмета проверки
- Фиксируйте процессуальные нарушения письменно
- При несогласии с актом: отметьте «Не согласен» с указанием конкретных пунктов
После получения акта и предписания
- Срок исполнения предписания — как правило, 30 календарных дней
- Отчёт об исполнении: скриншоты, журналы, приказы, обновлённая политика
- Исполнение фиксируется в proverki.gov.ru
Обжалование результатов проверки Роскомнадзора
Досудебный порядок (обязателен)
Жалоба подается в электронном виде (через Госуслуги) в течение 30 календарных дней с даты акта (ст. 40 248-ФЗ). Срок рассмотрения — 20 рабочих дней.
Основания для жалобы: Нарушение порядка уведомления о КНМ; Превышение срока проведения КНМ; Истребование документов вне предмета проверки; Отсутствие КНМ в ЕРКНМ; Выход инспектора за предмет проверки.
Оспаривание предписания в суде
В арбитражный суд по месту нахождения. Срок — 3 месяца с даты получения предписания. Возможно заявление обеспечительной меры.
Главное: досудебный порядок обязателен — без предварительной жалобы суд вернёт заявление. Срок 30 дней с даты акта нельзя пропустить.
Частые вопросы о проверках Роскомнадзора
Нет. Роскомнадзор официально подтвердил, что план плановых КНМ не формировался. Мораторий действует до 2030 года на основании ПП №336 от 10.03.2022.
Три основания: 1) угроза жизни, здоровью или безопасности государства; 2) срабатывание индикаторов риска (свыше 100 000 субъектов, специальные ПДн, жалобы); 3) неисполнение ранее выданного предписания.
По ст. 13.11 КоАП РФ: от 60 000 до 300 000 руб. (первичное нарушение), от 100 000 до 500 000 руб. (повторное). За нарушение локализации — от 1 до 18 млн руб. За утечку ПДн — от 3 до 15 млн руб.
С 01.09.2024: первичное уведомление — в течение 24 часов, расширенное — в течение 72 часов. Нарушение сроков — самостоятельный состав нарушения по ст. 13.11 КоАП РФ.
Обязателен досудебный порядок: жалоба через ЕПГУ (gosuslugi.ru) в течение 30 дней с даты акта. После — арбитражный суд по месту нахождения в течение 3 месяцев.
Да. С 01.03.2023 оператор обязан направить в РКН отдельное уведомление о трансграничной передаче персональных данных до начала такой передачи.
С 1 сентября 2022 года. Операторы обязаны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением узких случаев.
Три способа: 1) в бумажном виде; 2) в электронном виде с УКЭП; 3) в электронном виде через ЕСИА (Госуслуги).
Приказом Роскомнадзора от 28.10.2022 №180.
Федеральным законом предельный срок уведомления Роскомнадзора не определён. Вместе с тем обязанность уведомить до начала обработки закреплена ч. 1 ст. 22 152-ФЗ. При изменении сведений — 10 рабочих дней.
Предусмотрена отдельная форма — «Уведомление об изменении сведений». Повторная подача первоначального уведомления не требуется. Срок — 10 рабочих дней.
Подаётся отдельная форма — «Уведомление о прекращении обработки персональных данных».
Если данные обрабатываются в целях безопасности государства, транспортной безопасности или исключительно без средств автоматизации.
В официальную техническую поддержку Роскомнадзора.
На 2025 год — Приказ №243 от 19.12.2024; на 2024 год — Приказ №181 от 20.12.2023.
Защита бизнеса при проверках Роскомнадзора
Нужна правовая помощь для подготовки к проверке?
Аудит обработки ПДн · Сопровождение инспекционных визитов · Обжалование штрафов
Москва · Краснодар · Ростов · Удалённо — вся Россия и зарубежье.
Обеспечиваем защиту интересов доверителей в ключевых деловых центрах России и за её пределами.
© ADVOLAW. Все права защищены.
Материал носит информационный характер и не является юридической консультацией применительно к конкретным обстоятельствам дела.
