Чтобы получить предписание Роскомнадзора по ФЗ №152-ФЗ, выездная проверка необязательна — иногда достаточно жалобы пользователя или автоматического анализа сайта. Для бизнеса это тревожный сигнал: сроки ограничены, формулировки сухие, а за ошибками следуют штрафы. Мы расскажем, когда могут выдать предписание, как действовать без паники и что делать, если вы с ним не согласны.
Кто может получить предписание?
Предписание выносит Роскомнадзор любому оператору ПДн — даже если вы ИП, самозанятый или владелец маленького сайта.
Вы — оператор, если:
- собираете имена, телефоны, email — даже с формы обратной связи;
- ведёте базу клиентов, подписчиков, соискателей;
- работаете с маркетплейсами (Ozon, Wildberries) и принимаете заказы;
- используете CRM, чат-боты, рассылки, аналитику;
- даже если «просто храните данные сотрудников».
Если вы работаете с людьми — вы под законом. Без исключений.
7 основных причин, по которым вы получили предписание
Нарушение | Что значит на практике
Нет Политики обработки ПДн | Документа нет, или он скопирован с сайта 2018 года — и не отражает реальные процессы.
Политика не опубликована | На сайте нет ссылки на Политику в подвале, или она спрятана в «Настройках».
Согласие — «универсальное» | «Я согласен на обработку всех моих персональных данных» — это нарушение.
Цель ≠ реальность | Вы собираете email для рассылки, а потом используете его для таргетированной рекламы — без нового согласия.
Не подали уведомление в РКН | Если обработка ПДн — не исключение (например, для исполнения договора), уведомление обязательно.
Нет мер защиты | Пароли не установлены, доступ к базе — у всех, резервные копии — без шифрования.
Храните данные дольше срока | Клиент ушёл 3 года назад — а вы всё ещё храните его телефон и email.
Предписание — не «вам не нравится». Это — «у вас не соблюдены требования».
Как правильно ответить на предписание (пошагово)
Важно: ответ — только после исправлений. Без действий — ответ не имеет смысла.
1. Прочитайте предписание до конца
— Какие именно нормы нарушены?
— Какие документы требуют исправления?
— Какой срок? (обычно 10 рабочих дней)
2. Устраните каждое нарушение
— Перепишите Политику обработки ПДн — с учётом реальных процессов.
— Разместите её в подвале сайта — ссылка должна быть видна.
— Замените «универсальные» согласия на конкретные:
→ «Согласен на получение рассылки»
→ «Согласен на обработку для исполнения договора»
— Удалите данные, которые храните дольше срока.
— Внедрите пароли, ограничения доступа, резервное копирование.
— Подайте уведомление в РКН, если не делали этого.
3. Соберите доказательства
— Скриншоты обновлённой Политики на сайте.
— Копии новых форм согласий.
— Приказ о назначении ответственного за ПДн.
— Инструкции по защите данных.
— Скриншоты настроек доступа в CRM/базе.
4. Напишите ответ
Формат — чёткий, без эмоций:
> «На основании предписания №___ от ___:
> 1. Нарушение: отсутствие Политики обработки ПДн — устранено. Прилагаем обновлённую версию (Приложение 1).
> 2. Нарушение: неопубликованная Политика — устранено. Ссылка размещена в подвале сайта (Приложение 2).
> 3. Нарушение: универсальное согласие — заменено на специфические формы (Приложение 3).
> Все требования выполнены в срок.»
→ Приложите все документы в PDF.
→ Отправляйте через личный кабинет Роскомнадзора.
→ Сохраните копию отправки.
Ответ без доказательств = формальность. Ответ с доказательствами = защита.
Подготовка документов для работы с персональными данными 2026 для организаций
Что делать, если вы не согласны с предписанием?
Досудебное обжалование — обязательный этап.
Без него суд не примет дело.
1. Определите адресата
— Жалоба на действия сотрудника/отдела → руководителю Роскомнадзора.
— Жалоба на действия руководителя → Минцифры.
2. Подайте жалобу через Госуслуги
— В тексте:
→ Почему предписание неправомерно?
→ Какие нормы нарушены при его вынесении?
→ Какие факты не учтены?
— Приложите:
→ Документы, подтверждающие вашу позицию.
→ Ходатайство о приостановлении исполнения (если срок срочный).
— Подпишите ЭЦП.
3. Срок — 10 рабочих дней
Пропустите — и шанс на отмену уйдёт.
4. Если жалоба отклонена — обращайтесь в суд
— Арбитражный суд — если вы ИП или юрлицо.
— Суд общей юрисдикции — если физлицо.
— Срок: 3 месяца с момента получения предписания.
— Главное: докажите, что ваши права нарушены, а не просто «не согласны».
Что будет, если не выполнить предписание Роскомнадзора
Неисполнение предписания Роскомнадзора влечет отдельную административную ответственность.
Во-первых, вас оштрафуют за само нарушение законодательства о персональных данных по ст. 13.11 КоАП. Во-вторых, последует штраф за неисполнение предписания Роскомнадзора — по ч. 1 ст. 19.5 КоАП. Для юридических лиц размер штрафа может достигать 20 000 рублей.
Кроме штрафов, регулятор вправе назначить повторную проверку, и тогда риски возрастают кратно.
За что еще могут оштрафовать оператора
Как мы уже писали, помимо штрафа за неисполнение предписания РКН, оператора обязательно оштрафуют за само нарушение, в связи с которым оно было вынесено. Размеры штрафов установлены ст.13.11 КоАП:
Вид правонарушения | Максимальный штраф (рублей)
Незаконная обработка ПДн или обработка вне заявленных целей | 300 000, повторно — до 500 000
Обработка ПДн без согласия, когда оно обязательно | 700 000, повторно — до 1.5 млн
Отсутствие политики обработки ПДн в открытом доступе | 60 000
Непредоставление субъекту информации об обработке | 80 000
Нарушение требований локализации ПДн граждан РФ | 6 млн
Несвоевременное уточнение, блокирование или уничтожение ПДн | 90 000
Неподача уведомления в Роскомнадзор в соответствии со ст. 22 ФЗ №152-ФЗ | 300 000
Подготовка документов для работы с персональными данными 2026 для организаций
Как не получить предписание в будущем — 7 правил безопасности
1. Собирайте только то, что реально нужно
→ Для доставки — имя, телефон, адрес.
→ Не запрашивайте паспорт, ИНН, дату рождения — если не по закону.
2. Фиксируйте цели обработки — и не выходите за них
→ Согласие на рассылку ≠ согласие на таргет.
→ Новые цели — новые согласия.
3. Замените «универсальные» согласия
→ «Я согласен на всё» — это нарушение.
→ «Согласен на получение новостей» — это норма.
4. Обновляйте документы с каждым изменением в бизнесе
→ Новый сайт? → Обновите Политику.
→ Новый CRM? → Обновите инструкции.
→ Новый подрядчик? → Добавьте договор с ПДн.
5. Внедрите реальную защиту — не «для галочки»
→ Пароли на базы.
→ Ограничение доступа.
→ Резервные копии.
→ Инструкции для сотрудников.
6. Назначьте ответственного за ПДн
→ Не «для отчета».
→ А человека, который проверяет сайты, договоры, процессы.
7. Проводите внутренние аудиты раз в квартал
→ Проверьте:
— Политику на сайте
— Формы согласия
— Доступы в системах
— Хранение данных
→ Устраните нарушения до проверки.
Безопасность — это не документ. Это система. И она работает, если вы её ведёте.
Подготовка документов для работы с персональными данными 2026 для организаций