Проверки Роскомнадзора в 2025–2026 годах: как операторам персональных данных не попасть под штрафы до 500 млн руб.

#Проверки_РКН#ADVOLAW#

Антон Пуляев, управляющий партнёр ADVOLAW. Адвокат с 2006 года. Специализация: персональные данные, защита бизнеса при проверках РКН, налоговые и корпоративные споры.

В 2025–2026 годах плановых проверок Роскомнадзора почти нет благодаря мораторию, но внеплановые визиты, профилактика и автоматический контроль никуда не делись. С 30 мая 2025 года работают оборотные штрафы за утечки ПДн (до 3% от выручки), а с сентября 2025 — новая риск-ориентированная модель с группами тяжести А/Б/В/Г.

Полный разбор + шаблоны документов и чек-листы — на advolaw.ru.

1. Нормативная база: что регулирует обработку ПДн

Основные законы:

• 152-ФЗ от 27.07.2006 — обязанности оператора, права субъектов, уведомления РКН, трансграничная передача.
• 248-ФЗ от 31.07.2020 — правила контрольных мероприятий, права инспекторов и обжалование.
• 266-ФЗ от 14.07.2022 — новые правила трансграничной передачи.
• Федеральный закон от 30.11.2024 № 420-ФЗ — изменения в ст. 13.11 КоАП РФ, оборотные штрафы за утечки (в силе с 30.05.2025).

Ключевые постановления:

• ПП РФ №336 от 10.03.2022 — мораторий на плановые проверки до 2030 года.
• ПП РФ №1286 от 27.08.2025 — группы тяжести А/Б/В/Г для риск-ориентированного подхода (в силе с 05.09.2025).
• ПП РФ №1119 — уровни защищённости ИСПДн (УЗ-1–4).

Главное изменение 2025–2026: штрафы за утечки теперь зависят от объёма данных и могут достигать сотен миллионов рублей при повторных инцидентах.

2. Мораторий на плановые проверки: будет ли проверка в 2026 году?

В 2025 году Роскомнадзор не формировал план плановых проверок — операторов с чрезвычайно высоким и высоким риском практически не было.

Мораторий (п. 11(3) ПП №336) действует до 2030 года. Плановые проверки возможны только для объектов чрезвычайно высокого и высокого риска.

Что меняется в 2026 году?
После введения групп тяжести А/Б/В/Г (ПП №1286 от 05.09.2025) проверка зависит не от размера компании, а от риск-факторов: обработка больших объёмов данных, специальные категории ПДн, трансграничная передача и жалобы.

Вывод: мораторий не отменяет контроль. Внеплановые проверки, инспекционные визиты и профилактика продолжаются.

3. Три реальных основания для внеплановой проверки РКН

1. Угроза жизни, здоровью или безопасности государства — проверка сразу, без прокуратуры.
2. Индикаторы риска (самый частый триггер):обработка данных более 100 000 субъектов
   специальные категории ПДн (здоровье, религия и т.д.)
   жалобы от субъектов
   трансграничная передача в «неадекватные» страны
   отнесение к группе А или Б по новой модели рисков
   
3. Неисполнение предписания — автоматическая проверка (ч. 1 ст. 57 248-ФЗ).

Совет: любое предписание нужно либо исполнить в срок, либо обжаловать. Даже одна жалоба клиента может запустить проверку.

4. Программа профилактики нарушений 2025–2026

Действует Приказ РКН №243 от 19.12.2024 (программа на 2025 год). Программа на 2026 год — следите за обновлениями на rkn.gov.ru.

Профилактический визит — не проверка. Инспектор даёт рекомендации без штрафов. Но игнорировать визит нельзя: это повод для полноценной проверки.

5. Виды контрольных мероприятий РКН

Вид КНМЧто делаютСрокУведомлениеИнспекционный визитОсмотр, опрос, документы1 рабочий деньЗа 24 часаДокументарная проверкаЗапрос документов и объясненийДо 10 рабочих днейДо отправки требованияВыездная проверкаОсмотр + изъятие, экспертизаДо 10 рабочих днейЗа 24 часаПрофилактический визитТолько рекомендации1 рабочий деньЗаблаговременно

С декабря 2024 года многие мероприятия можно проводить дистанционно через ВКС или приложение «Инспектор».

Важно: перед любой проверкой проверьте её на proverki.gov.ru по ИНН. Если мероприятия нет в реестре — все решения можно отменить.

6. Реестр операторов ПДн: обязательно ли уведомлять РКН?

Да. На апрель 2025 в реестре уже более 960 000 операторов. Уведомление подаётся один раз через pd.rkn.gov.ru (с ЭЦП или Госуслуг).

При любом изменении (цели, категории данных, трансграничка и т.д.) — подайте «Уведомление об изменении сведений» в течение 10 рабочих дней.

7. Трансграничная передача данных: как не нарушить

С 2023 года для передачи в страны без адекватной защиты требуется отдельное уведомление РКН (два разных бланка: одно — об обработке, второе — о трансграничке).

Частые ошибки:

• Google Analytics, Meta Pixel, Mailchimp без уведомления
• Передача данных в иностранную «мамку» без согласия и уведомления
• Использование CRM вроде Salesforce без договора поручения

Правило: уведомление о трансграничной передаче — отдельный документ. Без него — штраф до 500 000 руб. (первичный) или выше.

8. Уровни защищённости ИСПДн (по ПП №1119)

Тип данныхДо 100 000 субъектовСвыше 100 000 субъектовОбщедоступныеУЗ-4УЗ-4Обычные (ФИО, контакты)УЗ-3УЗ-2СпециальныеУЗ-3УЗ-2БиометрическиеУЗ-3УЗ-3

Чем выше уровень — тем серьёзнее технические меры (от антивируса до сертифицированных средств ФСТЭК).

9. Утечка данных: уведомлять РКН за 24 и 72 часа

Этап 1 — в течение 24 часов: первичное уведомление (описание инцидента, причины, вред, меры).
Этап 2 — в течение 72 часов: результаты расследования (объём, причины, виновные).

Штрафы за утечки (по Федеральному закону № 420-ФЗ и ст. 13.11 КоАП РФ):

• 1–10 тыс. субъектов → 3–5 млн руб.
• 10–100 тыс. → 5–10 млн руб.
• Свыше 100 тыс. → 10–15 млн руб.
• Повторная утечка → 1–3% оборота (минимум 20 млн руб., максимум 500 млн руб.).

Нарушение сроков уведомления — отдельный состав нарушения.

10. Штрафы по ст. 13.11 КоАП РФ (актуально на 2026)

• Обработка без основания — 60–100 тыс. руб. (первичный) / до 300 тыс. (повторный)
• Нарушение трансгранички — 100–300 тыс. руб.
• Нарушение локализации — до 6 млн руб. (первичный), до 18 млн (повтор)
• Утечки — см. выше, с оборотными санкциями при повторных случаях

11. Пошаговый аудит за 30 минут: чек-лист для оператора

1. Проверьте КНМ на proverki.gov.ru.
2. Убедитесь, что вы в реестре операторов на pd.rkn.gov.ru.
3. Проаудируйте все внешние сервисы (аналитика, CRM, облака).
4. Соберите комплект документов: политика конфиденциальности, согласия, приказ о назначении ответственного, договоры с обработчиками.
5. Определите УЗ для ИСПДн.
6. Подготовьте протокол реагирования на утечку (шаблоны заранее!).
7. Мониторьте rkn.gov.ru, proverki.gov.ru и pd.rkn.gov.ru ежемесячно.

12. Что делать, если пришла проверка РКН

• Зафиксируйте уведомление.
• Проверьте мероприятие на proverki.gov.ru.
• Привлеките юриста сразу.
• Не отдавайте документы за пределами предмета проверки.
• При несогласии с актом — пишите «Не согласен» с обоснованием.

С 2024 года проверки часто проходят дистанционно — готовьте электронные версии документов.

13. Как обжаловать результаты проверки

Досудебно (обязательно): жалоба через Госуслуги в течение 30 дней.

В суде: арбитражный суд в течение 3 месяцев.

Основания: отсутствие регистрации КНМ, превышение полномочий, нарушение сроков и т.д.

Рекомендация: не пропускайте 30-дневный срок на досудебную жалобу.

Материал актуален на март 2026 года. Законодательство меняется — проверяйте на rkn.gov.ru, pd.rkn.gov.ru и proverki.gov.ru.