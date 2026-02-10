Кто может получить предписание Роскомнадзора по ФЗ №152-ФЗ
По закону предписание Роскомнадзора по персональным данным (ПДн) может получить любой оператор — тот, кто самостоятельно или совместно с другими определяет цели и способы обработки персональных данных (ст. 3 ФЗ № 152-ФЗ). Оператором может быть как организация, так и ИП, самозанятый или даже физлицо.
На практике под действие ФЗ № 152-ФЗ подпадают почти все, кто работает с людьми и информацией о них — независимо от масштаба бизнеса и формы деятельности. Например:
Онлайн-магазин, собирающий данные клиентов для оформления и доставки заказов.
Сервисы доставки и маркетплейсы, регистрирующие пользователей на сайте или в приложении.
Медицинские, образовательные и консалтинговые организации, оказывающие услуги физлицам.
Работодатели, обрабатывающие данные сотрудников и соискателей.
Владельцы сайтов с формами обратной связи, заявками или подписками на рассылку.
Если вы узнали себя хотя бы в одном пункте, вы считаетесь оператором. А значит, вас тоже может затронуть проверка Роскомнадзора по персональным данным и, как итог — предписание.
Основания для выдачи предписания
Чаще всего предписание Роскомнадзора по ФЗ № 152-ФЗ выдает базовые ошибки, которые годами копятся в документах и на сайте
отсутствие Политики обработки ПДн либо формальный документ, не отражающий реальные процессы;
неразмещение Политики и сведений об операторе в открытом доступе;
сбор данных без корректного согласия или с «универсальными» формулировками;
несоответствие целей обработки фактическому использованию данных;
отсутствие уведомления Роскомнадзора о начале обработки ПДн, когда оно обязательно;
отсутствие организационных и технических мер защиты ПДн;
хранение данных дольше установленных сроков без законных оснований.
Предписание Роскомнадзора об устранении нарушений с конкретным перечнем требований и сроком их исполнения выносится по итогам проверки: плановой, внеплановой, выездной, документарной, онлайн-проверки сайта. Если вы согласны с ним, исправьте ошибки и отчитайтесь об этом в РКН вовремя.
Как написать ответ на предписание Роскомнадзора
Важно понимать ключевой момент: ответ направляется только после того, как все нарушения будут устранены. Формальный ответ без реальных действий почти гарантирует повторные меры контроля.
Алгоритм действий выглядит так.
Сначала внимательно изучите текст предписания. Определите, какие именно нормы нарушены, какие документы или процессы вызывают вопросы и в какой срок исполнения предписания Роскомнадзора вы обязаны уложиться. Этот срок обязателен к соблюдению, обычно он составляет 10–30 рабочих дней, точная дата указывается в самом документе.
Затем устраните нарушения. Это может включать разработку или переработку Политики обработки ПДн, форм согласий, приказов, положений, внедрение мер защиты, корректировку сайта, подачу уведомления в Роскомнадзор. Все изменения должны быть не только выполнены, но и зафиксированы документально.
После этого готовится ответ на предписание Роскомнадзора. В нем последовательно указывают:
реквизиты предписания;
перечень выявленных нарушений;
конкретные меры, которые вы приняли по каждому пункту;
ссылки на прилагаемые документы и материалы.
К отчету об исполнении предписания Роскомнадзора прикладывают доказательства, подтверждающие, что все нарушения устранены.
Получили предписание Роскомнадзора: что делать, если не согласны
Бывают ситуации, когда предписание вынесено ошибочно или с нарушением процедуры. В этом случае его можно и нужно оспаривать.
Досудебное обжалование
Это обязательный этап: без досудебного обжалования суд просто не примет дело к рассмотрению.
Пошагово процесс выглядит так:
Определите, чьи действия или решения вы обжалуете — территориального органа, его должностных лиц или центрального аппарата. От этого зависит адресат жалобы. В большинстве случаев жалоба подается руководителю РКН. Если нужно обжаловать действия руководителя — в Минцифры.
Подготовьте электронную жалобу и подайте ее через портал Госуслуг.
В тексте подробно опишите, почему вы считаете предписание незаконным: какие нормы нарушены, какие факты не учтены, каким образом затронуты ваши права.
Приложите документы, подтверждающие вашу позицию, и при необходимости ходатайство о приостановлении исполнения.
Подпишите жалобу электронной подписью.
На обжалование предписания отводится 10 рабочих дней с даты его получения. Пропуск срока без уважительной причины почти всегда означает отказ.
По итогам рассмотрения жалобы Роскомнадзор может оставить предписание в силе, отменить его полностью или частично либо признать действия должностных лиц незаконными. Ответ направляется в электронном виде.
Обжалование через суд
Теперь расскажем, можно ли обжаловать предписание Роскомнадзора, если досудебная жалоба не дала результата. Ответ прост: обжалование возможно, но для этого придется обращаться в суд.
Выбор суда зависит от характера спора. Если дело связано с предпринимательской деятельностью, заявление подается в арбитражный суд. Если спор не экономический — в суд общей юрисдикции. Срок обращения — три месяца с момента, когда вы узнали о нарушении своих прав.
В суде можно оспаривать как само предписание, так и действия или бездействие должностных лиц. Важно доказать не просто формальные ошибки, а то, что ваши права нарушены.
Что будет, если не выполнить предписание Роскомнадзора
Неисполнение предписания Роскомнадзора влечет отдельную административную ответственность.
Во-первых, вас оштрафуют за само нарушение законодательства о персональных данных по ст. 13.11 КоАП. Во-вторых, последует штраф за неисполнение предписания Роскомнадзора — по ч. 1 ст. 19.5 КоАП. Для юридических лиц размер штрафа может достигать 20 000 рублей.
Кроме штрафов, регулятор вправе назначить повторную проверку, и тогда риски возрастают кратно.
За что еще могут оштрафовать оператора
Как мы уже писали, помимо штрафа за неисполнение предписания РКН, оператора обязательно оштрафуют за само нарушение, в связи с которым оно было вынесено. Размеры штрафов установлены ст.13.11 КоАП:
Вид правонарушения
Максимальный штраф (рублей)
Незаконная обработка ПДн или обработка вне заявленных целей
300 000, повторно — до 500 000
Обработка ПДн без согласия, когда оно обязательно
700 000, повторно — до 1.5 млн
Отсутствие политики обработки ПДн в открытом доступе
60 000
Непредоставление субъекту информации об обработке
80 000
Нарушение требований локализации ПДн граждан РФ
6 млн
Несвоевременное уточнение, блокирование или уничтожение ПДн
90 000
Неподача уведомления в Роскомнадзор в соответствии со ст. 22 ФЗ №152-ФЗ
300 000
Как безопасно обрабатывать персональные данные: советы на будущее
Правильно организованная работа с персональными данными — это постоянный процесс. Закон оценивает не наличие «бумажек», а управляемость обработки ПДн: понятно ли, зачем данные собираются, кто за них отвечает и как бизнес контролирует риски. Мы подготовили практические советы, которые помогают снизить вероятность претензий и предписаний Роскомнадзора:
Обрабатывайте только те данные, которые действительно нужны. Принцип минимизации — базовый для ФЗ № 152-ФЗ. Если для оказания услуги достаточно имени и контакта, запрашивать паспортные данные или дату рождения не нужно. Избыточный сбор данных — частая причина предписаний, особенно при проверках сайтов и онлайн-сервисов.
Четко фиксируйте цели обработки и не выходите за их пределы. Цели должны быть конкретными, законными и понятными пользователю. Использование данных «на будущее» или для новых задач без обновления документов и согласий формально считается нарушением. Любое расширение целей требует пересмотра Политики и форм согласия.
Разделяйте согласия и не используйте универсальные формулировки. Согласие на рассылку, на обработку для исполнения договора и на передачу третьим лицам — это разные правовые основания. Чем подробнее и «уже» формулировка, тем ниже риски. Универсальные согласия «на все действия с персональными данными» сегодня почти гарантированно вызывают вопросы у Роскомнадзора.
Обновляйте документы синхронно с бизнес-процессами. Новый сайт, CRM, подрядчик по бухгалтерии или маркетингу автоматически меняют схему обработки ПДн. Если документы при этом остаются прежними, возникает разрыв между реальностью и бумагами. Именно такие расхождения чаще всего фиксируются в ходе проверок.
Обеспечьте реальную, а не формальную защиту персональных данных. Организационные и технические меры должны соответствовать объему и категориям данных. Ограничение доступов, пароли, разграничение прав, резервное копирование, инструкции для сотрудников — все это должно быть внедрено и описано документально.
Назначьте ответственного за организацию обработки ПДн. Он должен участвовать в запуске новых процессов, проверять подрядчиков и контролировать актуальность документов. Назначение «для галочки» не работает и не защищает компанию при проверке.
Контролируйте подрядчиков и передачу персональных данных. Если данные передаются третьим лицам, это должно быть отражено в документах и договорах. Проверьте, на каком основании подрядчик получает доступ к ПДн и какие меры защиты он применяет. Ответственность перед субъектом данных в любом случае остается на операторе.
Проводите внутренние самопроверки. Периодически проводите аудит: проверяйте сайт, документы, фактические процессы, журналы, приказы. Это позволит выявить нарушения заранее и устранить их без давления сроков и штрафов.
Безопасная обработка персональных данных — это выстроенная система, а не набор формальных документов. Четкие цели обработки, минимальный объем собираемых данных, актуальные регламенты и управляемые процессы позволяют заранее снижать регуляторные риски. В результате бизнес реже сталкивается с предписаниями Роскомнадзора об устранении нарушений и сохраняет контроль над процессами работы с ПДн.
