Обновлено: июнь 2025. Актуально для 152-ФЗ с учётом поправок 2023–2024 гг.
Если вам пришло письмо от Роскомнадзора — не паникуйте, но и не игнорируйте. У вас есть конкретный срок и конкретный порядок действий. Ошибка большинства владельцев сайтов — либо впасть в ступор и ничего не делать, либо начать хаотично что-то менять без понимания, чего именно хочет регулятор.
По данным открытых отчётов РКН, в 2023 году ведомство провело более 1 200 проверок операторов персональных данных. В 2024 году активность выросла — особенно в отношении малого бизнеса и владельцев сайтов с формами обратной связи. Штрафы за нарушение 152-ФЗ существенно выросли после поправок 2022–2024 годов.
Ниже — разбор от типа документа до шаблона ответного письма.
Ключевые понятия: что нужно знать до начала
152-ФЗ — это Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Он устанавливает правила сбора, хранения и обработки любой информации, по которой можно идентифицировать конкретного человека: имя, телефон, email, адрес, IP-адрес в сочетании с другими данными. Закон обязателен для всех, кто работает с данными граждан России, — от крупных корпораций до ИП с сайтом-визиткой.
Оператор персональных данных (оператор ПДн) — любое лицо (организация, ИП или физическое лицо), которое самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. Проще говоря: если у вас на сайте есть форма с полями «Имя», «Телефон» или «Email» — вы уже оператор ПДн. Это касается интернет-магазинов, блогеров, фрилансеров, медицинских клиник, кофеен с формой записи — всех без исключения.
Роскомнадзор (РКН) — федеральный орган исполнительной власти, который осуществляет надзор за соблюдением 152-ФЗ. Именно РКН проводит проверки, выносит предписания и привлекает к административной ответственности за нарушения в сфере персональных данных.
Персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Имя и фамилия, номер телефона, email-адрес, дата рождения — всё это персональные данные.
Виды требований от Роскомнадзора: в чём разница
Первое, что нужно сделать, — понять, что именно вам прислали. Это не одно и то же.
Информационный запрос
РКН запрашивает сведения о вашей деятельности как оператора персональных данных. Срочности нет, но ответить всё равно нужно — в течение 30 дней. Игнорирование запроса само по себе может стать основанием для внеплановой проверки.
Уведомление о нарушении
РКН зафиксировал конкретное нарушение и уведомляет вас об этом. Есть срок устранения — как правило, 10–30 дней. Это ещё не штраф, но следующий шаг при бездействии — составление протокола.
Предписание об устранении нарушения
Административный документ с обязательной силой. Подписывается руководителем территориального органа РКН или его заместителем. Срок исполнения указан в самом предписании. Неисполнение предписания образует состав административного правонарушения по ст. 19.5 КоАП РФ.
Протокол об административном правонарушении
Это уже не предупреждение. Протокол означает, что РКН возбудил дело об административном правонарушении. Дальше дело рассматривается либо должностным лицом РКН (по составам, отнесённым к его компетенции), либо передаётся в суд. Здесь без юриста обходиться крайне нежелательно.
Таблица: типы документов от РКН
| Тип документа | Кто подписывает | Срок ответа | Последствия игнорирования |
|---|---|---|---|
| Информационный запрос | Инспектор / отдел | 30 дней | Внеплановая проверка |
| Уведомление о нарушении | Начальник отдела | 10–30 дней (указано в документе) | Предписание или протокол |
| Предписание | Руководитель органа РКН | Указан в документе | Протокол по ст. 19.5 КоАП + штраф |
| Протокол об АП | Уполномоченное лицо | — | Рассмотрение дела и вынесение постановления о штрафе |
Как убедиться, что письмо действительно от Роскомнадзора
Это важный шаг, который многие пропускают. В 2024–2025 годах участились рассылки от мошенников, которые представляются РКН и требуют срочно оплатить «штраф» или перейти по ссылке.
Признаки официального письма
Официальные требования РКН направляются:
- заказным почтовым отправлением с уведомлением о вручении (для юрлиц — на юридический адрес);
- через ЕПГУ (портал Госуслуг), если вы зарегистрированы там как юридическое лицо или ИП с подтверждённой учётной записью;
- по email — только с домена @rkn.gov.ru или домена территориального управления (например, @077.rkn.gov.ru для Москвы; актуальный перечень доменов уточняйте на rkn.gov.ru).
На официальном документе обязательно есть:
- исходящий номер и дата;
- ссылка на конкретную статью закона;
- подпись должностного лица с расшифровкой;
- печать территориального органа РКН.
Признаки мошенничества
Насторожитесь, если:
- письмо пришло с Gmail, Yandex или любого домена, не связанного с rkn.gov.ru;
- вас просят срочно оплатить штраф по реквизитам из письма;
- есть ссылка для «срочной проверки сайта» или «регистрации во избежание блокировки»;
- в тексте опечатки, нет исходящего номера, нет конкретной статьи закона.
Важно: подлинность документа можно проверить, позвонив в территориальный орган РКН напрямую. Телефоны — на сайте rkn.gov.ru в разделе «Территориальные органы». Не используйте контакты из самого письма.
Что делать после получения требования РКН: 7 шагов
Шаг 1. Зафиксируйте дату получения
От неё считается срок. Если письмо пришло по почте — дата на уведомлении о вручении. Если по email — дата входящего сообщения. Сделайте скриншот с временной меткой, распечатайте и подпишите.
При предписании срок начинает течь с момента вручения. Если вы намеренно уклоняетесь от получения заказного письма — это не останавливает течение срока: по общему правилу уведомление считается доставленным, даже если адресат уклонился от его получения.
Шаг 2. Определите тип требования и суть нарушения
Прочитайте документ полностью. Выпишите:
- какая статья нарушена (применительно к персональным данным — как правило, составы ст. 13.11 КоАП РФ);
- что конкретно нужно сделать;
- в какой срок.
Если формулировка размытая — это повод уточнить в РКН письменно.
Шаг 3. Проверьте, являетесь ли вы оператором персональных данных
Если ваш сайт собирает хотя бы email-адреса через форму подписки — вы оператор персональных данных в смысле 152-ФЗ. Это касается любых данных, по которым можно идентифицировать человека: имя, телефон, адрес.
ИП, фрилансеры, блогеры с формой обратной связи — все они операторы ПДн. Исключений по масштабу деятельности для малого бизнеса в 152-ФЗ нет; исключения предусмотрены только по специальным основаниям, перечисленным в ч. 2 ст. 1 152-ФЗ.
Шаг 4. Оцените, есть ли нарушение на самом деле
Иногда требования основаны на устаревших данных проверки или технической ошибке. Например, РКН мог зафиксировать отсутствие политики конфиденциальности в момент проверки, а к тому времени она уже была добавлена.
Если нарушения нет — подтвердите документально: скриншоты с датой, архивная копия страницы через web.archive.org, выгрузка из CMS с датой изменения.
Шаг 5. Устраните нарушение
Это ключевой шаг. Подробнее — в блоке про типичные нарушения ниже. Главное правило: каждое исправление фиксируйте. Скриншоты страниц с видимой датой в браузере, нотариально удостоверенный протокол осмотра сайта (для серьёзных случаев), выгрузка из системы управления сайтом.
Шаг 6. Подготовьте ответное письмо
Письмо должно содержать:
- ссылку на исходящий номер требования РКН;
- перечень принятых мер с датами;
- приложения — доказательства устранения.
Шаблон — в отдельном блоке ниже.
Шаг 7. Направьте ответ правильным способом и сохраните подтверждение
Способы направления:
- заказным письмом с описью вложения и уведомлением о вручении (наиболее надёжный способ);
- через ЕПГУ при наличии подтверждённой учётной записи юридического лица или ИП;
- по email на официальный адрес территориального органа — только если это явно допускается в самом требовании.
Квитанцию об отправке и уведомление о вручении храните не менее 3 лет.
Сроки ответа на требование Роскомнадзора
| Тип требования | Срок ответа | Срок устранения | Основание |
|---|---|---|---|
| Информационный запрос | 30 дней | — | 152-ФЗ, ст. 23 |
| Уведомление о нарушении | Указан в документе | Указан в документе | Определяется индивидуально |
| Предписание | — | Указан в документе | Неисполнение — ст. 19.5 КоАП РФ |
| Протокол об АП | — | — | КоАП РФ, гл. 28–29 |
Можно ли продлить срок? Да — если направить мотивированное ходатайство о продлении до истечения срока. РКН может удовлетворить его при наличии объективных причин. Решение остаётся за РКН.
Момент получения при заказном письме — дата, указанная на уведомлении о вручении. Срок хранения заказного письма на почте составляет 30 дней, после чего оно возвращается отправителю.
За что чаще всего приходят требования РКН: топ нарушений
Нет политики конфиденциальности на сайте
Самое распространённое нарушение. По ч. 3 ст. 13.11 КоАП РФ штраф для юридических лиц — от 30 000 до 60 000 рублей.
Что сделать: разработать и опубликовать политику конфиденциальности на отдельной странице, добавить ссылку на неё в подвал сайта и рядом с каждой формой сбора данных.
Политика должна содержать: цели обработки данных, перечень обрабатываемых данных, правовые основания обработки, сроки хранения, права субъектов ПДн, контакты ответственного лица.
Не подано уведомление об операторе ПДн в реестр РКН
Ч. 1 ст. 22 152-ФЗ обязывает большинство операторов уведомить РКН до начала обработки персональных данных. Реестр операторов ПДн — pd.rkn.gov.ru. Подача уведомления бесплатна.
Исключения из обязанности уведомления перечислены в ч. 2 ст. 22 152-ФЗ. Если сомневаетесь — подайте уведомление: это безопаснее.
Нет согласия на обработку персональных данных
При каждом сборе данных (форма регистрации, подписка, заявка) пользователь должен дать явное согласие в соответствии с ч. 1 ст. 9 152-ФЗ. Согласие должно быть конкретным и информированным: чекбокс не должен быть предварительно проставлен, текст должен раскрывать, на какую именно обработку даётся согласие.
Нет информации об ответственном за обработку ПДн
По п. 1 ч. 1 ст. 18.1 152-ФЗ оператор обязан назначить ответственное лицо и опубликовать его контактные данные. Достаточно адреса электронной почты или формы обратной связи.
Хранение данных граждан РФ за рубежом
С 1 сентября 2015 года ст. 18.1 и ст. 22.1 152-ФЗ требуют, чтобы при сборе данных граждан РФ их запись, систематизация, накопление, хранение, уточнение и извлечение осуществлялись с использованием баз данных на территории России. Если вы используете зарубежные CRM, email-сервисы или облачные хранилища без российского сегмента — это может быть квалифицировано как нарушение. Решение: переход на российский хостинг для первичных баз данных.
Cookies без уведомления пользователя
Использование аналитических и рекламных cookies без информирования пользователя и получения его согласия может быть квалифицировано как обработка персональных данных без согласия субъекта. На сайте должен быть баннер с информацией о cookies и возможностью отказа от нефункциональных cookies.
Штрафы Роскомнадзора в 2025 году
Поправки 2022–2024 годов существенно увеличили санкции. Суммы изменились по сравнению с тем, что написано в большинстве старых статей.
| Нарушение | Для физлиц | Для ИП | Для юрлиц |
|---|---|---|---|
| Обработка ПДн без согласия (ч. 2 ст. 13.11 КоАП) | 10 000–20 000 р. | 20 000–40 000 р. | 30 000–150 000 р. |
| Нет политики конфиденциальности (ч. 3 ст. 13.11 КоАП) | 3 000–6 000 р. | 10 000–20 000 р. | 30 000–60 000 р. |
| Нарушение локализации данных (ч. 9 ст. 13.11 КоАП) | — | — | до 6 000 000 р. |
| Утечка ПДн (ч. 5.1 ст. 13.11 КоАП, введена в 2024 г.) | — | — | до 500 000 р. (за первичное; за повторное — оборотный штраф) |
| Повторное нарушение | удвоение | удвоение | до 300 000 р. и выше |
Санкции по конкретным частям ст. 13.11 КоАП РФ уточняйте в актуальной редакции на consultant.ru — законодательство меняется.
Об оборотных штрафах: Федеральным законом от 30.11.2024 № 420-ФЗ введены оборотные штрафы за утечки персональных данных. Конкретные размеры санкций за повторные нарушения уточняйте в актуальной редакции КоАП РФ.
Как смягчить наказание
- Добровольное устранение нарушения до составления протокола — суд учитывает как смягчающее обстоятельство (п. 7 ч. 1 ст. 4.2 КоАП РФ).
- Первичное нарушение без умысла — основание ходатайствовать о замене штрафа предупреждением (ст. 4.1.1 КоАП РФ для субъектов МСП при соблюдении ряда условий).
- Активное содействие проверяющим.
Можно ли оспорить штраф
Да. Постановление обжалуется в суде или вышестоящему должностному лицу в течение 10 суток со дня вручения копии постановления (ст. 30.3 КоАП РФ). Основания: нарушение процедуры, истечение срока давности (для большинства составов ст. 13.11 КоАП РФ — 1 год), ошибка в квалификации нарушения.
Образец ответа на требование Роскомнадзора
Это рабочий шаблон. Адаптируйте под свою ситуацию — не отправляйте без изменений.
В Управление Роскомнадзора по [название региона / федеральный округ]
Адрес: [из шапки полученного требования]
От: [полное наименование организации / ФИО для ИП или физлица]
ИНН: [...]
ОГРН / ОГРНИП: [...]
Адрес: [юридический / почтовый]
Email: [...]
Тел.: [...]
ОТВЕТ
на требование (предписание / уведомление) N ___ от "___" _______ 20__ г.
Уважаемый [должность, ФИО подписанта из требования]!
В ответ на Ваше требование N ___ от "___" _______ 20__ г.
сообщаем следующее.
1. Нарушение, указанное в требовании ([кратко суть]), нами
устранено "___" _______ 20__ г.
2. Принятые меры:
- [конкретное действие 1, дата]
- [конкретное действие 2, дата]
- [конкретное действие 3, дата]
3. В подтверждение устранения нарушения прилагаем:
- Приложение 1: скриншот страницы [URL] с политикой
конфиденциальности (дата: ___)
- Приложение 2: копия уведомления оператора ПДн
(регистрационный номер в реестре: ___)
- Приложение 3: [иное]
Дата: "___" _______ 20__ г.
[Должность] _____________ / [ФИО] /
Важно при отправке:
- Заказное письмо с описью вложения и уведомлением о вручении.
- Сохраните квитанцию и уведомление о вручении.
- Если отправляете по email — запросите подтверждение получения.
Ошибки, которые усугубляют ситуацию
Игнорирование. Самая распространённая и самая дорогая ошибка. Регулятор воспринимает молчание как пренебрежение. За уведомлением следует предписание, за предписанием — протокол, за протоколом — постановление о штрафе. Цепочка запускается последовательно.
Ответ без доказательств. Написать «мы всё исправили» недостаточно. Нужны скриншоты с датой, копии документов, ссылки на страницы. Голословное утверждение об устранении нарушения РКН не примет.
Неправильный способ отправки. Ответ по обычному email без подтверждения получения — риск. РКН может не зафиксировать ответ, и формально срок будет нарушен.
Исправление без фиксации. Вы добавили политику конфиденциальности ещё до получения требования, но нет доказательств даты? Используйте web.archive.org для ретроспективной фиксации или нотариально удостоверенный протокол осмотра сайта.
Ответ не в тот орган. Ответ нужно направлять именно в то управление, которое прислало требование, — не в федеральный РКН в Москве, если требование пришло из регионального офиса.
Попытки «договориться» неофициально. Любые договорённости вне официальной переписки не имеют правовой силы и могут создать дополнительные риски.
Итог: главное о требованиях РКН
Чек-лист при получении письма от Роскомнадзора:
- Проверить подлинность документа (домен отправителя, наличие исходящего номера, печати)
- Зафиксировать дату получения
- Определить тип документа и срок ответа
- Прочитать и выписать конкретное нарушение
- Устранить нарушение и задокументировать каждое действие
- Составить ответное письмо с приложениями
- Направить заказным письмом с описью вложения и уведомлением о вручении
- Сохранить квитанцию и копию письма
Главный вывод: любое требование Роскомнадзора требует письменного ответа с доказательствами устранения нарушения. Молчание — худшее из возможных решений: каждый проигнорированный документ автоматически переводит ситуацию на следующий, более жёсткий уровень. Устраните нарушение, задокументируйте, ответьте заказным письмом — и сохраните все квитанции.
Часто задаваемые вопросы
Нужно ли отвечать на каждое письмо от РКН?
Если это предписание или уведомление о нарушении — да, обязательно и в срок. Информационный запрос — тоже нужно ответить: прямой административной ответственности именно за молчание на запрос закон не устанавливает, однако игнорирование любого обращения РКН ухудшает вашу позицию при последующих проверках.
Что будет, если не уложиться в срок по предписанию?
Составляется протокол об административном правонарушении по ст. 19.5 КоАП РФ (неисполнение предписания). Штраф для юридических лиц — от 10 000 до 20 000 рублей, для должностных лиц — от 1 000 до 2 000 рублей (уточняйте в актуальной редакции ст. 19.5 КоАП РФ). При этом нарушение по существу никуда не девается и его всё равно придётся устранять.
Я веду блог и собираю email-адреса через форму — я оператор ПДн?
Да. С момента первого сбора любых персональных данных вы становитесь оператором в смысле 152-ФЗ. Обязанности возникают независимо от масштаба деятельности, если только ваша ситуация не подпадает под исключения ч. 2 ст. 1 152-ФЗ.
Можно ли обжаловать предписание РКН?
Да. Предписание обжалуется в суде или вышестоящему должностному лицу РКН. Срок — 3 месяца со дня, когда стало известно о нарушении прав (ст. 198 АПК РФ для организаций и ИП; ст. 219 КАС РФ для физических лиц). При этом обжалование по общему правилу не приостанавливает обязанность исполнить предписание — нарушение нужно устранять параллельно с подачей жалобы.
Если нарушение уже устранено, но протокол всё равно составили — можно ли избежать штрафа?
Добровольное устранение нарушения до составления протокола — существенное смягчающее обстоятельство. Суды нередко заменяют штраф предупреждением для субъектов малого и среднего предпринимательства при первичном нарушении в соответствии со ст. 4.1.1 КоАП РФ. Главное — иметь документальные доказательства даты устранения.
Не уверены, всё ли в порядке с вашим сайтом? Проверьте его бесплатно на соответствие требованиям 152-ФЗ — сервис покажет, каких документов не хватает и что нужно исправить до прихода следующего письма от РКН.
→ Бесплатно проверить сайт на ЧистыйСайт
Читайте также: