Административное расследование Роскомнадзора: порядок и особенности процедуры

Рассмотрим, что представляет собой процедура административного расследования (ч. 1 ст. 28.7 КоАП РФ) и какие риски она несет для юридических лиц и индивидуальных предпринимателей.
Содержание:
1
Введение
2
Что такое административное расследование в области персональных данных?
3
Основания для проведения административного расследования Роскомнадзором
4
Составы правонарушений для административного расследования
5
Стадии административного расследования в области персональных данных
6
Сроки и место проведения административного расследования
7
Ответственность за непредоставление сведений в ходе административного расследования
8
Рассмотрение материалов в суде
9
Ключевые особенности института административного расследования
10
Основные проблемы для операторов при расследовании
11
Рекомендации для организаций
12
Заключение

Введение

При действующем моратории на плановые проверки до 2030 года риски проведения внеплановых проверок Роскомнадзора для операторов персональных данных не исчезли. Помимо внеплановых проверок, Роскомнадзор имеет право проводить административные расследования (ч.1 ст. 28.7 КоАП РФ). Рассмотрим подробнее, что представляет собой эта процедура и какие риски она несет для юридических лиц и индивидуальных предпринимателей.

Что такое административное расследование в области персональных данных?

Административное расследование представляет собой комплекс процессуальных действий, которые направлены на выяснение всех обстоятельств выявленного административного правонарушения, их фиксирование, юридическую квалификацию и процессуальное оформление (п. 3 Постановления Пленума Верховного Суда РФ от 24.03.2005 № 5).

Административное расследование проводится согласно КоАП РФ, при этом законы, регулирующие внеплановые проверки, не применяются к данной процедуре. Административное расследование отличается от внеплановых проверок процедурой вынесения определения должностным лицом, сроками проведения, продления и применяемыми санкциями за невыполнение требований Роскомнадзора.

Основное отличие заключается в необходимости проведения экспертиз, сложных исследований или иных процессуальных действий.

Основания для проведения административного расследования Роскомнадзором

Роскомнадзор может инициировать административное расследование на основании следующих источников информации:

  • самостоятельно выявленные нарушения в ходе мониторинга;

  • информация от физических лиц (жалобы субъектов персональных данных);

  • сообщения от юридических лиц и СМИ;

  • межведомственный обмен информацией;

  • обязательное уведомление от оператора о произошедшей «утечке» (ч. 3.1 ст. 21 152-ФЗ).

В связи с поступившей информацией инспектор Роскомнадзора выносит определение о возбуждении дела об административном правонарушении (ч. 3.5 ст. 28.1 КоАП РФ), одновременно с которым может быть вынесено определение о проведении административного расследования и истребовании данных.

По окончании расследования составляется протокол об административном правонарушении с привлечением к административной ответственности или дело прекращается при отсутствии нарушения.

Составы правонарушений для административного расследования

Административные правонарушения в области персональных данных, по которым может быть проведено административное расследование Роскомнадзором - основные составы по статье 13.11 КоАП РФ:

  1. Обработка персональных данных без законных оснований либо нецелевая обработка (ч. 1, ч. 1.1 ст.13.11 КоАП РФ).

  2. Обработка персональных данных без письменного согласия, когда оно обязательно (ч. 2, ч. 2.1 ст. 13.11 КоАП РФ).

  3. Неправомерная передача персональных данных:

  • ч. 1 ст. 13.11 КоАП РФ - до одной тысячи субъектов персональных данных и до десяти тысяч идентификаторов;

  • ч. 12 ст. 13.11 КоАП РФ - от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов;

  • ч. 13 ст. 13.11 КоАП РФ - от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов;

  • ч. 14 ст. 13.11 КоАП РФ - более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов;

  • ч. 15 ст. 13.11 КоАП РФ повторное правонарушение по ч.12-15 ст.13.11 КоАП РФ.

  1. Неправомерная передача специальных или биометрических персональных данных (ч. 16 - 18 ст. 13.11 КоАП РФ).

Стадии административного расследования в области персональных данных

Процедура административного расследования включает в себя несколько последовательных этапов.

1. Возбуждение дела

Возбуждение дела об административном правонарушении и принятие решения о проведении административного расследования уполномоченным должностным лицом Роскомнадзора.

2. Сбор доказательств  

Проведение процессуальных действий, направленных на сбор и фиксацию доказательств нарушения требований законодательства о персональных данных.

Определение об истребовании сведенийСодержание Определения об истребовании сведений

3. Составление протокола

Составление должностным лицом Роскомнадзора протокола об административном правонарушении при установлении вины или вынесение постановления о прекращении производства по делу.

Уведомление о составлении протокола об административном правонарушении

Сроки и место проведения административного расследования

Принятие решения

Решение о возбуждении дела об административном правонарушении и проведении административного расследования принимается уполномоченным должностным лицом Роскомнадзора в виде определения немедленно (ч. 2 ст. 28.7 КоАП РФ) после выявления факта совершения административного правонарушения.

Уведомление оператора

Копия определения о возбуждении дела и проведении административного расследования в течение суток вручается под расписку законному представителю юридического лица (генеральному директору или представителю по доверенности) либо высылается по юридическому адресу оператора.

Место проведения

Административное расследование Роскомнадзор проводит по месту совершения или выявления административного правонарушения.

Сроки расследования

  • Основной срок: 1 месяц с момента возбуждения дела об административном правонарушении.

  • Продление: в исключительных случаях по письменному ходатайству должностного лица Роскомнадзора + 1 месяц.

Ответственность за непредоставление сведений в ходе административного расследования

Непредоставление истребуемой информации в течение 3 календарных дней с момента получения определения влечет ответственность по ст. 17.7 КоАП РФ.  ((прим.: «…если иное не установлено в КоАП РФ, сроки, предусмотренные в данном Кодексе и исчисляемые днями, включают как рабочие, так и нерабочие дни, то есть исчисляются в календарных днях» - Определение СК по экономическим спорам Верховного Суда РФ от 28 марта 2018 г. № 305-АД17-18495)  (ч.1 ст. 26.10 КоАП РФ)

Санкции по статье 17.7 КоАП РФ:

  • Дисквалификация директора на срок от 6 месяцев до 1 года.

  • Приостановление деятельности юридического лица на срок до 90 суток.

  • Штраф от 50 000 до 100 000 рублей.

Рассмотрение материалов в суде

Подсудность дел по административным расследованиям

С 1 января 2026 года дела об административных правонарушениях по ст. 13.11 КоАП РФ, производство по которым осуществляется в форме административного расследования, рассматриваются в районном суде по месту нахождения территориального органа Роскомнадзора, проводившего расследование (абз. 2 ч. 3 ст. 21.1 КоАП РФ; ч. 2 ст. 29.5 КоАП РФ).

Важно: Если должностное лицо Роскомнадзора возбудило административное расследование по одной части ст. 13.11 КоАП РФ, а обнаружило доказательства нарушения по другой части, то возможна переквалификация на часть, доказательства нарушения которой обнаружены.

При переквалификации дело рассматривается мировым судьей (абз. 6 ч. 3 ст. 23.1 КоАП РФ).

Прим.: С 1 июня 2025 г. по 31 декабря 2025 г. дела рассматривались арбитражными судами.

Процессуальные сроки и обжалование протокола

  • Передача материалов в суд: в течение 3-х суток после составления протокола об административном правонарушении (ч. 1 ст. 28.8 КоАП РФ).

  • Обжалование протокола: протокол не подлежит обжалованию, поскольку является процессуальным документом, фиксирующим факт правонарушения.

Особенности судебного представительства

Согласно ч.5 ст.25.5. КоАП РФ представителем по делу об административном правонарушении может быть адвокат или иное лицо (например, директор организации, работник по доверенности, привеченный консультант). Высшее юридическое образование не требуется.

Ключевые особенности института административного расследования

Процессуальные особенности

  • Установление обстоятельств правонарушения и выявление виновных лиц.

  • Проводится независимо от наличия моратория на плановые проверки.

  • Проводится без предварительного уведомления оператора.

  • Не требует согласования с органами прокуратуры.

Временные рамки

  • Сроки проведения: в течение 1 календарного месяца с возможностью продления еще на 1 месяц.

  • Сроки истребования информации: в течение 3-х календарных дней.

Правовые последствия

  • Определение о расследовании (возможность обжалования не урегулирована КоАП РФ) с последующим составлением протокола об административном правонарушении.

  • Риск дисквалификации руководителя организации или приостановления деятельности при несоблюдении сроков предоставления информации.

Основные проблемы для операторов при расследовании

  • Критически сжатые сроки для подготовки ответа и высокая ответственность за предоставление недостоверной информации или отсутствие ответа.

  • Риск предоставить при расследовании доказательства совершения иных правонарушений в области ПДн.

  • Отсутствие учёта своих баз данных в сторонних ИСПД.

  • Отсутствие содействия со стороны подрядчиков при расследовании инцидента.

  • Сжатые сроки для уведомления и подготовки стратегии.

  • Высокие трудозатраты на сопровождение расследования и юридическое сопровождение судебных дел.

  • Трудоемкость анализа «утекшего» файла, предоставленного НКЦКИ, выявление субъектов ПДн и относимых к ним идентификаторов.

Рекомендации для организаций

Основные рекомендации

  1. Провести аудит правомерности обработки ПДн с использованием информационных систем, включая выявление всех баз данных компании.

  2. Иметь реестр процессов обработки, сопоставленный с перечнем ПДн в ИСПДн и базах данных.

  3. Иметь регламент реагирования на утечки ПДн.

  4. Пройти обучение Лукаш и Партнёры по административным расследованиям.

Рекомендации по информационной безопасности, которые помогут в большинстве случаев

  1. Необходимо пересмотреть договоры с обработчиками. Высокая ответственность – профилактика. Если вы обработчик, то не следует брать лишнюю ответственность. Должно быть минимум два шаблона и два процесса: для контрагентов-операторов и контрагентов-обработчиков.

  2. Внедрить строгой парольной политики и многофакторной аутентификации (MFA) как при доступе к сторонним сервисам, так и при предоставлении доступа к собственным информационным ресурсам.

  3. Необходима регулярная «очистка» баз данных и хранение лишь актуального минимума исторических сведений для снижения риска «утечек».

  4. Рекомендуем отключить неиспользуемые API и неиспользуемые сервисы.

Заключение

Административное расследование Роскомнадзора не является новым институтом с точки зрения административного процессуального законодательства, однако Роскомнадзор получил полномочия по его проведению только с 30 мая 2025 года.

Чтобы минимизировать риски и возможные последствия, рекомендуем:

  • проводить регулярный внутренний контроль/ аудит соответствия обработки персональных данных;

  • привлекать консультантов с опытом для помощи во взаимодействии с Роскомнадзором на ранних стадиях (с момента выявления правонарушения, что позволит подготовить более крепкую позицию защиты).

Обсудим вашу задачу без лишних формальностей

Расскажем, как мы можем помочь именно в вашей ситуации — от разовой консультации до полного сопровождения
Оставить заявку
Не готовы обратиться сейчас?