Что такое 152-ФЗ?

Федеральный закон №152 «О персональных данных» регулирует сбор, хранение и обработку персональных данных граждан РФ. Любой, кто собирает email, телефоны, ФИО через формы — является оператором персональных данных и обязан соблюдать закон.

Почему Google Forms — это нарушение?

Google Forms хранит данные на серверах за пределами РФ. По ст. 18 152-ФЗ, оператор обязан обеспечить хранение ПДн граждан РФ на территории России. Использование Google Forms для сбора ПДн — прямое нарушение с штрафом до 6 млн ₽.

Как быстро работает проверка?

Экспресс-проверка занимает 20–60 секунд. Мы анализируем все публикации, ссылки, виджеты, формы, куки, сертификаты и политику конфиденциальности.

Что входит в отчёт?

Полный отчёт включает список нарушений со ссылками на конкретные посты/страницы, статьи ФЗ-152, уровни риска, рекомендации по устранению. Формат — PDF или DOCX.

Безопасно ли давать ссылку на группу или сайт?

Абсолютно безопасно. Мы анализируем только публичную информацию. Не запрашиваем доступ администратора, не сохраняем данные участников.

Как РКН проверяет VK-группы и сайты в 2026: автоматический мониторинг, жалобы и внеплановые проверки

Name: PDN Guard — аудит на соответствие ФЗ-152
Brand: PDN Guard
Availability: InStock

Мораторий до 2030 года, автоматизированный бот РКН, внеплановые проверки по жалобам и предписания — что осталось из проверок Роскомнадзора и как готовиться школам, секциям и НКО.

Директор школы из районного центра в Карелии написал нам в чат сервиса: «Слышал, что в 2026 году плановые проверки отменили — значит, можно расслабиться по 152-ФЗ?» Расслабиться нельзя. Плановых выездных проверок для малого бизнеса действительно почти не осталось — но автоматизированный бот Роскомнадзора молча сканирует сайты круглосуточно, а жалоба родителя через сайт РКН запускает внеплановую проверку за один-два рабочих дня. Разбираемся, как реально работают проверки РКН в 2026 году и что должна успеть подготовить школа, секция, детский центр или НКО.

Мораторий на плановые проверки — действует до 2030 года

Постановлением Правительства РФ от 10.03.2023 № 372 действие моратория на плановые проверки субъектов малого и среднего предпринимательства продлено до 2030 года. Большинство школ, спортивных секций, детских центров и НКО подпадают под этот мораторий — плановых выездных проверок Роскомнадзора у них в 2026 году не будет.

Из-под моратория выведены организации высокого риска по Постановлению Правительства РФ от 29.06.2021 № 1046 (Положение о федеральном государственном контроле за обработкой ПДн). Категория риска присваивается по двум показателям: тяжести возможных последствий нарушения (обработка специальных категорий ПДн или биометрии, базы более 100 000 субъектов, трансграничная передача в страны без адекватной защиты) и вероятности нарушения (история привлечения по ст. 13.11 КоАП повышает её). Большинство школ, секций, детских центров и НКО в высокий риск не попадают.

Если ваша организация не попадает в этот узкий перечень — выездная плановая проверка вам не грозит. Но это не значит, что инспектор не найдёт нарушение другим способом.

Что осталось работать — три канала контроля

Отмена плановых проверок не отменяет контроль. По 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» от 31.07.2020 у Роскомнадзора есть несколько контрольных инструментов, которые продолжают применяться:

Автоматизированный дистанционный мониторинг. Робот РКН круглосуточно сканирует сайты на наличие политики обработки ПДн, баннера согласия, формы заявок без чекбокса.
Внеплановые проверки по обращениям субъектов. Любая жалоба родителя через приёмную rkn.gov.ru — формальное основание для внеплановой проверки.
Профилактические визиты и предостережения. Инспектор может выдать предостережение без штрафа, если нарушение незначительное и совершено впервые.

Автоматизированный бот РКН — самый частый «инспектор»

Самый массовый канал контроля сегодня — это даже не инспектор, а программа. РКН использует автоматизированную систему мониторинга, которая обходит сайты и фиксирует типовые нарушения. Что ищет бот:

отсутствие ссылки на политику обработки ПДн в футере или в формах сбора;
отсутствие чекбокса согласия рядом с полями ввода ФИО, телефона, email;
наличие на сайте Google Analytics, Mailchimp, Typeform — индикаторы трансграничной передачи без уведомления;
отсутствие cookie-баннера при наличии аналитики;
отсутствие записи об организации в реестре операторов на pd.rkn.gov.ru.

Если робот находит признаки нарушения — карточка с скриншотом и описанием уходит инспектору для ручной проверки. На этом этапе оператору обычно направляется предписание устранить нарушение или предостережение. Полный комплект штрафов по этим составам — в справочнике штрафов 2026 года.

Жалоба родителя — главный триггер для внеплановой проверки

Любой человек может подать жалобу на оператора через приёмную Роскомнадзора на rkn.gov.ru. Поводы из реальной практики 2025–2026 годов в нашем сегменте: фото ребёнка опубликовано без согласия родителей; родителю отказались выдать копию его согласия на обработку ПДн; списки участников турнира выложены с ФИО без обезличивания; в группе ВКонтакте опубликована медицинская справка ребёнка.

Сама обязанность оператора ответить заявителю — ст. 20 и ст. 21 ФЗ-152: 10 рабочих дней с момента получения обращения, с возможностью продления ещё на 5 рабочих дней с мотивированным уведомлением. РКН рассматривает обращение по общему правилу Федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» — 30 календарных дней.

Если обращение содержит признаки нарушения, РКН по согласованию с прокуратурой возбуждает внеплановую проверку. По ст. 66 Федерального закона от 31.07.2020 № 248-ФЗ внеплановая проверка проводится после согласования с органами прокуратуры (за исключением случаев непосредственной угрозы причинения вреда). Уведомление о её начале направляется не позднее чем за 24 часа до начала.

Что готовить заранее — комплект «5 минут до инспектора»

Если получили уведомление о внеплановой проверке, инспектор в требовании об истребовании документов укажет конкретный срок (по ч. 1 ст. 80 ФЗ-248 — не менее одного рабочего дня; на практике обычно 5–10 рабочих дней). К этому моменту у вас должен быть готов пакет:

Свидетельство о регистрации в реестре операторов ПДн (регистрационный номер).
Действующая политика обработки ПДн.
Приказ о назначении лица, ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152).
Подписанные согласия субъектов на обработку (для несовершеннолетних — от законных представителей по ст. 9 ФЗ-152 + ст. 64 СК РФ).
Журнал учёта обращений и согласий, журнал инструктажа сотрудников.
Документы, подтверждающие меры безопасности (приказ об организационных мерах, договор с подрядчиком на хостинг и т.п.).

Подготовить это «холодным» нельзя — в момент проверки уже поздно. Раз в полгода стоит проверять актуальность документов и хранить их в одной папке (физической или электронной), чтобы можно было распечатать за час.

Топ-7 нарушений, которые ловит инспектор у школ, секций и НКО

По нашим консультациям с организациями нашего сегмента в 2024–2026 годах, вот семь самых частых поводов для предписаний:

1. Нет ссылки на политику обработки ПДн в описании группы или на сайте. Самое автоматизируемое нарушение, бот РКН ловит за минуты. Квалификация — ч. 3 ст. 13.11 КоАП, для юрлица 30 000 – 60 000 ₽.

2. Форма заявки без чекбокса согласия и без ссылки на политику. Технически это сбор ПДн без согласия — ч. 2 ст. 13.11 КоАП, для юрлица 300 000 – 700 000 ₽. Кнопка «Отправить» сама по себе согласием не является.

3. Фото детей без подписанных согласий родителей. Каждое опубликованное фото — отдельный эпизод по ч. 2 ст. 13.11. Для несовершеннолетних согласие даёт законный представитель (ст. 9 ФЗ-152 + ст. 64 СК РФ). Электронная галочка не подходит — нужна письменная форма: бумажный документ с подписью либо электронный, подписанный УКЭП (ч. 4 ст. 9 ФЗ-152).

4. Списки участников соревнований с ФИО и возрастом. Если список опубликован без согласия каждого участника (или его законного представителя для детей), это раскрытие ПДн неопределённому кругу лиц. Квалификация — ч. 2 ст. 13.11 КоАП.

5. Сбор заявок через Google Forms или Typeform. Иностранные сервисы нарушают требование локализации (ч. 5 ст. 18 ФЗ-152): первичная запись и хранение баз ПДн граждан РФ должны вестись в России. С 1 июля 2025 года норма ужесточена Федеральным законом от 28.02.2025 № 23-ФЗ. Штраф по ч. 8 ст. 13.11 КоАП — для юрлица 1 000 000 – 6 000 000 ₽.

6. Передача данных подрядчикам без договора поручения. Если бухгалтерию ведёт сторонний бухгалтер или CRM поддерживает агентство — без договора поручения обработки (ч. 3 ст. 6 ФЗ-152) это считается передачей ПДн третьему лицу без основания.

7. Не назначен ответственный за обработку ПДн. У юрлица — обязанность по ст. 22.1 ФЗ-152. Без приказа уведомление в РКН не пройдёт, а при проверке обнаружится отдельным основанием для предписания.

Обратите внимание! Если в посте VK-группы есть рекламные размещения (например, реклама детского лагеря-партнёра), требуется маркировка с идентификатором erid. Требование введено Федеральным законом от 02.07.2021 № 347-ФЗ (новая ст. 18.1 ФЗ-38 «О рекламе») и действует с 1 сентября 2022 года. Реестр операторов рекламных данных (ОРД) и контроль ведёт Роскомнадзор; штраф за отсутствие erid — ч. 16 ст. 14.3 КоАП, для юрлиц 200 000 – 500 000 ₽.

Важное исключение для нашего сегмента. Посты о собственной деятельности организации в её же VK-группе (расписание занятий, анонсы внутренних мероприятий, набор в секцию, фото с тренировок) — это «информация о текущей хозяйственной деятельности», а не реклама в смысле ФЗ-38. Маркировка erid требуется только когда: (1) вы рекламируете партнёра или третье лицо, (2) запускаете платное продвижение через VK Ads — там маркировку автоматически делает ОРД ВКонтакте, (3) пост явно выделен как продвижение стороннего продукта. Обычные «приходите на занятие» в собственной группе erid не требуют.

Что делать, если пришло предписание

Стандартный сценарий: инспектор направляет оператору письменное предписание устранить нарушение в установленный срок — обычно от 10 до 30 рабочих дней (конкретный срок указывается в самом предписании). Альтернатива — административный протокол с штрафом по соответствующей части ст. 13.11 КоАП.

Что делать пошагово:

Внимательно прочитать предписание: какая норма нарушена, какой срок устранения, что именно требуется сделать.
Устранить нарушение в указанный срок. Например, добавить ссылку на политику в футер, удалить публикацию без согласия, перенести форму с Google Forms на Яндекс.Формы.
Направить в РКН отчёт об устранении с подтверждающими документами или скриншотами в установленный срок — обычно вместе с истечением срока на устранение.
Если не успеваете в срок — подать ходатайство о продлении срока с обоснованием. РКН обычно идёт навстречу при первом обращении.
Если штраф уже выписан и организация — субъект МСП с первым нарушением, можно ходатайствовать о замене штрафа на предупреждение по ч. 1 ст. 4.1.1 КоАП РФ. После реформы 2022 года (ФЗ № 290-ФЗ от 14.07.2022) при наличии всех условий замена императивна, но ключевое условие — отсутствие угрозы причинения вреда правам субъектов (ч. 2 ст. 3.4 КоАП). По ст. 13.11 суды нередко усматривают такую угрозу и в замене отказывают, поэтому это не гарантия.

Чек-лист «всегда готов»: 8 пунктов до того, как пришёл инспектор

☐ Запись об организации есть в реестре операторов на pd.rkn.gov.ru.
☐ Политика обработки ПДн опубликована на сайте, в футере; ссылка на неё есть в каждой форме сбора и в описании VK-группы.
☐ В каждой форме на сайте — отдельный чекбокс согласия с обработкой ПДн (по умолчанию неактивный).
☐ Подписанные бумажные согласия родителей на обработку ПДн ребёнка хранятся в личных делах. Включая отдельное согласие на фото и видео, если они публикуются.
☐ Назначен приказом ответственный за обработку ПДн (ст. 22.1 ФЗ-152), его ФИО, должность и контакт указаны в политике.
☐ Заявки и базы хранятся на российских сервисах (Яндекс.Формы, формы ВКонтакте, Битрикс24, RetailCRM). Google Forms, Typeform, Mailchimp — не используются.
☐ Рекламные посты в группе промаркированы (erid от ОРД), если они размещаются.
☐ Понимаете порядок действий при утечке ПДн: уведомить РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152), направить результаты внутреннего расследования в 72 часа.

Хотите узнать, какие из этих 8 пунктов у вас уже в порядке, а где есть пробелы? Запустите бесплатную диагностику PDN Guard — за 30 секунд сервис проверит сайт и VK-группу и покажет ровно те же нарушения, которые автоматически фиксирует робот РКН в первую очередь.

Если хотите сразу получить полный пакет документов под организацию — политику, согласие родителя, приказ об ответственном, заполненное уведомление в РКН — это упаковано в тариф «Руководителю» за 1 990 ₽. Документы готовятся под реквизиты школы, секции, детского центра или фонда; пакет включает сопровождение до получения регистрационного номера в реестре операторов.

Подробно про процедуру подачи уведомления и причины отказа — в нашей инструкции по уведомлению РКН для школ, секций и НКО. Что должно быть в политике обработки ПДн — в нашем разборе политики.

А вы или ваши коллеги по школе / секции / НКО уже сталкивались с предписанием Роскомнадзора или с жалобой родителя? Расскажите в комментариях, как разбирались — это поможет другим директорам и тренерам понять реальный порядок действий, а не пугаться абстрактных миллионов штрафов.