КПП БСН старт потока 8423
🔴 Особенности приема и увольнения несовершеннолетних, иностранцев, инвалидов, ветеранов→
Центр безопасности данных
Проверки
Как подготовиться к проверке Роскомнадзора по персональным данным, чтобы избежать штрафов 2026: подробный гайд для бизнеса 

Как подготовиться к проверке Роскомнадзора по персональным данным, чтобы избежать штрафов 2026: подробный гайд для бизнеса 

Защита данных физлиц — это ответственность оператора персональных данных. Рассказываем, кого проверяет Роскомнадзор, что запрашивает в процессе проверки и как не налететь на штрафы в миллионы рублей.

Коротко о главном:

  1. С 2025 года проверки Роскомнадзора стали более строгими — это связано с ужесточением требований к операторам персональных данных, ростом штрафов, новыми требования к согласию на обработку ПДн и правилами трансграничной передачи.

  2. Проверки РКН бывают нескольких видов: профилактические, документарные, выездные. Регулятор вправе проводить выездные проверки онлайн — с помощью приложения «Инспектор» и средств аудио- и видеофиксации.

  3. При мониторинге сайтов Роскомнадзор использует ИИ-технологии — автоматизированную проверку веб-ресурса без предупреждения его владельца.

  4. В 2025 году не предусмотрено плановых проверок, но поводом для визита может стать жалоба физлица или результаты автоматизированной проверки. 

  5. Подготовка к проверкам РКН включает: формирование пакета документов, актуализацию сведений в реестре операторов, организацию комплексной защиты ПДн внутри организации и соблюдение других требований 152-ФЗ.

Кого и как проверяет Роскомнадзор

Государство особое внимание уделяет обращению с персональными данными российских граждан. В 2025 году произошло значительное количество изменений в этой сфере — кратный рост штрафов, ужесточение контроля при передаче данных за рубеж, упор на мониторинг сайтов с применением ИИ-технологий.

Роскомнадзор — главный контролирующий орган в области персональных данных, который проверяет операторов разными способами: от профилактических визитов до проверок без предварительного информирования. 

Регулятор использует риск-ориентированный подход: приходит с проверками в соответствии с присвоенной категорией риска (постановление Правительства от 29.06.2021 № 1046). 

Под проверки Роскомнадзора подпадают операторы ПДн — ИП, юридические лица, самозанятые, которые собирают и используют в коммерческих или иных целях данные физлиц (клиентов, покупателей, работников, пользователей, пациентов и т. д.).

Один из основных критериев для проверки — отсутствие оператора в реестре РКН. Перед началом обработки персональных данных оператор обязан подать уведомление в Роскомнадзор — с указанием целей обработки, категорий субъектов ПДн и информации о соблюдении требований законодательства (ст. 22 закона от 27.07.2006 № 152-ФЗ). Если вы подали корректное уведомление, то это сигнал для РКН, что у вас все в порядке. Однако, регулятор может прийти с проверками в случае жалоб или при выявлении нарушений в ходе автоматизированной проверки сайта. 

Виды проверок РКН:

  1. Профилактический визит. Его цель — показать оператору проблемные места и дать рекомендации по их устранению. Регулятор может вынести штраф только в случае невыполнения предписанных требований. 

  2. Документарная проверка. Роскомнадзор запрашивает у оператора информацию о локальных документах. Компании или ИП нужно заранее подготовить пакет документов и регулярно его обновлять, а в случае проверки — не игнорировать запросы инспекторов. К таким документам относятся: политика обработки ПДн, согласие субъекта на обработку его данных, приказ о назначении ответственного и другие внутренние регламенты (ст. 9, п.1, 2 ст. 18.1 закона № 152-ФЗ).

  3. Выездная проверка. Она может проводиться как с выездом на место, так и с помощью средств аудио- и видеофиксации, с использованием приложения «Инспектор» (п. 41 постановления Правительства от 29.06.2021 № 1046).

В 2025 году сформировалась тенденция на автоматизированную проверку сайтов посредством «умных» алгоритмов. Роскомнадзор запускает ИИ-мониторинг веб-ресурсов. 

Искусственный интеллект отслеживает корректность сайтов и наличие запрещенных законом элементов:

  • сведения об операторе (владельце сайта);

  • наличие политики, опубликованной в открытом доступе;

  • согласие на обработку ПДн (расположенное на видном месте и с возможностью физически дать разрешение на использование данных — нажать кнопку «Согласен» или поставить «галочку»);

  • отсутствие прямой передачи данных в зарубежные страны из списка «небезопасных». Бизнес находится в зоне риска, если использует на сайте иностранные сервисы, формы, скрипты, виджеты, которые передают данные российских граждан за рубеж в обход законодательства РФ. 

В некоторых случаях Роскомнадзор вправе проверять операторов без предупреждения — например, как это происходит в случае автоматизированной проверки сайтов. Проинформировать регулятор должен в случае плановой проверки — по почте за три дня до визита. 

В 2025 году плановых проверок не предусмотрено в связи с отсутствием объектов контроля, отнесенных к чрезвычайно высокой и высокой категории риска причинения вреда. Но это не повод расслабиться: у оператора всегда должен быть в наличии актуальный пакет документов, обеспечена защита данных от утечек и выполнены другие требования в соответствии с законом № 152-ФЗ и сопутствующими НПА.

«Центр безопасности данных» — это экспертная поддержка бизнеса, работающего с конфиденциальной информацией и персональными данными. Вам доступен перечень услуг — от консультаций до построения комплексной системы защиты при работе с чужими данными (СЗПДн). Специалисты помогут вам выполнить требования закона № 152-ФЗ и спокойно пройти проверку Роскомнадзора. До прихода инспекторов эксперты проверят текущие процессы, документацию, соблюдение мер по защите данных, помогут подготовить ответ на запрос регулятора. 

Узнать подробности

Как быть готовым к проверкам РКН

Далее рассмотрим, как оператору ПДн подготовиться к проверкам Роскомнадзора, чтобы избежать штрафов в миллионы рублей.

1. Обеспечить актуальность сведений в реестре Роскомнадзора

Все операторы персональных данных попадают в реестр РКН и одновременно в «зону контроля» регулятора. Как это выглядит на практике:

  1. Компания или ИП подают уведомление в Роскомнадзоронлайн, по почте заказным письмом или лично в территориальном управлении ведомства. В заявлении оператор сообщает о себе основные сведения, цели и способы обработки, информацию о выполнении требований законодательства, контакты ответственного лица и т.п..

  2. Роскомнадзор проверяет заявление, срок — не более 30 календарных дней (п. 4 ст. 22 закона № 152-ФЗ).   

  3. Регулятор включает оператора в реестр или возвращает заявление с указанием причин отказа. В последнем случае нужно исправить недочеты и подать заявление повторно.

Уведомление в Роскомнадзор подается один раз. Но в случае изменений в деятельности оператора потребуется подать другое уведомление — об изменении сведений. Срок — до 15 числа месяца, в котором произошли изменения: например назначили другого ответственного или появились другие цели обработки.

Как законно избежать штрафов. В ч. 10 ст. 13.11 указаны штрафы за отсутствие уведомления — до 50 тыс. руб. на должностных лиц, до 300 тыс. руб. на ИП и организации. Простыми словами, оператор не может обрабатывать персональные данные, если не находится в реестре РКН. Чтобы не попасть на штраф, подайте заявление в РКН заранее — до начала обработки, а в случае изменений — направьте корректирующее уведомление. 

2. Подготовить пакет документов

На самом деле, подготовка документов — это первый шаг к легальной деятельности оператора. Оператору необходимо внедрить все необходимые документы в бизнес-процессы, связанные с обработкой персональных данных. Кроме того, в процессе обработки документы нужно актуализировать в соответствии с фактической деятельностью и новыми требованиями законодательства. 

Основные ЛНА и что они определяют:

  • Политика обработки персональных — цели, способы обработки, категории субъектов и типы данных, меры по защите от утечек и несанкционированного доступа.

  • Приказ о назначении ответственного — кто в организации контролирует исполнение требований закона № 152-ФЗ, взаимодействует с сотрудниками и гражданами. Если ответственный меняется, то нужно подать соответствующее уведомление в Роскомнадзор и издать новый приказ.

  • Перечень должностных лиц, допущенных к обработке персональных данных — разграничивает зоны ответственности по каждому уполномоченному сотруднику.

  • Приказ об определении мест хранения материальных носителей — где хранятся бумажные и другие материальные носители с персональными данными (сейф, закрытый архив, специальная комната). 

  • Положение о защите персональных данных — общий документ, регламентирующий безопасность системы защиты ПДн.

  • Другие ЛНА: инструкции, журналы и правила.

Состав и количество документов зависит от уровня оператора и целей обработки. Например, пакеты документов для медицинской клиники, интернет-магазина и аудиторской компании будут отличаться. 

Как законно избежать штрафов. Отсутствие важных документов — это повод для проверки Роскомнадзора. Изначально оператору нужно подготовить полный комплект ЛНА, а затем следить за их актуальностью. Перечень документов варьируется от 30 до 120 позиций. Специалисты «Центра безопасности данных» проконсультируют и помогут подготовить исчерпывающий список документов в соответствии с требованиями Роскомнадзора и закона № 152-ФЗ, а также привести в порядок действующие регламенты. 

Как избежать штрафов за нарушение обработки персональных данных

Чек-лист по выполнению требований Роскомнадзора

Заполните форму, вышлем чек-лист вам на e-mail:

Нажимая кнопку, я соглашаюсь с пользовательским соглашением, обработкой персональных данных и получением информационных и рекламных рассылок

3. Обрабатывать данные с согласия их владельцев

Согласие на обработку персональных данных — это официальный документ, устанавливающий правовое основание для использования данных граждан. Перед обработкой ПДн оператор должен получить разрешение от физлица, если закон не разрешает такую обработку без согласия (ст 6, 9 закона № 152-ФЗ).

С 1 сентября 2025 года следует придерживаться следующих норм:

  1. Согласие на обработку — это документ, оформленный отдельно от других документов. Например, формулировку о согласии нельзя включать в договоры (в том числе и в трудовые), оферты, пользовательские соглашения, заявления и анкеты. 

  2. Согласие может быть получено в письменной или электронной форме. Например, владельцы сайтов используют чекбоксы, чтобы взять согласие с пользователя в электронной форме. А работодатели могут брать согласие на бумаге с сотрудников, соискателей, исполнителей ГПХ. Закон устанавливает случаи, когда работодатели могут обрабатывать данные сотрудников без их согласия. К таким случаям относятся некоторые цели кадрового учета — к примеру, исполнение функций работодателя и работника в рамках трудового договора (оформление зарплатных карт, обработка данных медкарт, выдача пропусков и т. д.).

  3. Другие виды согласий также оформляются отдельно — на распространение данных или получение рекламно-информационных рассылок (ст. 10.1 закона № 152-ФЗ).

Как законно избежать штрафов. Главное правило — запрещено собирать, обрабатывать и передавать третьим лицам данные физлиц без их официального разрешения. В ч. 2 ст. 13.11 КоАП указаны штрафы за нарушение этого требования — до 300 тыс. руб. на должностных лиц, до 700 тыс. руб. на организации. За повторное нарушение штрафы вырастут до 500 тыс. и 1,5 млн руб., соответственно. 

4. Выполнять требования о локализации

Государство постепенно переводит компании и бизнес на отечественную IT-инфраструктуру. В рамках «локализации» операторам рекомендуется использовать российские серверы, ПО, конструкторы сайтов и другие программные решения. 

Цель ужесточения требований к трансграничной передаче — защитить данные российских граждан от несанкционированной утечки за границу. В перечень «небезопасных» стран попали США и другие страны, не являющиеся сторонами Конвенции Совета Европы о защите персональных данных, и не обеспечивающие адекватной защиты ПДн. Проще обстоят дела по коммуникационным связям с Беларусью, Казахстаном, Китаем и другими дружественными государствами.

Роскомнадзор проверяет сайты на соблюдение правил локализации:

  1. Формы обратной связи и виджеты зарубежных онлайн-мессенджеров.

  2. Иностранные метрики, системы аналитики и пиксели.

  3. Сервисы Google.

  4. Сборку кастомных решений в зарубежных конструкторах и использование готовых функций из JS-библиотек.

  5. Наличие зарубежных форм CAPTCHA.

Эти и другие решения нарушают закон, если напрямую доставляют данные пользователей за рубеж. А главное требование в области локализации с 1 июля 2025 года — обязательная первичная обработка в России. 

Как законно избежать штрафов. Без необходимости не использовать зарубежные сервисы. Например, если для бизнеса критически важно использовать иностранную CRM или почтовый сервис, то нужно подать соответствующее уведомление в Роскомнадзор. Регулятор вправе отказать или ограничить передачу данных в другие страны. За нарушение требований локализации баз персональных данных предусмотрены штрафы по ч. 8 и 9 ст. 13.11 КоАП — до 800 тыс. руб. на должностных лиц, до 18 млн руб. на ИП и организации.

5. Соблюдать меры по защите данных

Ответственность за утечку данных лежит на операторах ПДн. Под особым контролем Роскомнадзора находятся биометрические и специальные категории персональных данных. За нарушение безопасности персональных данных установлены самые высокие штрафы. Размер санкций зависит от количества пользователей, чьи данные оказались вовне (ч. 1218 ст. 13.11 КоАП):

  1. За утечку информации о 100 тыс. субъектах и более — штраф до 15 млн руб. на ИП и организации.

  2. За утечку специальных категорий ПДн — штраф до 15 млн руб. на ИП и организации.

  3. За утечку биометрических — штраф до 20 млн руб. на ИП и организации.

Кроме того, введены оборотные штрафы для организаций за несоблюдение мер безопасности, повлекших утечку данных — от 1 до 3% от годовой выручки или до 500 млн руб. 

В случае утечки, несанкционированного доступа или компьютерных атак оператор ПДн должен сообщить об этом в Роскомнадзор — в первые 24 часа после инцидента. В последующие 72 часа нужно провести внутреннее расследование и отчитаться в РКН о результатах и виновных лицах (ч. 3.1 ст. 21 закона № 152-ФЗ). Нарушение влечет штрафы по ч. 11 ст. 13.11 КоАП — до 800 тыс. руб. на должностных лиц, до 3 млн руб. на ИП и организации.

Отдельно отметим: с 1 сентября 2025 года по отдельным запросам Минцифры операторы должны передавать обезличенные ПДн в государственную информационную систему (ГИС) (ст. 13.1 закона № 152-ФЗ). Состав персональных данных Минцифры будет формировать по определенному признаку. Доступ к системе будут иметь госорганы, муниципалитеты, внебюджетные фонды и подконтрольные им организации, а также лица и организации, находящиеся в реестре РКН.

Как законно избежать штрафов. Задача оператора — выстроить надежную систему защиты при работе с персональными данными (СЗПДн). Система включает индивидуальную концепцию и мероприятия по обеспечению безопасности ПДн. В «Центре безопасности данных» вам помогут оценить текущий уровень безопасности, подготовить организационно-распорядительную документацию, провести пуско-наладку системы защиты ПДн. 

Услуги в области персональных данных

Закажите полный комплекс услуг по защите персональных данных «под ключ». Мы проведем работы в кратчайший срок и по оптимальной цене

Как проверить готовность к проверкам Роскомнадзора: чек-лист для бизнеса

Получить штраф от Роскомнадзора можно даже за случайное нарушение: незнание закона не освобождает от ответственности. При проверках не нужно конфликтовать и препятствовать инспекторам — иначе это вызовет подозрение и станет поводом для более глубокого изучения бизнеса. 

Главное правило: идите на контакт с инспекторами, назначьте ответственного за «экскурсию» по бизнесу, предоставляйте все документы по запросу. Только в этом случае возможен лояльный исход — вместо штрафов вы получите рекомендации по исправлению недочетов. 

Как проверить, что ваш бизнес готов к проверкам Роскомнадзора:

На что обратить внимание

Подготовлен полный комплект ЛНА, документы регулярно проверяются и актуализируются: политика обработки ПДн, положения, журналы, инструкции и другие внутренние регламенты 

Политика в отношении обработки ПДн размещена на видном месте сайта или в уголке потребителя, а не скрыта от граждан или отсутствует вовсе

В реестре Роскомнадзора указаны актуальные сведения о деятельности организации — цели обработки, типы данных, ответственный и т. д. 

В организации приказом назначен ответственный за соблюдение требований закона № 152-ФЗ

Обработка данных происходит с согласия физлиц. Согласия берутся отдельно от других документов и других видов согласий

Сайт в полном порядке — отсутствуют зарубежные сервисы и элементы, которые нарушают законодательство РФ о локализации данных

В случае трансграничной передачи данных в Роскомнадзор направлено соответствующее уведомление

Настроена работа по обеспечению защиты ПДн — у уполномоченных сотрудников разграничены доступы к базам данных, материальные носители надежно защищены, исключен несанкционированный доступ к данным третьих лиц

Специалисты «Центра безопасности данных» помогут закрыть все риски до прихода инспекторов Роскомнадзора — проверят наличие и актуальность документов, слабые места в СЗПДн, подготовят стратегию общения с инспекторами, ответят на запросы регулятора. Вы можете заказать как решение локальной проблемы, так и реализацию проекта «под ключ». Затрудняетесь с выбором услуги? Заполните форму обратной связи, менеджеры подскажут направление и свяжут с экспертами.    

Читайте также:

Реклама: ООО ЦЕНТР БЕЗОПАСНОСТИ ДАННЫХ «АЙДЕКО», ИНН 6324020784, erid: 2W5zFJtCPQk

Информации об авторе

Центр безопасности данных

Центр безопасности данных

Защищаем компании от рисков с 2012 года

61 подписчик15 постов

Начать дискуссию

ГлавнаяПремиум