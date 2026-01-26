Коротко о главном:
С 2025 года проверки Роскомнадзора стали более строгими — это связано с ужесточением требований к операторам персональных данных, ростом штрафов, новыми требования к согласию на обработку ПДн и правилами трансграничной передачи.
Проверки РКН бывают нескольких видов: профилактические, документарные, выездные. Регулятор вправе проводить выездные проверки онлайн — с помощью приложения «Инспектор» и средств аудио- и видеофиксации.
При мониторинге сайтов Роскомнадзор использует ИИ-технологии — автоматизированную проверку веб-ресурса без предупреждения его владельца.
В 2025 году не предусмотрено плановых проверок, но поводом для визита может стать жалоба физлица или результаты автоматизированной проверки.
Подготовка к проверкам РКН включает: формирование пакета документов, актуализацию сведений в реестре операторов, организацию комплексной защиты ПДн внутри организации и соблюдение других требований 152-ФЗ.
Кого и как проверяет Роскомнадзор
Государство особое внимание уделяет обращению с персональными данными российских граждан. В 2025 году произошло значительное количество изменений в этой сфере — кратный рост штрафов, ужесточение контроля при передаче данных за рубеж, упор на мониторинг сайтов с применением ИИ-технологий.
Роскомнадзор — главный контролирующий орган в области персональных данных, который проверяет операторов разными способами: от профилактических визитов до проверок без предварительного информирования.
Регулятор использует риск-ориентированный подход: приходит с проверками в соответствии с присвоенной категорией риска (постановление Правительства от 29.06.2021 № 1046).
Под проверки Роскомнадзора подпадают операторы ПДн — ИП, юридические лица, самозанятые, которые собирают и используют в коммерческих или иных целях данные физлиц (клиентов, покупателей, работников, пользователей, пациентов и т. д.).
Один из основных критериев для проверки — отсутствие оператора в реестре РКН. Перед началом обработки персональных данных оператор обязан подать уведомление в Роскомнадзор — с указанием целей обработки, категорий субъектов ПДн и информации о соблюдении требований законодательства (ст. 22 закона от 27.07.2006 № 152-ФЗ). Если вы подали корректное уведомление, то это сигнал для РКН, что у вас все в порядке. Однако, регулятор может прийти с проверками в случае жалоб или при выявлении нарушений в ходе автоматизированной проверки сайта.
Виды проверок РКН:
Профилактический визит. Его цель — показать оператору проблемные места и дать рекомендации по их устранению. Регулятор может вынести штраф только в случае невыполнения предписанных требований.
Документарная проверка. Роскомнадзор запрашивает у оператора информацию о локальных документах. Компании или ИП нужно заранее подготовить пакет документов и регулярно его обновлять, а в случае проверки — не игнорировать запросы инспекторов. К таким документам относятся: политика обработки ПДн, согласие субъекта на обработку его данных, приказ о назначении ответственного и другие внутренние регламенты (ст. 9, п.1, 2 ст. 18.1 закона № 152-ФЗ).
Выездная проверка. Она может проводиться как с выездом на место, так и с помощью средств аудио- и видеофиксации, с использованием приложения «Инспектор» (п. 41 постановления Правительства от 29.06.2021 № 1046).
В 2025 году сформировалась тенденция на автоматизированную проверку сайтов посредством «умных» алгоритмов. Роскомнадзор запускает ИИ-мониторинг веб-ресурсов.
Искусственный интеллект отслеживает корректность сайтов и наличие запрещенных законом элементов:
сведения об операторе (владельце сайта);
наличие политики, опубликованной в открытом доступе;
согласие на обработку ПДн (расположенное на видном месте и с возможностью физически дать разрешение на использование данных — нажать кнопку «Согласен» или поставить «галочку»);
отсутствие прямой передачи данных в зарубежные страны из списка «небезопасных». Бизнес находится в зоне риска, если использует на сайте иностранные сервисы, формы, скрипты, виджеты, которые передают данные российских граждан за рубеж в обход законодательства РФ.
В некоторых случаях Роскомнадзор вправе проверять операторов без предупреждения — например, как это происходит в случае автоматизированной проверки сайтов. Проинформировать регулятор должен в случае плановой проверки — по почте за три дня до визита.
В 2025 году плановых проверок не предусмотрено в связи с отсутствием объектов контроля, отнесенных к чрезвычайно высокой и высокой категории риска причинения вреда. Но это не повод расслабиться: у оператора всегда должен быть в наличии актуальный пакет документов, обеспечена защита данных от утечек и выполнены другие требования в соответствии с законом № 152-ФЗ и сопутствующими НПА.
«Центр безопасности данных» — это экспертная поддержка бизнеса, работающего с конфиденциальной информацией и персональными данными. Вам доступен перечень услуг — от консультаций до построения комплексной системы защиты при работе с чужими данными (СЗПДн). Специалисты помогут вам выполнить требования закона № 152-ФЗ и спокойно пройти проверку Роскомнадзора. До прихода инспекторов эксперты проверят текущие процессы, документацию, соблюдение мер по защите данных, помогут подготовить ответ на запрос регулятора.
Как быть готовым к проверкам РКН
Далее рассмотрим, как оператору ПДн подготовиться к проверкам Роскомнадзора, чтобы избежать штрафов в миллионы рублей.
1. Обеспечить актуальность сведений в реестре Роскомнадзора
Все операторы персональных данных попадают в реестр РКН и одновременно в «зону контроля» регулятора. Как это выглядит на практике:
Компания или ИП подают уведомление в Роскомнадзор — онлайн, по почте заказным письмом или лично в территориальном управлении ведомства. В заявлении оператор сообщает о себе основные сведения, цели и способы обработки, информацию о выполнении требований законодательства, контакты ответственного лица и т.п..
Роскомнадзор проверяет заявление, срок — не более 30 календарных дней (п. 4 ст. 22 закона № 152-ФЗ).
Регулятор включает оператора в реестр или возвращает заявление с указанием причин отказа. В последнем случае нужно исправить недочеты и подать заявление повторно.
Уведомление в Роскомнадзор подается один раз. Но в случае изменений в деятельности оператора потребуется подать другое уведомление — об изменении сведений. Срок — до 15 числа месяца, в котором произошли изменения: например назначили другого ответственного или появились другие цели обработки.
Как законно избежать штрафов. В ч. 10 ст. 13.11 указаны штрафы за отсутствие уведомления — до 50 тыс. руб. на должностных лиц, до 300 тыс. руб. на ИП и организации. Простыми словами, оператор не может обрабатывать персональные данные, если не находится в реестре РКН. Чтобы не попасть на штраф, подайте заявление в РКН заранее — до начала обработки, а в случае изменений — направьте корректирующее уведомление.
2. Подготовить пакет документов
На самом деле, подготовка документов — это первый шаг к легальной деятельности оператора. Оператору необходимо внедрить все необходимые документы в бизнес-процессы, связанные с обработкой персональных данных. Кроме того, в процессе обработки документы нужно актуализировать в соответствии с фактической деятельностью и новыми требованиями законодательства.
Основные ЛНА и что они определяют:
Политика обработки персональных — цели, способы обработки, категории субъектов и типы данных, меры по защите от утечек и несанкционированного доступа.
Приказ о назначении ответственного — кто в организации контролирует исполнение требований закона № 152-ФЗ, взаимодействует с сотрудниками и гражданами. Если ответственный меняется, то нужно подать соответствующее уведомление в Роскомнадзор и издать новый приказ.
Перечень должностных лиц, допущенных к обработке персональных данных — разграничивает зоны ответственности по каждому уполномоченному сотруднику.
Приказ об определении мест хранения материальных носителей — где хранятся бумажные и другие материальные носители с персональными данными (сейф, закрытый архив, специальная комната).
Положение о защите персональных данных — общий документ, регламентирующий безопасность системы защиты ПДн.
Другие ЛНА: инструкции, журналы и правила.
Состав и количество документов зависит от уровня оператора и целей обработки. Например, пакеты документов для медицинской клиники, интернет-магазина и аудиторской компании будут отличаться.
Как законно избежать штрафов. Отсутствие важных документов — это повод для проверки Роскомнадзора. Изначально оператору нужно подготовить полный комплект ЛНА, а затем следить за их актуальностью. Перечень документов варьируется от 30 до 120 позиций. Специалисты «Центра безопасности данных» проконсультируют и помогут подготовить исчерпывающий список документов в соответствии с требованиями Роскомнадзора и закона № 152-ФЗ, а также привести в порядок действующие регламенты.
3. Обрабатывать данные с согласия их владельцев
Согласие на обработку персональных данных — это официальный документ, устанавливающий правовое основание для использования данных граждан. Перед обработкой ПДн оператор должен получить разрешение от физлица, если закон не разрешает такую обработку без согласия (ст 6, 9 закона № 152-ФЗ).
С 1 сентября 2025 года следует придерживаться следующих норм:
Согласие на обработку — это документ, оформленный отдельно от других документов. Например, формулировку о согласии нельзя включать в договоры (в том числе и в трудовые), оферты, пользовательские соглашения, заявления и анкеты.
Согласие может быть получено в письменной или электронной форме. Например, владельцы сайтов используют чекбоксы, чтобы взять согласие с пользователя в электронной форме. А работодатели могут брать согласие на бумаге с сотрудников, соискателей, исполнителей ГПХ. Закон устанавливает случаи, когда работодатели могут обрабатывать данные сотрудников без их согласия. К таким случаям относятся некоторые цели кадрового учета — к примеру, исполнение функций работодателя и работника в рамках трудового договора (оформление зарплатных карт, обработка данных медкарт, выдача пропусков и т. д.).
Другие виды согласий также оформляются отдельно — на распространение данных или получение рекламно-информационных рассылок (ст. 10.1 закона № 152-ФЗ).
Как законно избежать штрафов. Главное правило — запрещено собирать, обрабатывать и передавать третьим лицам данные физлиц без их официального разрешения. В ч. 2 ст. 13.11 КоАП указаны штрафы за нарушение этого требования — до 300 тыс. руб. на должностных лиц, до 700 тыс. руб. на организации. За повторное нарушение штрафы вырастут до 500 тыс. и 1,5 млн руб., соответственно.
4. Выполнять требования о локализации
Государство постепенно переводит компании и бизнес на отечественную IT-инфраструктуру. В рамках «локализации» операторам рекомендуется использовать российские серверы, ПО, конструкторы сайтов и другие программные решения.
Цель ужесточения требований к трансграничной передаче — защитить данные российских граждан от несанкционированной утечки за границу. В перечень «небезопасных» стран попали США и другие страны, не являющиеся сторонами Конвенции Совета Европы о защите персональных данных, и не обеспечивающие адекватной защиты ПДн. Проще обстоят дела по коммуникационным связям с Беларусью, Казахстаном, Китаем и другими дружественными государствами.
Роскомнадзор проверяет сайты на соблюдение правил локализации:
Формы обратной связи и виджеты зарубежных онлайн-мессенджеров.
Иностранные метрики, системы аналитики и пиксели.
Сервисы Google.
Сборку кастомных решений в зарубежных конструкторах и использование готовых функций из JS-библиотек.
Наличие зарубежных форм CAPTCHA.
Эти и другие решения нарушают закон, если напрямую доставляют данные пользователей за рубеж. А главное требование в области локализации с 1 июля 2025 года — обязательная первичная обработка в России.
Как законно избежать штрафов. Без необходимости не использовать зарубежные сервисы. Например, если для бизнеса критически важно использовать иностранную CRM или почтовый сервис, то нужно подать соответствующее уведомление в Роскомнадзор. Регулятор вправе отказать или ограничить передачу данных в другие страны. За нарушение требований локализации баз персональных данных предусмотрены штрафы по ч. 8 и 9 ст. 13.11 КоАП — до 800 тыс. руб. на должностных лиц, до 18 млн руб. на ИП и организации.
5. Соблюдать меры по защите данных
Ответственность за утечку данных лежит на операторах ПДн. Под особым контролем Роскомнадзора находятся биометрические и специальные категории персональных данных. За нарушение безопасности персональных данных установлены самые высокие штрафы. Размер санкций зависит от количества пользователей, чьи данные оказались вовне (ч. 12–18 ст. 13.11 КоАП):
За утечку информации о 100 тыс. субъектах и более — штраф до 15 млн руб. на ИП и организации.
За утечку специальных категорий ПДн — штраф до 15 млн руб. на ИП и организации.
За утечку биометрических — штраф до 20 млн руб. на ИП и организации.
Кроме того, введены оборотные штрафы для организаций за несоблюдение мер безопасности, повлекших утечку данных — от 1 до 3% от годовой выручки или до 500 млн руб.
В случае утечки, несанкционированного доступа или компьютерных атак оператор ПДн должен сообщить об этом в Роскомнадзор — в первые 24 часа после инцидента. В последующие 72 часа нужно провести внутреннее расследование и отчитаться в РКН о результатах и виновных лицах (ч. 3.1 ст. 21 закона № 152-ФЗ). Нарушение влечет штрафы по ч. 11 ст. 13.11 КоАП — до 800 тыс. руб. на должностных лиц, до 3 млн руб. на ИП и организации.
Отдельно отметим: с 1 сентября 2025 года по отдельным запросам Минцифры операторы должны передавать обезличенные ПДн в государственную информационную систему (ГИС) (ст. 13.1 закона № 152-ФЗ). Состав персональных данных Минцифры будет формировать по определенному признаку. Доступ к системе будут иметь госорганы, муниципалитеты, внебюджетные фонды и подконтрольные им организации, а также лица и организации, находящиеся в реестре РКН.
Как законно избежать штрафов. Задача оператора — выстроить надежную систему защиты при работе с персональными данными (СЗПДн). Система включает индивидуальную концепцию и мероприятия по обеспечению безопасности ПДн. В «Центре безопасности данных» вам помогут оценить текущий уровень безопасности, подготовить организационно-распорядительную документацию, провести пуско-наладку системы защиты ПДн.
Как проверить готовность к проверкам Роскомнадзора: чек-лист для бизнеса
Получить штраф от Роскомнадзора можно даже за случайное нарушение: незнание закона не освобождает от ответственности. При проверках не нужно конфликтовать и препятствовать инспекторам — иначе это вызовет подозрение и станет поводом для более глубокого изучения бизнеса.
Главное правило: идите на контакт с инспекторами, назначьте ответственного за «экскурсию» по бизнесу, предоставляйте все документы по запросу. Только в этом случае возможен лояльный исход — вместо штрафов вы получите рекомендации по исправлению недочетов.
Как проверить, что ваш бизнес готов к проверкам Роскомнадзора:
На что обратить внимание
Подготовлен полный комплект ЛНА, документы регулярно проверяются и актуализируются: политика обработки ПДн, положения, журналы, инструкции и другие внутренние регламенты
✅
Политика в отношении обработки ПДн размещена на видном месте сайта или в уголке потребителя, а не скрыта от граждан или отсутствует вовсе
✅
В реестре Роскомнадзора указаны актуальные сведения о деятельности организации — цели обработки, типы данных, ответственный и т. д.
✅
В организации приказом назначен ответственный за соблюдение требований закона № 152-ФЗ
✅
Обработка данных происходит с согласия физлиц. Согласия берутся отдельно от других документов и других видов согласий
✅
Сайт в полном порядке — отсутствуют зарубежные сервисы и элементы, которые нарушают законодательство РФ о локализации данных
✅
В случае трансграничной передачи данных в Роскомнадзор направлено соответствующее уведомление
✅
Настроена работа по обеспечению защиты ПДн — у уполномоченных сотрудников разграничены доступы к базам данных, материальные носители надежно защищены, исключен несанкционированный доступ к данным третьих лиц
✅
Специалисты «Центра безопасности данных» помогут закрыть все риски до прихода инспекторов Роскомнадзора — проверят наличие и актуальность документов, слабые места в СЗПДн, подготовят стратегию общения с инспекторами, ответят на запросы регулятора. Вы можете заказать как решение локальной проблемы, так и реализацию проекта «под ключ». Затрудняетесь с выбором услуги? Заполните форму обратной связи, менеджеры подскажут направление и свяжут с экспертами.
