Кого и как проверяет Роскомнадзор

Государство особое внимание уделяет обращению с персональными данными российских граждан. В 2025 году произошло значительное количество изменений в этой сфере — кратный рост штрафов, ужесточение контроля при передаче данных за рубеж, упор на мониторинг сайтов с применением ИИ-технологий.

Роскомнадзор — главный контролирующий орган в области персональных данных, который проверяет операторов разными способами: от профилактических визитов до проверок без предварительного информирования.

Регулятор использует риск-ориентированный подход: приходит с проверками в соответствии с присвоенной категорией риска (постановление Правительства от 29.06.2021 № 1046).

Под проверки Роскомнадзора подпадают операторы ПДн — ИП, юридические лица, самозанятые, которые собирают и используют в коммерческих или иных целях данные физлиц (клиентов, покупателей, работников, пользователей, пациентов и т. д.).

Один из основных критериев для проверки — отсутствие оператора в реестре РКН. Перед началом обработки персональных данных оператор обязан подать уведомление в Роскомнадзор — с указанием целей обработки, категорий субъектов ПДн и информации о соблюдении требований законодательства (ст. 22 закона от 27.07.2006 № 152-ФЗ). Если вы подали корректное уведомление, то это сигнал для РКН, что у вас все в порядке. Однако, регулятор может прийти с проверками в случае жалоб или при выявлении нарушений в ходе автоматизированной проверки сайта.

Виды проверок РКН:

Профилактический визит. Его цель — показать оператору проблемные места и дать рекомендации по их устранению. Регулятор может вынести штраф только в случае невыполнения предписанных требований. Документарная проверка. Роскомнадзор запрашивает у оператора информацию о локальных документах. Компании или ИП нужно заранее подготовить пакет документов и регулярно его обновлять, а в случае проверки — не игнорировать запросы инспекторов. К таким документам относятся: политика обработки ПДн, согласие субъекта на обработку его данных, приказ о назначении ответственного и другие внутренние регламенты (ст. 9, п.1, 2 ст. 18.1 закона № 152-ФЗ). Выездная проверка. Она может проводиться как с выездом на место, так и с помощью средств аудио- и видеофиксации, с использованием приложения «Инспектор» (п. 41 постановления Правительства от 29.06.2021 № 1046).

В 2025 году сформировалась тенденция на автоматизированную проверку сайтов посредством «умных» алгоритмов. Роскомнадзор запускает ИИ-мониторинг веб-ресурсов.

Искусственный интеллект отслеживает корректность сайтов и наличие запрещенных законом элементов:

сведения об операторе (владельце сайта);

наличие политики, опубликованной в открытом доступе;

согласие на обработку ПДн (расположенное на видном месте и с возможностью физически дать разрешение на использование данных — нажать кнопку «Согласен» или поставить «галочку»);

отсутствие прямой передачи данных в зарубежные страны из списка «небезопасных». Бизнес находится в зоне риска, если использует на сайте иностранные сервисы, формы, скрипты, виджеты, которые передают данные российских граждан за рубеж в обход законодательства РФ.

В некоторых случаях Роскомнадзор вправе проверять операторов без предупреждения — например, как это происходит в случае автоматизированной проверки сайтов. Проинформировать регулятор должен в случае плановой проверки — по почте за три дня до визита.

В 2025 году плановых проверок не предусмотрено в связи с отсутствием объектов контроля, отнесенных к чрезвычайно высокой и высокой категории риска причинения вреда. Но это не повод расслабиться: у оператора всегда должен быть в наличии актуальный пакет документов, обеспечена защита данных от утечек и выполнены другие требования в соответствии с законом № 152-ФЗ и сопутствующими НПА.