Представьте, что вы узнали о внеплановой проверке Роскомнадзором, и инспекторы приедут в вашу организацию в течение 24 часов. Они запросят документы, которых у вас может не оказаться, и зафиксируют нарушения, о которых вы не знали. Результат — миллионные штрафы по ФЗ от 27.07.2006 №152-ФЗ и удар по репутации. Так начинается контрольное мероприятие, инициированное жалобой клиента или утечкой данных.
Мы расскажем, какие бывают виды проверок, что проверяют инспекторов, как подготовиться к визиту и на какие суммы могут оштрафовать за выявленные нарушения.
Какие бывают виды проверок Роскомнадзора
Проверки Роскомнадзора проводятся в разных формах:
Плановая проверка Роскомнадзором. Ее включают в ежегодный сводный план, который публикуют на сайте ведомства до 31 декабря.
Внеплановая проверка Роскомнадзором. Ее инициируют по конкретным жалобам граждан или обращениям органов власти. Например, если клиент пожаловался на незаконную рассылку SMS. О таком визите должны предупредить за 24 часа.
Выездная проверка. Инспекторы приезжают по адресу вашего офиса. Они изучают документы, оборудование, рабочие места, беседуют с сотрудниками — в общем, проверяют все, что связано с соблюдением ФЗ от 27.07.2006 №152-ФЗ.
Документарная проверка. Проходит без визита инспекторов. Вас уведомляют и требуют направить пакет документов в электронном или бумажном виде. Например, копии политики обработки персональных данных, приказов, уведомления об обработке. Если в документах найдут нарушения, могут инициировать выездную проверку.
Инспекционный визит. Это не проверка в строгом смысле. Цель — мониторинг и консультация по ФЗ №152-ФЗ, но в ходе визита могут выявить очевидные нарушения.
Проверка сайта Роскомнадзором. Специалисты в режиме онлайн анализируют ваш сайт и другие онлайн-ресурсы на предмет нарушений. Ищут Политику конфиденциальности, проверяют на незаконный сбор ПДн, нарушения в работе cookie-файлов, запрещенный контент. Нарушения, выявленные дистанционно, часто становятся поводом для внеплановой выездной проверки.
Важно! Сейчас для выявления нарушений на сайтах активно используется искусственный интеллект, который может обнаружить любую мелочь — даже кусочек кода после удаления Google Analytics. Напоминаем, что с 01.07.2025 года его и другие иностранные сервисы использовать запрещено — для сбора ПДн разрешены только российские сервисы и ПО.
Подготовка документов для работы с персональными данными 2025 для организаций
Цели выездных проверок Роскомнадзора
Проведение проверок Роскомнадзором всегда преследует конкретные цели, установленные законом. Выездная проверка — это не случайный визит, а целенаправленная мера контроля. Ее основная цель — проверить, соблюдает ли ваша организация требования законодательства в сфере обработки ПДн.
В рамках этой общей цели инспекторы решают конкретные задачи. Они сформулированы в распоряжении о назначении проверки, которое вам обязаны предъявить. Вот типичный перечень задач, которые ставятся при выездной проверке Роскомнадзора:
Проверка соблюдения обязательных требований ФЗ №152-ФЗ. Инспекторы анализируют, все ли принципы и условия обработки данных вы выполняете. Например, получали ли вы согласие субъекта на обработку его данных для конкретной цели.
Сверка данных из уведомления с реальной деятельностью. Если вы направляли в Роскомнадзор уведомление об обработке персональных данных, инспекторы проверят, соответствует ли заявленная информация фактическому положению дел. Расхождение — серьезное нарушение.
Анализ локальных актов компании. Изучается локальные акты. Они должны не просто существовать, но и реально применяться.
Контроль порядка трансграничной передачи данных. Если вы передаете данные за рубеж (например, используете иностранный облачный сервис), проверят, есть ли у вас правовые основания для такой передачи, предусмотренные ФЗ №152-ФЗ, уведомляли ли вы ведомство о трансграничной передаче.
Оценка процессов обработки данных. Проверяется как автоматизированная обработка (в базах данных, CRM-системах), так и неавтоматизированная (в бумажных картотеках). Важно, чтобы во всех случаях обеспечивались безопасность и конфиденциальность.
Проверка обеспечения конфиденциальности. Инспекторы оценят технические и организационные меры защиты: от парольной политики до разграничения доступа сотрудников к информации.
Установление фактов уничтожения данных. Проверяется, как и когда вы уничтожаете персональные данные, цели обработки которых достигнуты. Например, удаляете ли вы резюме соискателя после завершения конкурса на должность.
Какие документы проверяет Роскомнадзор
При проверке оператора Роскомнадзор в первую очередь запрашивает следующее:
1. Организационно-распорядительные документы:
приказ о назначении лица, ответственного за организацию обработки ПДн;
доверенность на представителя, который будет общаться с инспектором во время проверки.
организационно-штатная структура компании (схема до уровня подразделений).
журнал учета проверок.
2. Документы по взаимодействию с Роскомнадзором:
копия уведомления об обработке персональных данных, направленного в Роскомнадзор;
копия уведомления о внесении изменений в уведомление (если изменения были).
3. Правовые основания обработки данных:
письменные согласия субъектов (например, клиентов, соискателей) на обработку их персональных данных, оформленные по требованиям ст. 9 ФЗ №152-ФЗ;
документы, подтверждающие иные законные основания обработки, если согласие не требуется: например, договоры.
4. Локальные нормативные акты компании:
Политика в отношении обработки персональных данных — главный внутренний документ;
приказы и инструкции, определяющие порядок обработки данных — как автоматизированной, так и ручной;
перечни лиц, имеющих доступ к данным, и их должностные инструкции.
акты об уничтожении материальных носителей персональных данных;
положение о порядке хранения носителей данных.
журнал обращений граждан (субъектов данных) и инструкция по его ведению.
Типовые формы документов, содержащие персональные данные: анкеты, заявления, договоры.
Документы по обеспечению безопасности:
описание информационной системы персональных данных (ИСПДн) с перечнем помещений, рабочих мест, оборудования и носителей;
акт классификации ИСПДн;
документы, подтверждающие применение необходимых мер защиты: приказы о режиме безопасности, журналы учета средств защиты, отчеты о проверках;
копии договоров с третьими лицами на обработку данных.
Как подготовиться к проверке Роскомнадзором: пошаговая инструкция
Шаг 1: проверьте все документы
Начните подготовку с аудита документной базы. Недостаточно просто собрать бумаги в папку — необходимо убедиться в их актуальности и корректности. Подготовка к проверке оператора персональных данных Роскомнадзором требует системного подхода.
Сформируйте полный пакет, как описано в предыдущем разделе, и проведите внутреннюю ревизию. Сверьте сведения в уведомлении, направленном в Роскомнадзор, с реальными бизнес-процессами. Любое расхождение — например, в цели обработки или категориях данных, — станет основанием для предписания.
Шаг 2: зарегистрируйтесь в реестре операторов
Если вы только подали уведомление о начале обработки ПДн и еще не прошло 30 дней, проверьте регистрацию в Роскомнадзоре, воспользовавшись официальным реестром. Достаточно указать ИНН, название компании или регистрационный номер, направленный вам после подачи уведомления.
Важно! До подачи уведомления об обработке ПДн вы не можете собирать данные. Если вы не отправляли документ в Роскомнадзор, но приступили к обработке ПДн, вас могут оштрафовать на сумму до 300 000 рублей. Исключение — случаи, указанные в ст. 22 ФЗ №152-ФЗ: например, если вы обрабатываете ПДн только на бумаге, тогда уведомлять РКН не нужно.
Шаг 3: проведите внутренний аудит
Если вы никогда не проводили аудит или с момента последней проверки прошло более 6 месяцев, стоит повторить. Аудит вы можете выполнить собственными силами или обратиться в компанию, которая специализируется на ФЗ №152-ФЗ.
Что важно учитывать:
1. Внутренний аудит — это системная проверка того, как процессы обработки данных работают в реальности, а не на бумаге. Его цель — выявить и устранить риски до начала проверки компании Роскомнадзором.
2. Такой аудит последовательно охватывает все ключевые зоны:
инвентаризацию всех источников и потоков данных: от CRM-систем и форм на сайте до бумажных анкет и архивов;
анализ правовых оснований: для каждой цели обработки оно должно быть четким: например, согласие, договор или закон (ст. 6 ФЗ №152-ФЗ);
оценку мер защиты: проверяется не только наличие инструкций, но и их выполнение: разграничение прав доступа сотрудников, настройки шифрования, физическая охрана носителей, и т.д.;
выявление уязвимостей: моделируются возможные сценарии утечек, особенно при передаче данных подрядчикам или в зарубежные сервисы;
проверку договоров с третьими лицами: все соглашения, где вы передаете данные (например, хостинг-провайдерам или облачным сервисам), должны содержать требуемые ФЗ №152-ФЗ положения.
Главное правило: если аудит выявил, что реальные процессы не соответствуют вашим документам по персональным данным, обязательно актуализируйте их. Сначала приведите процессы в порядок, а затем зафиксируйте этот порядок в локальных актах. Инспектор обязательно найдет расхождение между практикой и документами.
Подготовка документов для работы с персональными данными 2025 для организаций
За что и на какую сумму могут оштрафовать
Если по итогам проверки организации Роскомнадзор выявит нарушения, оператору грозят штрафы по ст.13.11 КоАП. Мы подготовили таблицу с самыми распространенными нарушениями и санкциями:
Нарушение | Штраф для юрлиц (руб.) | Штраф для ИП (руб.) | Основание |
Обработка ПДн, несовместимая с целями сбора | 150 000-300 000, повторно — 300 000-500 000 | 50 000-100 000, повторно — 300 000-500 000 | |
Обработка ПДн без согласия субъекта, если оно требуется по закону | 300 000-700 000, повторно — 1-1.5 млн | 100 000-300 000, повторно — 500 000-1 млн | |
Невыполнение обязанности по предоставлению неограниченного доступа к Политике обработки ПДн | 30 000-60 000 | 10 000-20 000 | |
Непредоставление субъекту информации, касающейся обработки его ПДн | 40 000-80 000 | 20 000-30 000 | |
Невыполнение обязанности по защите материальных носителей ПДн при обработке без использования средств автоматизации, если это повлекло неправомерный доступ третьих лиц | 50 000-100 000 | 20 000-40 000 | |
Невыполнение требования о локализации баз данных на территории РФ при сборе ПДн через интернет | 1-6 млн, повторно — от 6 до 18 млн | 1-6 млн, повторно — от 6 до 18 млн | |
Неуведомление Роскомнадзора о начале обработки ПДн | 100 000-300 000 | 100 000-300 000 |
Если причиной проверки стала утечка данных, вас ожидают самые высокие штрафы — до 20 млн рублей в зависимости от категорий утекших ПДн и масштаба инцидента. Чтобы минимизировать риски, сохранить репутацию и деньги, закажите подготовку к проверке Роскомнадзором у юристов Всероссийского сервиса «Роском Онлайн». Они проведут полный аудит ваших процессов и документов, чтобы можно было выявить и устранить нарушения до визита инспектора.
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFGaV2Y8
Начать дискуссию