СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Астрал.Безопасность
15.12.2025
#Статьи #ИБ

Подготовка к проверкам Роскомнадзора: набор документов, «маршрут» проверки и рабочие чек-листы

Подготовка к проверкам Роскомнадзора: набор документов, маршрут проверки и рабочие чек-листы

Проверки Роскомнадзора становятся одним из ключевых элементов контроля в сфере обработки персональных данных, а требования к операторам ПДн — ежегодно возрастают. Сегодня практически любая компания, независимо от отрасли и масштаба, работает с персональными данными сотрудников, клиентов, пользователей или партнёров. Это означает, что организация автоматически попадает в сферу регулирования 152-ФЗ и может стать объектом плановой, внеплановой или профилактической проверки РКН.

Неподготовленность к таким мероприятиям приводит к штрафам, предписаниям, блокировкам интернет-ресурсов и репутационным рискам. При этом значительная часть нарушений связана не с умышленными действиями, а с отсутствием системного подхода, например нерелевантные документы, ошибки в Политике, некорректные согласия, устаревшие уведомления, сбор лишних данных, отсутствие локализации и т.д.

В этой статье мы разберём, какие нормативные акты регулируют деятельность Роскомнадзора, что такое категории риска, как формируется «маршрут» проверки, какие документы будет изучать инспектор и как подготовить сайт, локальные акты и внутренние процедуры, а также, приведём практические рекомендации и рабочие чек-листы, которые помогут пройти проверку без стресса и санкций.

Глоссарий:

РКН (Роскомандзор) — федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

ПДн – персональные данные.

ИСПДн – информационная система персональных данных;

Закон о персональных данных, 152-ФЗ — Федеральный закон от 27.07.2006 № 162-ФЗ «О персональных данных».

248-ФЗ Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации»;

ПП РФ № 1046 — Постановление Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

КоАП РФ — Кодекс Российской Федерации об административных правонарушениях.

НПА – нормативные правовые акты.

ЛНА – локальные нормативные акты.

Основные НПА, регулирующие проверки Роскомнадзора:

  • Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации»;
  • Постановление Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

Что такое категории риска и как они влияют на проверки Роскомнадзора.

При осуществлении федерального государственного контроля (надзора) за обработкой персональных данных применяется система оценки и управления рисками. Риск может быть высокий, значительный, средний, умеренный, низкий. Подробнее о том, как он рассчитывается указано в ПП РФ № 1046. В статье останавливаться на этом подробно не будем, но отметим, кто попадает в зону высокого риска.

К высокому риску могут быть отнесены операторы, характеризующиеся наличием одновременно двух условий (попадают под критерии группы тяжести «А» или «Б» и относятся к группе вероятности 1).

Критерии отнесения к Группе вероятности 1: в течение последних 2х лет РКН выдавал предписания, требования, предупреждения по ч. 1.1, 2.1, 5.1, 8, 9, 12-18 ст.13.11 и ст. 13.11.3 КоАП РФ или в течение последних 3х лет были привлечения по по ч. 1.1, 2.1, 5.1, 8, 9, 12-18 ст.13.11 КоАП РФ и ст. 13.11.3 КоАП РФ.

Критерии отнесения к группе тяжести «А»: Критерии отнесения к группе тяжести «Б»:
Сбор Согласий тогда, когда это не требуется (излишние Согласия, Согласия на всякий случай, хотя есть иные правовые основания)
Обработка биометрии и/или спецкатегорий.Обработка ПДн несовершеннолетних в предусмотренных законом случаях.
Обработка в ИСПДн более, чем 100 000 субъектов.Обработка в ИСПДн более, чем 10 000 субъектов.
Сбор ПДн, в том числе в сети Интернет, с использованием принадлежащих иностранным юридическим лицам информационных систем или программ (например, Google).Сбор ПДн, в том числе в сети Интернет, с использованием баз данных, находящихся за пределами РФ в случаях, когда это касается: требования закона, участия в судах, гос. услуг, журналистской деятельности.
Трансграничная передача ПДн в «неадекватные страны» (не указанные в Приказе РКН от 05.08.2022 № 128).Трансграничная передача данных без уведомления в случаях, определяемых Правительством РФ.
Передача третьим лицам обезличенных данных (по правилам, установленным РКН).Обезличивание ПДн (по правилам, установленным РКН), но без передачи третьим лицам.

От степени риска зависит возможность проведения проверки, ее вид, периодичность:

  • в отношении операторов высокого риска, проводятся одно плановое контрольное (надзорное) мероприятие в 2 года или один обязательный профилактический визит в год;
  • плановые проверки в отношении значительного, среднего, умеренного и низкого риска не проводятся;
  • в отношении низкого риска не проводятся обязательные профвизиты. В отношении значительного, среднего или умеренного риска, их периодичность определяется Правительством Российской Федерации в соответствии с п. 3 ч. 2 ст. 25 248-ФЗ.

Если внеплановая проверка (например, по факту утечки), то проверка будет проходить одинаково для всех, независимо от приведенных критерией.

Контрольно-надзорные мероприятия Роскомнадзора.

Федеральный государственный контроль (надзор) осуществляется Роскомнадзором посредством проведения следующих контрольных (надзорных) мероприятий:

  • Инспекционный визит (это краткосрочная проверка в течение 1 рабочего дня, проводится без предварительного уведомления контролируемого лица, может быть выездным или дистанционным. Включает опрос, получение объяснений, осмотр, истребование документов).
  • Документарная проверка (проводится без посещения организации, РКН вправе запросить письменные объяснения, документы, копии которых нужно направить в соответствующее подразделение ведомства. Срок такой проверки не превышает 10 рабочих дней). Не стоит путать документарную проверку с запросом о получении информации по существу доводов обращения гражданина. Такой запрос направляется в рамках законодательства о рассмотрении обращений граждан, а не контрольно-надзорной деятельности и не является документарной проверкой.
  • Выездная проверка (о такой проверке оператор уведомляется заранее. проверка проводится непосредственно в организации, с приездом инспекторов, но может быть проведена и дистанционно. В рамках этой проверки инспектор может проводить осмотр, обследование, экспертизу, опрос, получать письменные объяснения, истребовать документы. Срок проверки не превышает 10 рабочих дней).

В рамках контроля за обработкой персональных данных проверяются:

  • фактическая деятельность операторов в области обработки персональных данных, включая поручение на обработку, использование или отсутствие автоматизированных средств и тд.;
  • разработанные документы и локальные нормативные акты контролируемых лиц, касающихся обработки персональных данных, а также принятые оператором меры, указанные в ч. 1 ст. 18. 1 Федерального закона «О персональных данных».

Соблюдение требований каких НПА проверяет Роскомнадзор:

На сайте Роскомнадзора опубликован Перечень нормативных правовых актов (их отдельных положений), содержащих обязательные требования, оценка соблюдения которых осуществляется в рамках государственного контроля (надзора). Информация предоставлена в табличной форме по всем сферам, в отношении которых РКН проводит проверки. В Перечне содержится информация о следующих НПА, содержащих обязательные требования в области обработки ПДн, которые будет проверять РКН. Они актуальны для всех операторов ПДн, независимо от видов экономической деятельности. К ним относятся:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Трудовой кодекс Российской Федерации (в части касающейся обработки персональных данных работников).
  • Федеральный закон от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации» (в части касающейся).
  • Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15.09.2008 № 687.
  • Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденный постановлением Правительства Российской Федерации от 21.03.2012 № 211 – если проверяемое лицо является государственным или муниципальным органом.
  • Приказ Роскомнадзора от 19.07.2025 № 140 «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, указанных в пункте 9-1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
  • ·Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

На проверку требований Постановления Правительства РФ № 1119 Роскомнадзор не уполномочен, но тем не менее запросить информацию о принятии организационных и технических мер по защите ПДн Роскомнадзор может.

Роскомнадзор, при осуществлении контроля за обработкой персональных данных, использует проверочный лист, на основании которого можно выделить Основные моменты, на которые следует обратить внимание при подготовке к проверке:

  • Регистрация в Реестре операторов.
  • Назначение ответственного за организацию обработки персональных данных.
  • Разработка и обеспечение неограниченного доступа к Политике по обработке персональных данных.
  • Локальные нормативные акты.
  • Организация хранения и своевременное уничтожение персональных данных.
  • Наличие согласий на обработку персональных данных (в случае отсутствия иных правовых оснований), соответствие письменных согласий требованиям ч. 4 ст. 9 Федерального закона «О персональных данных».
  • Обеспечение надлежащей защиты персональных данных, обрабатываемых в информационных системах.
  • Ознакомление сотрудников, работающих с персональными данными, с требованиями законодательства, а также с локальными актами по вопросам обработки персональных данных.
  • Своевременное реагирование на жалобы, требования и запросы со стороны субъектов персональных данных (в случае их поступления.
  • Прекращение обработки персональных данных в случаях, предусмотренных законом.

Для предупреждения, выявления, прогнозирования и пресечения нарушений требований законодательства, проводятся мероприятия по контролю без взаимодействия с контролируемым лицом:

  • мероприятия в сети «Интернет» (проверки сайтов компаний);
  • мероприятия, проводимые посредством анализа информации о деятельности оператора, которая представляется им непосредственно в силу закона (например, уведомление об обработке ПДн) или может быть получена, например, в ходе межведомственного информационного взаимодействия.

На что обращает внимание Роскомнадзор при проверке сайтов в сети Интернет?

Прежде всего проводится оценка на предмет осуществления сбора персональных данных посредством различных форм (обратная связь, регистрация, обращения и иных форм сбора) или метрических программ.

Наличие факта сбора персональных данных на сайте автоматически влечет проверку на предмет:

  • наличия cookie-баннера при входе на сайт;
  • наличия согласия на обработку персональных данных в формах сбора данных;
  • опубликование Политики обработки персональных данных (в том числе во всех формах сбора данных), оценку содержания такой Политики;
  • соблюдения требований о локализации баз данных сайта на территории России.

Кроме того, инспектор обязательно изучит содержание сайта на предмет размещения на нем персональных данных и в случае их опубликования запросит от оператора предоставления правовых оснований на их публикацию (согласие на распространение, требование закона, договор или иное).

В ходе проверки сайта также могут возникнуть вопросы:

  • о соблюдении требований по трансграничной передаче персональных данных (например, если будет установлено использование на сайте Google Analytics);
  • избыточной обработке персональных данных (например, если в формах сбора собирается больше данных, чем предусмотрено согласием и Политикой);
  • о соблюдении организацией требования чч. 1, 7 ст. 22 Закона о персональных данных: подано ли уведомление об обработке персональных данных и насколько оно актуально (это легко проверить путем сверки уведомления и Политики на сайте, сведениями, полученными в ходе проверки сайта).
  • иные вопросы, связанные с обработкой ПДн.

Несколько рекомендаций, как подготовиться к проверке сайта:

  • Проверить размещение сайта на территории РФ.
  • Проверить наличие файлов cookie, наличие метрических программ — отразить в документе Политика и Согласие. Это можно сделать с помощью интернет-ресурсов. Если у вас уже есть доступ к сервису 152DOC, зайдите в раздел «Сервис» и проведите проверку следуя инструкции.
  • Сделать предупреждающий баннер.
  • Проверить все формы сбора персональных данных, чтобы под ними были ссылки на нужные документы. Ссылки должны быть активными, с переходом на соответствующий документ.
  • Проверить опубликованный на сайте документ Политика. Документ должен быть актуальным и содержать необходимые разделы.
  • Проверить наличие поданного уведомления в РКН и его актуальность.
  • Проверить соответствие Уведомления документу Политика в области обработки ПДн.
  • Проверить отсутствие предустановленных галок в формах Согласия.
  • Проверить правовые основания распространения ПДн на сайте (обеспечить получение соответствующего согласия при необходимости).

Что такое профилактический визит и как он проводится?

Основная цель профилактического визита — предупреждение нарушений обязательных требований и профилактика рисков причинения вреда (ущерба) охраняемым законом ценностям.

Инициатором профилактического визита может быть как контролирующий орган (обязательный профилактический визит), так и сам оператор. От проведения обязательного профилактического визита оператор отказаться не может.

Профилактический визит проводится в форме профилактической беседы, не превышает 10 рабочих дней. Специалисты Роскомнадзора могут пообщаться с представителями оператора непосредственно по месту осуществления деятельности или онлайн. В рамках обязательного профилактического визита инспектор при необходимости может проводить, например, осмотр, истребование необходимых документов, обследование.

На практике Роскомнадзор проводит профилактические визиты в отношении тех операторов, которые только начали свою деятельность по обработке персональных данных. О дате начала обработки персональных данных Роскомнадзор узнает из уведомления об обработке персональных данных (в 2026 году под профилактические визиты могут попасть компании, которые начали обрабатывать персональные данные в 2025 году).

Однако дата начала обработки данных — не единственный критерий выбора операторов. Например, профилактический визит может быть запланирован, если компанию отнесли к категории чрезвычайно высокого, высокого и значительного риска, но такой подход встречается реже.

Мероприятие носит профилактический характер, в ходе профилактического визита оператора информируют об обязательных требованиях, о том, к какой категории риска относится деятельность оператора, как снизить категорию риска, какие последствия несет присвоение определенной категории риска, отвечает на вопросы оператора, консультирует, дает рекомендации.

В то же время инспектор осуществляет ознакомление с деятельностью оператора, собирает сведения, необходимые для определения категории риска оператора и проводит оценку уровня соблюдения контролируемым лицом обязательных требований.

Если выявленные инспектором нарушения не устранены до окончания проведения обязательного профилактического визита контролируемому лицу выдается Предписание об устранении выявленных нарушений.

Рекомендуем подготовиться к профилактической беседе с сотрудниками Роскомнадзора, чтобы снизить или избежать нарушений, а также получить максимальную пользу от данного мероприятия.

Несколько рекомендаций, как подготовиться к профилактическому визиту:

  • Соберите полный комплект локальных актов по вопросам обработки персональных данных, которые есть в компании на день уведомления о проведении профилактического визита, и передайте их инспектору, проводящему профилактический визит.
  • Лучше направить комплект документов заранее, чтобы у инспектора было достаточно времени более подробно их изучить и подготовить рекомендации по полноте комплекта и содержанию имеющихся в нем документов.
  • Если локальных актов по вопросам обработки персональных данных нет или пакет неполный – разработайте их до окончания профилактического визита и предоставьте инспектору, чтобы не получить предписание за их отсутствие.
  • Подготовьте список проблемных вопросов в области обработки персональных данных, чтобы задать их в ходе профилактического визита. Профилактический визит предполагает возможность получения консультации по всем установленным обязательным требованиям и вопросам, связанным с порядком осуществления государственного контроля (надзора).
  • Обязательно пригласите принять участие в профилактическом визите (или подключиться к нему, если он проводится онлайн) ответственного за организацию обработки персональных данных.

Также можно привлечь к участию сотрудников, допущенных до обработки персональных данных, ведь в ходе профилактического визита будут рассмотрены основные требования 152-ФЗ, а также может быть обращено внимание на типовые нарушения, допускаемые в ходе обработки ПДн.

В заключение подведем краткий итог, что необходимо сделать чтобы быть готовым к визиту РКН:

  • В первую очередь необходимо определить, какие нормативно-правовые акты распространяются на вашу организацию. Перечень требований может отличаться для разных организаций, в зависимости от того, чьи персональные данные вы обрабатываете, и от типа самой информации.
  • Проверить все документы по персональным данным: от регистрации в органах Роскомнадзора до согласий, положений, актов об уничтожении данных.
  • Убедиться, что документы соответствуют требованиям законодательства. При необходимости переподписать документы с работниками и включить в них обязательные условия. Это позволит предотвратить риски, связанные с нарушениями на бумажных носителях.
  • Проверить соблюдение законодательства о ПДн при ведении сайта, использовании мобильных приложений и иных информационных ресурсов;
  • Провести анализ на предмет необходимости проведения уничтожения материальных носителей ПДн и информации, содержащейся в информационных системах. При необходимости – провести удаление и уничтожение ненужных/излишних/неактуальных сведений;
  • Установить и зафиксировать документально места хранения ПДн, разграничить доступ сотрудников к ПДн;
  • Проинструктировать работников и включить в ваши внутренние документы порядок поведения сотрудников, работающих с персональными данными.

Результаты проверки также зависят от взаимодействия оператора с контролирующим органом (своевременное предоставление запрашиваемой информации и документов, обеспечение доступа в помещения, где ведется обработка персональных данных и т. д.). Воспрепятствование законной деятельности должностного лица Роскомнадзора может привести к привлечению к административной ответственности по ст. 19.4.1 КоАП РФ. Поэтому не стоит относиться к проверкам негативно и пытаться их «сорвать». Лучший способ успешно пройти проверку — предварительно подготовиться к ней.

Заключение

Грамотная подготовка к проверкам Роскомнадзора — это не разовая задача, а элемент постоянного процесса управления соответствием требованиям 152-ФЗ. Оператору важно поддерживать документы в актуальном состоянии, регулярно проверять сайт, контролировать полноту и корректность согласий, отслеживать изменения законодательства и своевременно уведомлять РКН об обработке персональных данных.

Даже при наличии формально оформленных документов ключевым фактором остаётся фактическая деятельность компании: как реально организовано хранение данных, кто имеет доступ, как уничтожается информация, как сотрудники соблюдают требования ПДн в ежедневной работе. Именно эти нюансы чаще всего становятся причиной нарушений.

Последовательная подготовка значительно снижает риски и позволяет оператору пройти проверку без последствий. А взаимодействие с инспекторами в корректном и прозрачном формате помогает не только избежать штрафов, но и получить рекомендации по улучшению процессов, что в долгосрочной перспективе повышает уровень защищённости данных внутри организации.

Автор статьи: Кочергина Дарья, эксперт по работе с персональными данными ГК «Астрал».

Астрал.Безопасность
Автор: Астрал.Безопасность
ГК “Астрал” — российская IT-компания, с 1993 года создает и внедряет прогрессивное программное обеспечение и решения на базе искусственного интеллекта. Астрал помогает коммерческим организациям и государственным структурам по всей России выбрать оптимальное ИТ-решение под их бизнес-задачи, бюджет и сроки.
Комментарии: