Работа с персональными данными регулируется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Нарушения в этой сфере могут привести к серьезным штрафам — до миллионов рублей. В последние годы Роскомнадзор усилил контроль, и попасть под проверку сегодня может любая организация, ИП или даже самозанятый, если они обрабатывают персональные данные клиентов или сотрудников.
В этой статье:
- Кто попадает под проверки Роскомнадзора
- Кто проверяет работу с персональными данными
- Виды проверок Роскомнадзора
- Проверка в соответствии с индикаторами риска
- Как подготовиться к проверке Роскомнадзора
- На что обращают внимание инспекторы Роскомнадзора
- Часто задаваемые вопросы о работе с персональными данными
В этой статье рассмотрим, какие проверки проводит Роскомнадзор (РКН), кто несет ответственность за нарушения, как подготовиться к проверке, чтобы избежать штрафов и какие документы должны быть в каждой компании.
Кто попадает под проверки Роскомнадзора
Под проверку может попасть любая организация, ИП или самозанятый, если они обрабатывают персональные данные (ПДн) сотрудников, клиентов, пользователей сайта.
Многие ошибочно считают, что проверки бывают только у компаний из реестра операторов персональных данных. На деле проверка может прийти к любому, кто собирает или хранит данные, даже если у вас всего пара сотрудников или форма заявки на сайте.
В 2025 году действует риск-ориентированный подход: выделяются группы операторов по тяжести потенциальных негативных последствий, оценивается вероятность несоблюдения обязательных требований.
Кто проверяет работу с персональными данными
Основные органы контроля:
- Роскомнадзор — основной регулятор, проверяет наличие документов, правильность обработки ПДн, работу сайтов.
- ФСБ и ФСТЭК — контролируют техническую защиту информации, особенно в госкомпаниях и у операторов критической инфраструктуры.
- Прокуратура — проводит проверки по жалобам.
Но именно Роскомнадзор чаще всего приходит в бизнес и накладывает штрафы.
Виды проверок Роскомнадзора
Проверки РКН бывают плановыми и внеплановыми, документарными и выездными. Предусмотрен и такой вид проверок, как профилактический визит. Также РКН проверяет сайты компаний на предмет соответствия требованиям к обработке персональных данных, может отреагировать проверкой на жалобу, поступившую от субъекта персональных данных.
Остановимся отдельно на каждом виде проверки.
Профилактический визит
Профилактический визит — это форма взаимодействия контролирующих органов с предпринимателями и организациями, направленная на предотвращение нарушений законодательства. Он проводится в соответствии с Федеральным законом от 31.07.2020 № 248-ФЗ.
Главная задача профилактического визита — снижение административной нагрузки и повышение информированности бизнеса о правилах соблюдения обязательных требований.
Как проводится
Профилактический визит осуществляется только с согласия предпринимателя или по его инициативе. Он проходит:
- на месте ведения деятельности;
- либо в формате видеоконференции.
Срок проведения обязательного профилактического визита — не более 10 рабочих дней. О визите бизнес должны уведомить не позднее чем за 5 рабочих дней до даты его проведения.
Особенности профилактического визита
В ходе визита бизнес получает:
- разъяснения об обязательных требованиях к деятельности или объектам контроля;
- информацию о категории риска и способах ее снижения;
- сведения о планируемых проверках и их интенсивности.
Нужно быть готовым к проверке локальных нормативных актов и мер по защите данных.
Также возможны консультации по вопросам законодательства, сбор данных для определения категории риска объекта контроля.
По итогам выдаются рекомендации, но штрафы не выставляются. Однако в случае если выявленные нарушения обязательных требований не устранены до окончания проведения обязательного профилактического визита, РКН выдает предписание об устранении нарушений.
Профилактический визит — это даже не проверка, а форма поддержки бизнеса. Он помогает предпринимателям понять требования закона, снизить риски и избежать нарушений в будущем.
Как подготовиться:
- Проверьте наличие и актуальность документов.
- Обучите сотрудников и соберите подписи.
- Организуйте хранение бумажных носителей в сейфах.
- Убедитесь, что антивирусы обновлены.
Документарная проверка
В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора. Документарная проверка проводится без выезда в организацию.
Выездная проверка
При выездной проверке в компанию приезжают инспекторы. Инспекторы на месте проверяют, как компания выполняет требования, установленные законом. Изучают все документы, сайты, согласия и договоры. Предусмотрены такие процедуры, как осмотр, опрос, получение письменных объяснений, истребование документов, инструментальное обследование, экспертиза.
Срок проведения — не более 10 рабочих дней.
Что нужно сделать заранее
Чтобы не оказаться оштрафованным, в случае документарной и выездной проверки следует:
- позаботиться о наличии полного пакета документов, связанных с обработкой ПДн (положение, согласия, акты уничтожения и др.);
- проверить соответствие сайта требованиям закона о ПДн (согласия на публикацию фото и видео, правильно оформленные формы подписки на рассылки, согласие на сбор cookie и др.);
- обучить сотрудников правильной работе с ПДн;
- проверить актуальность уведомления в Роскомнадзор (например, согласно ч. 7 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ, уведомление в РКН необходимо скорректировать при изменении таких сведений, как наименования или ФИО оператора ПДн и его адреса, целей обработки ПДн);
- проверить актуальность мер, принимаемых в целях защиты обрабатываемых персональных данных;
- провести внутренний аудит.
Плановая проверка
О плановых проверках РКН предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок обычно публикуется на сайте РКН.
План проверок РКН в 2025 году не формировался из-за отсутствия объектов контроля, отнесенных к чрезвычайно высокой и высокой категории риска причинения вреда. На сайте ведомства уточняется, что п. 11.3 Постановления Правительства РФ от 10.03.2022 № 336 установлено, что до 2030 года в планы проверок включаются только мероприятия в отношении объектов контроля, отнесенных к категориям чрезвычайно высокого и высокого риска, опасным производственным объектам II класса опасности, гидротехническим сооружениям II класса.
Внеплановая проверка
Часто проводится по жалобам физических лиц (бывших сотрудников, клиентов). Например, люди могут жаловаться на нежелательную рекламную рассылку, смс-спам, назойливые телефонные звонки. О внеплановой проверке РКН предупреждает за 24 часа.
Проверка в соответствии с индикаторами риска
Частота проверок РКН зависит от категории риска, присвоенной компании по итогам оценки. Теперь РКН применяет риск-ориентированный подход. Порядок проведения проверок определен Постановлением Правительства РФ от 29.06.2021 № 1046 (в сентябре 2025 года в него были внесены поправки Постановлением Правительства РФ от 27.08.2025 № 1286).
Выделяются такие категории риска:
- высокий риск;
- значительный риск;
- средний риск;
- умеренный риск;
- низкий риск.
Что проверяет РКН
В рамках контроля Роскомнадзор оценивает:
1. Обработку ПДн
- использованием и без использования средств автоматизации;
- процессы получения, хранения, передачи и уничтожения ПДн.
2. Документы и внутренние регламенты компании
То есть речь идет о результатах деятельности по разработке документов и локальных актов контролируемых лиц, указанных в ч. 1 ст. 18.1 152-ФЗ, и принятых оператором мер.
Что именно интересует:
- назначение ответственного за организацию обработки ПДн;
- наличие и доступность политики обработки ПДн (например, на сайте компании);
- разработку и внедрение локальных актов, регулирующих порядок работы с ПДн;
- ознакомление сотрудников с требованиями;
- применение технических и организационных мер защиты, установленных ст. 19 Федерального закона № 152-ФЗ.
Законодательно установлены такие инструменты фиксации нарушений, как фотосъемка, аудио- и видеозапись, а также мобильное приложение «Инспектор». Правила проведения проверок также позволяют использовать компьютеры, ноутбуки, съемные электронные носители информации, копировальные аппараты, сканеры, телефоны (в том числе сотовой связи), механические, технические средства, в том числе принадлежащие контролируемому лицу.
С 18 ноября 2023 года перечень индикаторов риска нарушения обязательных требований в области обработки ПДн был расширен (Приказ Минцифры России от 17.08.2023 № 720). К существующим индикаторам добавлен новый критерий: если Роскомнадзор выявит не менее трех расхождений между:
- сведениями из уведомлений об обработке ПДн или о намерении их трансграничной передачи;
- информацией, опубликованной оператором ПДн на официальном сайте (в рамках установленной обязанности).
Теперь при фиксации индикаторов риска РКН по согласованию с прокуратурой вправе инициировать внеплановую проверку или провести иные контрольно-надзорные мероприятия в отношении компании-оператора ПДн.
Обработка ПДн и тяжесть потенциальных негативных последствий
РКН учитывает тяжесть потенциальных негативных последствий возможного несоблюдения требований. В зависимости от этого выделяются четыре группы тяжести: А, Б, В и Г. Каждая группа включает определенные виды деятельности.
| Группа тяжести | Виды деятельности |
|---|---|
|
А |
Работа с особыми категориями данных – например, с медицинскими сведениями, информацией о национальности, политических взглядах или с биометрией (отпечатки пальцев, фото для идентификации и т. п.). Хранение и обработка больших массивов данных – если в системе компании есть персональные данные более 100 000 человек по региону или всей России. Использование согласия человека, когда оно не обязательно по закону – например, если оператор берет согласие «для подстраховки», хотя обязанность его получать законом не предусмотрена. Сбор данных через интернет с использованием иностранных сервисов – когда информация собирается с помощью сайтов, приложений или систем, принадлежащих иностранным компаниям или гражданам. Передача данных за границу в страны без достаточной защиты – если персональные данные уходят в государства, которые Роскомнадзор не включил в список «безопасных» с точки зрения защиты прав граждан. Передача третьим лицам обезличенных данных – даже если информация формально обезличена (то есть без прямой связи с человеком), но передается сторонним организациям после такой обработки. |
|
Б |
Обработка данных детей и подростков – когда работа с персональными данными несовершеннолетних прямо разрешена законом. Хранение и использование крупных массивов данных – если в системе содержатся сведения более чем о 10 000 человек в пределах одного региона или по всей России. Сбор данных через интернет с использованием зарубежных серверов – когда базы данных находятся за пределами России (в случаях, предусмотренных законом). Передача персональных данных за границу без уведомления РКН – если компания отправляет данные в другие страны, но не подала обязательное уведомление (в ситуациях, когда оно должно быть). Обезличивание и работа с обезличенными данными – если данные обрабатываются внутри компании с использованием утвержденных методов, но не передаются третьим лицам. |
|
В |
Обработка данных близких родственников – например, если организация работает с информацией о членах семьи человека. Хранение средних по объёму баз данных – когда в системе содержатся персональные данные от 1 000 до 10 000 человек (по региону или всей России). Передача данных за границу в «безопасные» страны – если данные отправляются в государства, которые Роскомнадзор включил в официальный список стран с достаточной защитой прав граждан. Публикация данных с разрешения человека – когда сам субъект дал согласие на распространение своих персональных данных (например, разрешил их публикацию в открытом доступе). |
|
Г |
Работа с небольшими базами данных – если в системе хранится информация меньше чем о 1 000 человек (по региону или по всей России). Использование общедоступных данных – когда обрабатываются персональные данные, которые человек сам сделал публичными (например, через соцсети или справочники). |
В некоторых случаях критерии позволяют отнести деятельность компании к различным группам тяжести. В этом случае используется критерий, который относит деятельность к более высокой категории риска.
Обработка персональных данных и группы вероятности
С учетом оценки вероятности несоблюдения обязательных требований деятельность операторов персональных данных разделяется на группы вероятности 1, 2, 3, 4.
К группам вероятности относят деятельность, осуществляемую с нарушениями требований законодательства в области персональных данных, ответственность за которые предусмотрена конкретными частями ст. 13.11 КоАП.
| Группа вероятности | Части ст. 13.11 КоАП | Обстоятельства |
|---|---|---|
|
1 |
1.1, 2.1, 5.1, 9 |
Вступили в силу в течение трех календарных лет, предшествующих дате принятия решения об отнесении деятельности оператора к категории риска, о назначении административного наказания. |
|
2 |
1, 2, 5, 6, 8 |
В течение последних двух лет выданы предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений; вступили в силу в течение трех календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания. |
|
3 |
4,7 |
По фактам нарушений в течение последних двух лет выданы предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений; в отношении нарушений вступили в законную силу в течение трех календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания. |
|
4 |
— |
Обстоятельства отсутствуют. |
Отнесение деятельности оператора к определенной категории риска основывается на соотнесении группы тяжести и группы вероятности согласно таблице, которая приводится в Постановлении Правительства РФ от 29.06.2021 № 1046:
|
Категория риска |
Группа тяжести |
Группа вероятности |
|
Высокий риск |
А |
1 |
|
Б |
1 |
|
|
Значительный риск |
А |
2 |
|
А |
3 |
|
|
Средний риск |
Б |
2 |
|
В |
1 |
|
|
В |
2 |
|
|
А |
4 |
|
|
Б |
3 |
|
|
Умеренный риск |
В |
3 |
|
Г |
1 |
|
|
Г |
2 |
|
|
Низкий риск |
Б |
4 |
|
В |
4 |
|
|
Г |
3 |
|
|
Г |
4 |
Периодичность проверок в зависимости от категории риска
Частота плановых проверок зависит от присвоенной категории риска.
Значительный риск: инспекционный визит или выездная проверка 1 раз в 3 года, плановые проверки отменены.
Средний риск: инспекционный визит или документарная проверка или выездная проверка 1 раз в 4 года, плановые проверки отменены.
Умеренный риск: документарная проверка или выездная проверка 1 раз в 6 лет, плановые проверки отменены.
Низкий риск: плановые проверки и профилактические визиты не проводятся.
Какие документы должна иметь каждая компания
Каждая организация обязана иметь локальные нормативные акты:
- Политику по обработке персональных данных (размещенную на сайте)
- Согласие на обработку ПДн (отдельно под каждой формой)
- Согласие на распространение ПДн (для фото и публикаций)
- Приказы о назначении ответственного за ПДн
- Журнал уничтожения данных и акты уничтожения
- Локальные инструкции и положения по работе с ПДн
Как подготовиться к проверке Роскомнадзора
Требования о том, какие условия нужно соблюдать при работе с персональными данными, установлены большим количеством документов. Но основной из них — это Федеральный закон от 27.07.2006 № 152-ФЗ. Часть статей Трудового кодекса также содержат информацию о порядке работы с персональными данными в отношении работников.
От того, какие категории персональных данных вы обрабатываете, зависит многое. Помимо работников в своей деятельности бизнес сталкивается с соискателями, членами семей работников, третьими лицами, с которыми заключаются договоры ГПХ, а также иными лицами. Поэтому перечень нормативных правовых актов, начиная с базовых и заканчивая специфическими, которые определяют требования к той категории, данные которой обрабатываются, нужно изучать дополнительно.
Например, вы можете иметь дело с биометрическими данными. Тогда вам надо изучить дополнительные документы, которые регламентируют обработку такой информации: как и где их хранить, как защищать.
Нормативные акты, регулирующие проверки Роскомнадзора
Постановление Правительства РФ от 16.03.2009 № 228. Определяет структуру и полномочия Роскомнадзора.
Постановление Правительства РФ от 29.06.2021 № 1046. Регламентирует порядок инспекционных проверок, права и обязанности инспекторов и операторов персональных данных, типы проверок, группы риска и другие аспекты контроля.
Первые шаги при подготовке к проверке
-
Определите перечень актуальных нормативных актов. Выберите только те документы, которые применимы к вашей компании исходя из категорий обрабатываемых персональных данных.
-
Изучите обязательные документы и процедуры. Поймите, какие документы и процессы необходимы для соответствия законодательству.
-
Разберитесь с административной ответственностью. Изучите изменения в штрафах и мерах ответственности, например с помощью статьи Ужесточение ответственности за обработку персональных данных в 2025 году.
Организационные и технические меры
Федеральный закон № 152-ФЗ требует выполнения организационных, правовых и технических требований.
Варианты действий:
Привлечение внешнего специалиста. Эксперт проведет аудит процессов обработки данных, подготовит и внедрит необходимые документы и средства защиты.
Самостоятельная подготовка компании. Включает несколько ключевых шагов:
Пошаговая подготовка компании
-
Назначение ответственного за соблюдение законодательства. В малом и среднем бизнесе это часто бухгалтер, юрист или кадровик. В крупных организациях — отдел информационной безопасности.
-
Назначение ответственного за организацию обработки персональных данных. Обычно это тот же сотрудник, который занимается вопросами персональных данных.
-
Анализ процесса обработки персональных данных. Определите, какие данные собираются, в каких целях и передаются ли третьим лицам. Например:
-
данные работников для соблюдения трудового законодательства;
-
данные клиентов для исполнения договоров;
-
данные соискателей для обработки резюме и заключения договоров.
-
-
Разработка пакета документов. Включает:
-
политику компании в отношении обработки персональных данных;
-
положение о неавтоматизированной обработке;
-
приказы о назначении ответственных;
-
инструкции и акты, необходимые для соблюдения законодательства.
Все документы должны быть утверждены руководством.
-
-
Ознакомление сотрудников с документами. Сотрудники, работающие с бумажными ПДн, должны быть ознакомлены с положением о неавтоматизированной обработке. Все соответствующие сотрудники должны знать внутренние инструкции и процедуры.
-
Размещение основной политики по персональным данным. Это нужно сделать на информационном стенде в компании, на сайте, если собираются данные пользователей (ФИО, телефон, email), в заметной части страницы.
-
Подача уведомления в Роскомнадзор. Способ подачи — онлайн на сайте Роскомнадзора.
После подачи уведомления компания добавляется в реестр операторов персональных данных в течение 30 дней. Это подтверждает соблюдение закона и демонстрирует добросовестность для контрагентов.
На что обращают внимание инспекторы Роскомнадзора
Проверка РКН направлена на то, чтобы убедиться: компания соблюдает требования Федерального закона от 27.07.2006 № 152-ФЗ и сопутствующих нормативных актов. Основное внимание уделяется документам, уведомлениям, организации процессов обработки и защите данных.
1. Уведомление в Роскомнадзор
Первое, что проверяют инспекторы, — подавала ли компания уведомление об обработке персональных данных. Исключения перечислены в ч. 2 ст. 22 152-ФЗ. Уведомление можно не подавать, если обрабатываются:
- данные в государственных автоматизированных информационных системах;
- данные, обрабатываемые без автоматизации в случаях, предусмотренных законом;
- данные в рамках законодательства о транспортной безопасности.
Ошибка: уведомление подано, но не обновлено при смене ответственного за ПДн или изменении процессов.
2. Соответствие уведомления реальным процессам
Если уведомление подано, инспекторы сравнивают его с фактическими процессами обработки. Несоответствия (например, смена ответственного без информирования РКН) могут привести к штрафам.
3. Проверка сайта компании
Роскомнадзор изучает корпоративный сайт. Важные моменты:
- если собираются данные пользователей (ФИО, телефон, email), политика по ПДн должна быть опубликована;
- документ должен быть доступен, важно, чтобы его можно было легко найти на сайте.
Ошибка: политика размещена в труднодоступном разделе или отсутствует вовсе.
4. Формы документов и согласия
Инспекторы могут запросить формы:
- анкеты для соискателей;
- согласия на обработку персональных данных;
- иные бланки, где есть персональные данные.
Приказ Роскомнадзора от 24.02.2021 № 18 устанавливает требования к содержанию согласия на распространение ПДн. Федеральный закон от 24.06.2025 № 156-ФЗ обязывает оформлять согласие на обработку ПДн отдельно от других документов, которые подтверждает и подписывает человек.
5. Обработка специальных категорий персональных данных
К ним относятся сведения о:
- расовой и национальной принадлежности;
- политических взглядах;
- религиозных и философских убеждениях;
- состоянии здоровья;
- интимной жизни.
Такие данные можно собирать только с письменного согласия и на законных основаниях (например, медицинские сведения для подтверждения возможности выполнения трудовых функций).
Ошибка: сбор специальных категорий ПДн без отдельного согласия субъекта.
6. Передача персональных данных третьим лицам
При передаче данных (например, банку в рамках зарплатного проекта) в договоре должны быть указаны:
- цель передачи;
- действия с персональными данными;
- обязанность соблюдать конфиденциальность и безопасность;
- меры по защите информации.
Основание: ч. 3 ст. 6 152-ФЗ.
Ошибка: договор с контрагентом не содержит положений о защите и конфиденциальности ПДн.
7. Защита помещений и документов
Организация должна обеспечить:
- контролируемый доступ в помещения, где обрабатываются ПДн;
- раздельное хранение документов (отдельно по сотрудникам, клиентам и другим категориям);
- хранение в шкафах/сейфах;
- отсутствие открытых документов на столах вне рабочего процесса.
Ошибка: документы с персональными данными хранятся в общем доступе или остаются на рабочих местах после окончания трудового дня.
Часто задаваемые вопросы о работе с персональными данными
В организации назначается сотрудник, который контролирует соблюдение законодательства и отвечает за взаимодействие с субъектами данных. Подробнее см. разъяснение эксперта
Назначить можно любого сотрудника, но чаще всего это юрист или кадровик. Технические специалисты обычно отвечают за безопасность, а не за организацию обработки. Примеры и пояснения
Если изменилось название компании, адрес или состав обрабатываемых данных, необходимо подать уведомление в течение 10 рабочих дней. Как это сделать
Порядок уничтожения напрямую законом не расписан. Обычно создается комиссия, оформляется акт и действует внутренний регламент организации. Подробнее в ответе эксперта
Важно учитывать, где реально и безопасно хранятся документы: регистратура, архив, закрытые шкафы и т.п. Внутренний документ должен описывать меры защиты. См. рекомендации
Да, в большинстве случаев уведомление подается, если данные обрабатываются автоматизированно (например, в программе или CRM). Когда уведомлять, а когда нет
Даже при ремонте телефонов нужно оформлять отдельное согласие клиента на обработку данных. При отказе клиента организация обязана объяснить, что это требование закона. Что нужно прописать в договоре и согласии
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152
Минимизируйте риски: убедитесь в том, что персональные данные защищены в соответствии с ФЗ-152