Проверка Роскомнадзора по 152‑ФЗ: как подготовиться и пройти
Если у вас есть сайт, CRM, кадровые документы или рассылки — вы оператор персональных данных. Роскомнадзор по закону 152‑ФЗ контролирует, как соблюдаются правила обработки и защиты ПДн. Ниже — практическое руководство: что именно проверяют, какие документы и доказательства готовить, как проходит проверка 152‑ФЗ и как минимизировать риски.
Table of contents
Что проверяет Роскомнадзор и правовые основания
Роскомнадзор 152 ФЗ о персональных данных проверяет соблюдение базовых принципов и требований оператора. Правовая основа — сам закон 152‑ФЗ в актуальной редакции (текст, изменения 2025), а также связанные нормы КоАП и профильных ведомств.
К ключевым требованиям относятся:
- Принципы и законность обработки: ст. 5, ст. 6 и принципы и цели.
- Специальные категории и биометрия: ст. 9, ст. 10, ст. 10.1, см. также разделы про спецкатегории и биометрические ПДн.
- Обязанности оператора и безопасность: ст. 18, ст. 18.1, ст. 19, см. обязанности оператора и меры безопасности ПДн.
- Уведомление Роскомнадзора и реестр операторов: ст. 22, см. уведомление и реестр.
- Права субъектов: ст. 14, ст. 20, см. права субъектов.
Именно на эти блоки опираются требования Роскомнадзора и ФЗ № 152 при контрольных мероприятиях. Если нужно быстро освежить термины и роли — загляните в глоссарий.
Виды и этапы проверок
Проверки бывают:
- Документарные — запрашивают документы и материалы удаленно.
- Выездные — инспекторы приезжают к оператору, осматривают помещения и ИСПДн.
- Плановые — по ежегодным программам (ориентируются на риск‑ориентированный подход).
- Внеплановые — по обращениям граждан, сообщениям об утечках, предписаниям, поручениям органов.
Как правило, проверка 152‑ФЗ проходит по этапам:
- уведомление и запрос перечня документов;
- анализ представленных материалов;
- при необходимости — выезд и осмотр ИСПДн;
- акт проверки;
- предписание об устранении нарушений и сроки;
- при наличии состава — производство по ст. 13.11 КоАП РФ (см. КоАП 13.11).
Для инцидентов и утечек действует отдельный порядок уведомления — см. инциденты и утечки.
Документы и доказательства соответствия
Ниже — ориентировочный список того, что обычно запрашивают. Конечный перечень зависит от масштаба обработки, отрасли и предмета контроля.
| Что проверяют |
Документ/артефакт |
Где посмотреть/кто отвечает |
Полезные ссылки |
| Публичность, прозрачность |
Политика обработки ПДн на сайте |
Ответственный за ПДн, маркетинг/IT |
Политика, Документы для сайта |
| Законность обработки |
Согласия, уведомления, правовые основания |
HR, юрист, маркетинг |
Согласие, Без согласия, Отзыв согласия |
| Уведомление РКН |
Уведомление/выписка из реестра |
Юрист/ответственный |
Уведомление, Реестр операторов |
| Ответственный и контроль |
Приказ о назначении, программа обучения, проверки |
Руководитель, служба ИБ/HR |
Ответственный, Внутренний контроль |
| Поручение обработки |
Договоры с обработчиками (DPA), ТЗ |
Юрист, закупки |
Поручение, Передача третьим лицам |
| Безопасность ИСПДн |
Модель угроз, уровень защищенности, перечень мер |
ИБ/IT |
Модель угроз, Уровни защиты, Меры безопасности, ФСТЭК/ФСБ, Криптография |
| Сайт и трекеры |
Баннер cookie, тексты согласий в формах, HTTPS, журналы |
Маркетинг/IT |
Требования к сайту, Формы и согласие, Cookie, SSL/HTTPS, Метрика |
| Спецкатегории/дети/медицина |
Условия и согласия, ограничения |
HR, медицина, образование |
Спецкатегории, Биометрия, Медицинские ПДн, Дети |
| Хранение и уничтожение |
Графики сроков, акты уничтожения/блокировки |
HR/архив/ИБ |
Сроки хранения, Уничтожение/блокировка |
| Трансграничная передача |
Обоснование, согласия, список стран/провайдеров |
Юрист/IT |
Трансграничная передача |
Для комплексной подготовки удобен готовый пакет документов 152‑ФЗ.
Подготовка к проверке: пошаговый чек‑лист
Требования Роскомнадзора и ФЗ № 152 охватывают как юридические, так и технические меры. Проведите мини‑аудит:
- Опишите процессы и потоки ПДн: какие категории ПДн, источники, цели, сроки, получатели. См. ИСПДн: определение и требования.
- Проверьте правовые основания: где согласие, а где предусмотрено законом. См. обработка без согласия, ст. 6.
- Обновите публичные тексты: Политику, уведомления, формы согласий, реквизиты оператора.
- Пройдите сайт‑аудит: формы, чекбоксы, цели обработки, баннер cookie, https. См. требования к сайту, онлайн‑проверка сайта.
- Уведомите РКН (если требуется) и проверьте запись в реестре. См. уведомление, ст. 22.
- Назначьте ответственного приказом, определите роль и задачи. См. ответственный.
- Оформите договоры поручения с провайдерами (облака, колл‑центр, курьеры, аутсорс HR). См. поручение.
- Утвердите модель угроз и уровень защищенности ИСПДн, перечень мер, используемые СЗИ. См. модель угроз, уровни защиты.
- Настройте регистрацию событий безопасности, ограничение доступа, шифрование, резервное копирование. См. меры безопасности, криптография.
- Организуйте обучение персонала и внутренний контроль. См. внутренний контроль и обучение.
- Проверьте сроки хранения и процедуры уничтожения/блокировки. См. сроки хранения, уничтожение.
- Подготовьте пакет доказательств (скриншоты, журналы, акты), проведите "генеральную репетицию".
Готовый шаблонный маршрут — в нашем чек‑листе и аудите соответствия.
Типичные нарушения и риски
Чаще всего штрафы прилетают не за сложные вещи, а за базовые пробелы:
| Нарушение |
Как исправить |
Норма/пояснение |
| Нет публичной политики на сайте |
Разместить актуальную политику, добавить ссылки в футер |
Принципы прозрачности, ст. 18.1 |
| Не подано уведомление в РКН |
Оценить обязанность и подать уведомление |
ст. 22 |
| Неверные/скрытые согласия |
Обновить тексты, оформить явное волеизъявление, фиксировать логи |
ст. 6, согласие |
| Cookie и аналитика без баннера/основания |
Настроить баннер, обновить политику cookies |
требования к сайту, cookie |
| Нет договоров с обработчиками |
Заключить DPA/поручение с условиями безопасности |
поручение |
| Нет обучения и внутреннего контроля |
Утвердить программу, журналы инструктажей |
внутренний контроль |
| Отсутствуют меры ИБ |
Определить уровень, внедрить СЗИ, шифрование |
ст. 19, меры |
| Игнор запросов субъектов |
Наладить процесс и сроки ответа, шаблоны |
права субъектов |
За нарушения предусмотрена ответственность по ст. 13.11 КоАП РФ — см. штрафы и ответственность и КоАП 13.11.
Как вести себя в день проверки
- Назначьте одно контактное лицо (обычно — ответственный за ПДн). Все ответы — через него.
- Проверьте документы инспектора и предмет проверки. Фиксируйте все запросы письменно.
- Предоставляйте заверенные копии, сопроводительные письма, описи вложений.
- Не обещайте то, чего нет; не домысливайте — лучше взять паузу и уточнить.
- Обеспечьте рабочее место для инспекторов, доступ к запрошенным системам в режиме демонстрации.
- Ведите собственный журнал событий проверки (кто, когда, что запрашивал/получал).
Техническая часть: ИСПДн, безопасность и демонстрации
Подготовьте доказательства соответствия вашей ИСПДн:
- Актуальная модель угроз и выбранный уровень защищенности.
- Перечень мер из локальных актов, схемы сетей, матрица доступа, роли.
- Примеры логов аутентификации/доступа, отчеты о резервном копировании, журнал админ‑действий.
- Демонстрация шифрования на канале и в хранении (сертификаты, настройки), см. криптография.
- Акты категорирования, акты ввода в эксплуатацию СЗИ, паспорта (при применимости), см. требования ФСТЭК и ФСБ.
- Если используете облака/ЦОД — подготовьте сведения о площадке и договора, см. серверы/хостинг/ЦОД, облака.
Важно: показывайте только необходимый объем данных и по возможности — в обезличенном виде (см. обезличивание ПДн).
Особенности по отраслям и каналам сбора данных
- Кадровые ПДн (работодатели): приказы, личные дела, графики хранения — см. кадры и 152‑ФЗ, документы для работодателя.
- Образование и фото детей: согласия родителей, запреты на публикации — см. образование, фото детского сада.
- Медицина: медданные, врачебная тайна, доступы — см. здравоохранение, медицинские ПДн.
- Гостиницы, туризм: регистрационные карты, передачи в МВД — см. гостиницы.
- Банки/финансы: усиленные меры ИБ, логирование — см. банки.
- Сайты и e‑commerce: формы, платежи, куки, интеграции — см. документы для сайта, WordPress, Tilda, Bitrix, мессенджеры.
- ИП и малый бизнес: упрощенные пакеты, приоритет базовых мер — см. документы для ИП.
Если выявлены нарушения: как закрыть предписания
- Внимательно изучите акт и предписание: предмет, сроки, формат отчета.
- Составьте план корректирующих действий с ответственными и датами.
- Исправьте первоочередные юридические пробелы (уведомление, политика, согласия), затем — технические меры.
- Подтвердите устранение: акты, скриншоты, новые редакции документов, журналы, приказы.
- При несогласии — используйте механизм обжалования. Оцените судебные риски и практику — см. судебная практика.
- При инцидентах выполните требования уведомления и минимизации ущерба — см. действия при нарушении.
Инструменты, шаблоны и помощь экспертов
Вывод и что делать дальше
Роскомнадзор закон 152‑ФЗ применяет последовательно: проверяют законность обработки, прозрачность, безопасность и права субъектов. Подготовка к проверке 152‑ФЗ — это не разовая акция, а системная работа: карта процессов, актуальные документы, обученный персонал и управляемая ИСПДн.
Начните с самопроверки по чек‑листу, обновите сайт и уведомление, затем закройте технические меры и договоры с контрагентами. Если времени мало — закажите экспресс‑аудит и пакет документов: это быстрее и дешевле, чем штрафы.
Готовы к уверенной проверке? Выберите формат помощи: аудит соответствия или документы и консалтинг под ключ — и пройдите проверку Роскомнадзора по 152‑ФЗ без лишних рисков.