Подготовка к проверке Роскомнадзора: сценарий и документы

Подготовка к проверке Роскомнадзора по 152‑ФЗ: сценарий и документы

Зачем готовиться и кого проверяют

Подготовка к проверке 152‑ФЗ актуальна для любого оператора персональных данных: бизнеса, НКО, школ, клиник, маркетплейсов и госучреждений. Проверки Роскомнадзора 152‑ФЗ бывают плановые и внеплановые (по жалобе субъекта, при инциденте, по поручению органов). В фокусе инспекции — законность и безопасность обработки ПДн, выполнение обязанностей оператора, наличие документов и фактическое соблюдение процедур.

Для быстрой ориентации по нормам закона смотрите: о законе 152‑ФЗ, структура и статьи, текст закона, а также обновления: изменения 2025.

Как проходят проверки Роскомнадзора: сценарий по шагам

Схема сценария проверки: уведомление → запрос документов → осмотр сайта → выездная инспекция → предписание

Типовой сценарий проверки 152‑ФЗ:

Получить CloudPayments бесплатно

Уведомление и цель проверки

Вы получаете письмо (ЭДО/почта) о проведении мероприятий. Указываются предмет, перечень документов и срок представления.

Камеральная стадия

Анализ сайта, публичных документов, наличия уведомления в реестре операторов (реестр операторов ПДн, уведомление Роскомнадзора).
Запрос пакета документов, локальных актов, соглашений с подрядчиками, доказательств выполнения требований безопасности.

Выездная проверка (при необходимости)

Осмотр помещений, ИСПДн, интервью сотрудников, проверка фактических практик: доступ, журналы, уничтожение/блокировка, работа с обращениями субъектов.

Итоговые действия

Акт с выявленными нарушениями, предписание об устранении, при наличии составы по КоАП — протоколы. Далее контрольное мероприятие.

Важно: Сроки ответа указаны в письме (часто 5–10 рабочих дней). Пропуск сроков — отдельный риск.

Документы, которые запросят: пакет для 152‑ФЗ

Камеральная часть почти всегда начинается с запроса документов. Ниже — каркас, который инспекторы ожидают увидеть. Развернутый набор смотрите в пакет документов по 152‑ФЗ.

Документ/артефакт	Назначение	Норма 152‑ФЗ и смежные	Кому обязательно
Политика обработки ПДн (публичная)	Прозрачность для субъектов	ст. 18.1	Всем операторам
Положение, регламенты, перечень процессов и категорий ПДн	Описать что, зачем, на каком основании обрабатывается	ст. 18, ст. 5, ст. 6	Всем
Приказ о назначении ответственного	Контроль и внедрение практик	ст. 22.1	Всем
Реестр обращений субъектов, шаблоны ответов	Реализация прав субъектов	права субъектов, ст. 14, ст. 15	Всем
Формы согласий (в т. ч. на распространение)	Правомерность обработки	ст. 9, согласие, согласие на распространение	По необходимости
Договоры поручения, ДПА с контрагентами	Законная передача и поручение	поручение обработки, передача третьим лицам	Всем
Уведомление РКН/выписка из реестра	Проверка обязанности уведомления	ст. 22, уведомление	По критериям ст. 22
Модель угроз, уровни защищенности, меры ИБ	Безопасность ИСПДн	ст. 19, уровни защищенности, модель угроз, ФСТЭК/ФСБ	ИСПДн
Журналы доступа, акты уничтожения/блокировки	Доказательства соблюдения сроков	сроки хранения, уничтожение и блокировка	Всем
Записи об обучении, проверки	Внутренний контроль	внутренний контроль и обучение	Всем

Дополнительно для специальных категорий: биометрические ПДн, медицинские ПДн, дети и несовершеннолетние.

Технические и организационные меры: что покажете инспектору

РКН оценивает не только бумаги, но и фактические меры защиты ИСПДн:

Классификация ИСПДн, определение актуального уровня защищенности: ИСПДн: определение и требования, уровни защищенности.
Модель угроз и план реализации мер: модель угроз ИСПДн, криптография/шифрование.
Организационные меры: разграничение прав, учет носителей, режим помещений, NDA.
Процедуры ликвидации инцидентов: инциденты и утечки ПДн, кто уведомляет, в какие сроки и кого.
Внутренний контроль и обучение: программы, протоколы, тесты (внутренний контроль).

Совет: держите в одном месте «папку РКН» с копиями ключевых приказов, журналов, актов и контактами ответственного.

Что РКН посмотрит на сайте и в мобильном приложении

В большинстве кейсов проверка начинается с внешнего осмотра ресурсов:

Публичные документы: политика обработки ПДн, политика конфиденциальности, уведомления.
Грамотные формы согласий и чекбоксы: формы на сайте и согласие, шаблоны и формы.
Cookie‑баннер, реестр cookies, настройка аналитики: cookie и баннеры, Яндекс.Метрика, мессенджеры.
HTTPS и защита трафика: SSL/HTTPS.
Корректные основания обработки маркетинга и рекламы: реклама и ПДн.

Проверьте себя заранее: требования к сайту, онлайн‑проверка сайта, аудит сайта 152‑ФЗ.

Персонал, подрядчики и трансграничная передача

Ответственный за ПДн: назначение, должностная инструкция, полномочия — см. ответственный за обработку ПДн.
Обучение сотрудников: вводное и периодическое, фиксация результатов — внутренний контроль и обучение.
Подрядчики: договоры поручения и ДПА, технические и организационные меры, аудит — поручение обработки ПДн, передача третьим лицам.
Трансграничная передача: правовые основания, уведомление/оценка, в отдельных случаях запреты — трансграничная передача ПДн.

Если используете облака и внешние ЦОДы: смотрите серверы, хостинг, ЦОД и облака Yandex Cloud.

Проверка и штрафы по 152‑ФЗ: риски и типичные нарушения

Проверка и штрафы по 152‑ФЗ опираются на ст. 13.11 КоАП РФ. Составов несколько (за незаконную обработку, отсутствие согласий, несоблюдение безопасности, невыполнение требований субъекта, нарушение трансграничной передачи и др.). Конкретные санкции смотрите в разделах: КоАП 13.11 и ответственность и штрафы.

Чего опасаются чаще всего:

Типичное нарушение	Что увидит РКН	Возможные последствия
Нет уведомления оператора при обязанности уведомлять	В реестре нет записи, или данные неактуальны	Предписание + штраф по КоАП 13.11
Сайт без корректного cookie‑баннера и политики	Фиксация событий при первом визите без согласия	Штрафы за незаконную обработку, предписание удалить/исправить
Отсутствуют договоры с контрагентами‑обработчиками	Реклама/облачные сервисы без поручения	Штрафы за передачу 3‑м лицам, риски блокировки каналов
Нет актов уничтожения, сроки хранения не соблюдены	Архивы «навсегда», нет процедур	Штраф + предписание уничтожить/обезличить
Утечка и неуведомление	Следы инцидента, жалоба субъекта	Отдельные составы КоАП, предписание, репутационные потери

Штрафы для юрлиц по различным частям ст. 13.11 варьируются от десятков тысяч до миллионов рублей; при повторности и грубых нарушениях совокупность санкций существенно возрастает.

План экспресс‑подготовки за 14 дней

Не ждите письма — подготовка к проверке 152‑ФЗ должна быть постоянной. Но если времени мало:

День 1–2

Назначьте ответственного, соберите проектную группу (юрист, ИБ, HR, маркетинг).
Инвентаризируйте процессы: какие ПДн, зачем, на каком основании, сроки хранения, ИСПДн, подрядчики.

День 3–5

Обновите/подготовьте: политику обработки ПДн, локальные регламенты, реестр процессов.
Проверьте сайт: требования к сайту, cookie и баннеры, SSL/HTTPS. Запустите онлайн‑проверку.

День 6–8

Согласия: обновите шаблоны, добавьте согласие на распространение при необходимости (согласие, согласие на распространение).
Контрагенты: подпишите поручения с рекламными, облачными и аутсорс‑сервисами (поручение обработки).

День 9–11

ИБ‑пакет: уровень защищенности, модель угроз, перечень мер, журналы доступа и актов уничтожения (уровни, модель угроз).
Обучение персонала: экспресс‑брифинг + фиксация прохождения (внутренний контроль и обучение).

День 12–14

Уведомление РКН (если обязаны) либо актуализация сведений (уведомление).
Сформируйте «папку РКН»: опись, копии документов, контакты ответственных, шаблоны ответов субъектам, лог действий.

В помощь: чек‑лист 152‑ФЗ и аудит соответствия 152‑ФЗ.

Перечень запросов, которые чаще всего направляет РКН

Пример письма РКН: перечень документов, срок предоставления, предмет проверки

Подготовьте ответы заранее на типовые пункты:

Политика ПДн, локальные акты, приказы о назначении ответственных.
Перечень ИСПДн, уровень защищенности, модель угроз, перечень мер ИБ, журналы доступа.
Договоры поручения, перечень операторов и обработчиков, трансграничная передача и её основания.
Формы согласий (в т. ч. на распространение), механика управления согласием и его отзыву (отзыв согласия).
Реестр обращений субъектов, шаблоны ответов, сроки обработки запросов.
Акты уничтожения и блокировки, порядок соблюдения сроков хранения и прекращения обработки.
Сведения об уведомлении в реестр, если это требуется.

Если проверка затрагивает отраслевые нюансы, подготовьте доп. документы: для HR — кадры и 152‑ФЗ, для клиник — здравоохранение, для отелей — гостиницы, для школ — образование, для банков — банки и 152‑ФЗ.

Частые вопросы и ошибки

Нужно ли уведомлять РКН? Зависит от целей и способов обработки — сверяйтесь с ст. 22 и разделом уведомление Роскомнадзора.
Достаточно ли одной политики на сайте? Нет. Нужны внутренние регламенты, приказы, акты, договоры, меры ИБ.
Нужно ли согласие всегда? Нет: есть альтернативные основания обработки (обработка без согласия), но согласие обязательно для отдельных случаев и категорий ПДн.
Что делать при инциденте? Активируйте процедуру реагирования, фиксируйте события, устраняйте последствия, уведомляйте заинтересованных лиц — см. инциденты и утечки ПДн и действия при нарушении.
Что если у нас GDPR? Российские требования применяются отдельно — сравнение: GDPR и 152‑ФЗ.

Итоги и что делать дальше

Грамотная подготовка к проверке 152‑ФЗ — это системная работа: понятные основания и цели обработки, закрытый пакет документов, устойчивые меры безопасности, обученный персонал и контроль подрядчиков. Начните с инвентаризации и быстрой правки «витрины» — сайта и публичных документов, затем укрепите ИСПДн и процедуры.

Нужна помощь? Закажите аудит соответствия 152‑ФЗ или готовый консалтинг и документы под ключ. Для ускорения используйте наш генератор политики и согласий и чек‑лист 152‑ФЗ. Так вы снизите риски, пройдете инспекцию спокойно и избежите штрафов.

Получить CloudPayments бесплатно