Проверка Роскомнадзора: полное руководство по подготовке и соблюдению требований в 2026 году

В условиях ужесточения регулирования в сфере персональных данных (ПДн) проверка Роскомнадзора (РКН) остается одним из ключевых рисков для бизнеса и государственных организаций. К 2026 году законодательство претерпело значительные изменения: расширились обязанности операторов, ужесточились требования к уведомлению регулятора и реагированию на инциденты.

Данная статья носит информационный характер и призвана помочь операторам персональных данных систематизировать знания о регуляторных требованиях на основе актуальных нормативных актов (152-ФЗ, Постановления Правительства № 1119 и № 687) и подготовить организацию к возможному контролю.

---

1. Правовая основа контроля

Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется в соответствии со статьей 23.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» [консультант.ру] и Федеральным законом от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

Кто проверяет: Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) [сайт Роскомнадзора].
Предмет проверки: Соблюдение операторами обязательных требований в области персональных данных.

Виды мероприятий контроля могут включать:

• Выездные и выездные проверки (взаимодействие с контролируемым лицом).
• Мероприятия без взаимодействия (мониторинг, анализ реестров, сканирование сайтов).
• Рассмотрение обращений граждан.

---

2. Чек-лист: что проверяет Роскомнадзор

На основе анализа 152-ФЗ и подзаконных актов, можно выделить ключевые зоны риска, которые изучаются в ходе проверки.

2.1. Уведомление об обработке (Статья 22 152-ФЗ)

Это одно из самых частых нарушений.

• Требование: Оператор обязан уведомить РКН о намерении осуществлять обработку ПДн до начала такой обработки.
• Важное изменение: С 1 сентября 2022 года большинство исключений из обязанности уведомления (пункты 1–6 части 2 статьи 22) утратили силу.
• Когда уведомлять не нужно (актуально на 2026 год):
  1. Обработка осуществляется исключительно в государственных информационных системах, созданных в целях защиты безопасности государства и общественного порядка.
  2. Обработка осуществляется исключительно без использования средств автоматизации (полностью на бумаге, при соблюдении условий Постановления № 687 [гарант.ру]).
  3. Обработка осуществляется в случаях, предусмотренных законодательством о транспортной безопасности.
• Действие: Проверьте наличие записи в Реестре операторов на сайте РКН. Если вас там нет и вы не подпадаете под узкие исключения — подайте уведомление.

2.2. Организационно-распорядительная документация (Статья 18.1 152-ФЗ)

Оператор обязан принимать меры для выполнения обязанностей закона. Документация должна быть в наличии и актуализирована:

• Политика обработки персональных данных (опубликована на сайте или доступна неограниченному кругу лиц).
• Приказ о назначении ответственного за организацию обработки ПДн (для юрлиц обязательно).
• Локальные акты, определяющие категории ПДн, цели обработки, сроки хранения и порядок уничтожения.
• Перечень лиц, имеющих доступ к ПДн.
• Журналы учета обращений субъектов ПДн.
• Обязательство о конфиденциальности для сотрудников.

2.3. Согласие на обработку (Статья 9 152-ФЗ)

• Требование: Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
• Форма: Оформляется отдельно от иных документов (не «вшито» в договор мелким шрифтом).
• Специальные категории и биометрия: Требуется письменное согласие (ст. 10, 11 152-ФЗ), за исключением случаев, предусмотренных законом (например, оборона, безопасность, медицина).
• Распространение ПДн: Если вы планируете передавать данные неограниченному кругу лиц, требуется отдельное согласие в соответствии со ст. 10.1 152-ФЗ с возможностью установки запретов субъектом.

2.4. Защита персональных данных (Статья 19 152-ФЗ, Постановление № 1119)

РКН проверяет, приняты ли меры по защите данных от неправомерного доступа.

• Классификация ИСПДн: Определите уровень защищенности (1–4) согласно Постановлению Правительства № 1119.
  • Учитываются: тип данных (специальные, биометрические, иные), объем (более/менее 100 тыс. субъектов), тип угроз (1–3 типа).
• Определение актуальных угроз: Проводится оператором с учетом «Базовой модели угроз безопасности персональных данных» [ФСТЭК] и «Методики определения актуальных угроз» [ФСТЭК].
• Меры защиты:
  • Уровень 4: Режим безопасности помещений, сохранность носителей, перечень лиц с доступом, сертифицированные средства защиты (при необходимости).
  • Уровень 3: + Назначение ответственного за безопасность.
  • Уровень 2: + Разграничение доступа к электронным журналам.
  • Уровень 1: + Автоматическая регистрация изменений полномочий, создание структурного подразделения по безопасности.
• Контроль эффективности: Проводится не реже 1 раза в 3 года (п. 17 Постановления № 1119).

2.5. Обработка без автоматизации (Постановление № 687)

Если часть данных ведется на бумаге (например, журналы пропуска, личные дела):

• Данные должны быть обособлены от иной информации (отдельные папки, разделы) [гарант.ру].
• Запрещено фиксировать на одном носителе данные с несовместимыми целями обработки.
• Журналы пропуска должны вести учет только необходимой информации, копирование страниц запрещено.
• Уничтожение бумажных носителей должно быть фиксируемым (акт уничтожения).

2.6. Права субъектов ПДн (Статьи 14, 20 152-ФЗ)

РКН может запросить доказательства того, как вы реагируете на запросы граждан.

• Срок ответа: 10 рабочих дней (может быть продлен еще на 5 дней с уведомлением заявителя).
• Обязанности: Предоставить информацию о обработке, уточнить, заблокировать или уничтожить данные по требованию субъекта.
• Отзыв согласия: Обработка должна быть прекращена в срок не более 10 рабочих дней (ст. 21 ч. 5.1), если нет иных законных оснований для хранения.

2.7. Инциденты и утечки (Статья 21 152-ФЗ)

С 2022 года введены жесткие требования к уведомлению об инцидентах (ч. 3.1 ст. 21):

• 24 часа: Уведомить РКН о факте инцидента, предполагаемых причинах и вреде.
• 72 часа: Предоставить результаты внутреннего расследования.
• Ведется реестр инцидентов у уполномоченного органа.

2.8. Трансграничная передача (Статья 12 152-ФЗ)

• Требуется отдельное уведомление РКН о намерении осуществлять трансграничную передачу до начала такой деятельности.
• Необходимо получать сведения от иностранного лица о мерах защиты данных.
• Передача в страны, не обеспечивающие адекватную защиту, может быть ограничена или запрещена решением РКН.

---

3. Пошаговый план подготовки к проверке

Шаг 1. Аудит текущей деятельности

• Составьте реестр всех процессов обработки ПДн (HR, клиенты, видеонаблюдение, пропускной режим).
• Определите, какие данные собираются, где хранятся (серверы в РФ или за рубежом), кто имеет доступ.
• Проверьте актуальность уведомления в Роскомнадзоре (соответствует ли оно реальности) [Реестр операторов].

Шаг 2. Приведение документов в порядок

• Обновите Политику обработки ПДн и разместите её на сайте (если есть сбор через интернет).
• Проверьте формы согласий: они должны соответствовать требованиям ст. 9 152-ФЗ (отдельный документ, полный перечень пунктов).
• Издайте приказы о назначении ответственных лиц.
• Подготовьте акты об уничтожении данных, достигших срока хранения.

Шаг 3. Техническая защита

• Проведите аттестацию или оценку уровня защищенности ИСПДн согласно Постановлению № 1119.
• Используйте средства защиты информации, прошедшие оценку соответствия требованиям законодательства [ФСТЭК: порядок сертификации].
• При выборе мер защиты ориентируйтесь на Приказ ФСТЭК России от 18.02.2013 № 21 (состав и содержание мероприятий по защите информации).
• Настройте логи доступа к базам данных.

Шаг 4. Работа с персоналом

• Проведите обучение сотрудников, работающих с ПДн.
• Подпишите обязательства о неразглашении.
• Инструктируйте сотрудников о порядке действий при запросах от субъектов ПДн или РКН.

Шаг 5. Проверка контрагентов

• Если вы поручаете обработку третьим лицам (аутсорсинг, облака), проверьте наличие договоров поручения обработки (ст. 6 ч. 3 152-ФЗ).
• В договоре должны быть прописаны обязанности по соблюдению конфиденциальности и безопасности.

---

4. Действия во время проверки

1. Запрос документов: РКН вправе запрашивать информацию (ст. 23 152-ФЗ). Срок ответа — 10 рабочих дней (может быть продлен на 5 дней).
2. Предоставление доступа: При выездной проверке обеспечьте доступ инспекторов к информационным системам и документам в рамках предмета проверки.
3. Фиксация результатов: Внимательно изучайте акт проверки. Если вы не согласны с выводами, предоставляйте письменные возражения в установленный срок.

---

5. Ответственность за нарушения

Нарушение требований 152-ФЗ влечет за собой ответственность (ст. 24 152-ФЗ, КоАП РФ):

• Административная: Штрафы для юридических лиц могут достигать значительных сумм (в зависимости от статьи КоАП, например, за неуведомление, обработку без согласия, невыполнение обязанностей по обеспечению безопасности).
• Блокировка: РКН вправе требовать блокирования или уничтожения данных, обрабатываемых с нарушением закона (ст. 23 ч. 3 п. 4 152-ФЗ).
• Возмещение вреда: Субъект ПДн вправе требовать возмещения убытков и компенсации морального вреда в судебном порядке.
• Уголовная: В случаях незаконного сбора или распространения сведений о частной жизни (ст. 137 УК РФ).

---

Заключение

Подготовка к проверке Роскомнадзора в 2026 году — это не разовое мероприятие, а процесс постоянного комплаенса. Ключевые фокусы сместились в сторону прозрачности обработки (уведомления), безопасности (уровни защищенности) и быстрого реагирования на инциденты.

Рекомендация: Регулярно (не реже раза в год) проводите внутренний аудит на соответствие требованиям 152-ФЗ [консультант.ру], Постановлений № 1119 [консультант.ру] и № 687 [гарант.ру]. Это позволит минимизировать риски штрафов и сохранить репутацию надежного оператора персональных данных.

---

Приложение: Ключевые нормативные акты и ресурсы

Документ	Ссылка
Федеральный закон № 152-ФЗ «О персональных данных»	[консультант.ру]
Постановление Правительства № 1119 (требования к защите ПДн)	[консультант.ру]
Постановление Правительства № 687 (обработка без автоматизации)	[гарант.ру]
Сайт Роскомнадзора	[rkn.gov.ru]
Реестр операторов ПДн	[pd.rkn.gov.ru]
Приказ ФСТЭК № 17 (требования к защите ПДн в ИСПДн)	[fstec.ru]
Приказ ФСТЭК № 21 (меры защиты информации)	[fstec.ru]
Базовая модель угроз безопасности ПДн	[ФСТЭК]
Методика определения актуальных угроз	[ФСТЭК]
Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»	[консультант.ру]

Примечание: Данная статья является обзорной. Для принятия конкретных юридических решений рекомендуется обращаться к тексту нормативных актов и консультироваться с профильными юристами.