menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Кто следит за защитой персональных данных: полный разбор по ведомствам и рискам

лонгриды
13.01.2023
13/08/25
Максим Шаманаев,
Б-152
Лонгриды
События /
Кто следит за защитой персональных данных: полный разбор по ведомствам и рискам
Защита персональных данных в современной России уже не просто формальное исполнение требований одного закона. Сфера вышла за рамки сугубо юридического регулирования и превратилась в многослойную систему контроля, в которую вовлечены сразу несколько ведомств: от профильных регуляторов до прокуратуры.
Каждый орган действует в пределах своей компетенции, но вместе они формируют экосистему надзора, охватывающую весь жизненный цикл данных: от их сбора до уничтожения.
Причина такой сложности в самой природе ПДн. Персональные данные используются не только для документооборота, но и в маркетинге, здравоохранении, банковской сфере, образовательных платформах, электронных пропусках, биометрии. Их обработка связана с рисками: как для конкретного человека (утечка, дискриминация, манипуляция), так и для бизнеса (штрафы, репутационные потери, блокировки). Поэтому государство делегирует контроль разным ведомствам, в зависимости от типа угроз и используемых технологий.
Ключевые регуляторы, вовлеченные в защиту ПДн:
Содержание
Роскомнадзор — ключевой регулятор по персональным данным
ФСТЭК России — технический контроль и защита ИСПДн
ФСБ России — криптографическая защита и лицензии
Центральный банк РФ — контроль в финансовом секторе
Прокуратура — орган общего надзора за законностью
Минцифры России — координатор цифровых инициатив
Межведомственное взаимодействие: когда регуляторы работают вместе
Отраслевое регулирование — когда 152‑ФЗ недостаточно
Вывод: защита персональных данных — это система, а не один регулятор
Вывод: защита персональных данных — это система, а не один регулятор
Отраслевое регулирование — когда 152‑ФЗ недостаточно
Межведомственное взаимодействие: когда регуляторы работают вместе
Минцифры России — координатор цифровых инициатив
Прокуратура — орган общего надзора за законностью
Центральный банк РФ — контроль в финансовом секторе
ФСБ России — криптографическая защита и лицензии
ФСТЭК России — технический контроль и защита ИСПДн
Роскомнадзор — ключевой регулятор по персональным данным
Содержание
Ключевые регуляторы, вовлеченные в защиту ПДн:

Ключевые регуляторы, вовлеченные в защиту ПДн:

  • Роскомнадзор (РКН) — главный по 152-ФЗ, отвечает за соблюдение прав субъектов данных, законность обработки, уведомления, согласия, публичность политики и локализацию;
  • ФСТЭК России — отвечает за техническую защиту информации в информационных системах персональных данных (ИСПДн), включая категорирование и аттестацию;
  • ФСБ России — контролирует использование средств криптографической защиты (СКЗИ), VPN, шифрования и лицензионные требования;
  • Центральный банк РФ — регулирует безопасность данных в банковской, финансовой и страховой отраслях;
  • Минцифры России — координирует развитие цифровой инфраструктуры, в том числе платформ, в которые включена обработка ПДн (например, ЕБС, ЕСИА, ГИС ЗО и др.);
  • Прокуратура — орган общего надзора за законностью, который может вмешаться в любом случае, если есть признаки нарушения закона или поступила жалоба от гражданина;
  • Отраслевые министерства — Минздрав, Минобрнауки, Минтруд, Росфинмониторинг и другие ведомства формируют специфические требования по обработке данных в подведомственных сферах.
Таким образом, ни один регулятор не охватывает весь цикл обработки ПДн целиком. Вместо этого действует принцип разделения зон ответственности, в котором РКН отвечает за правовую основу, ФСТЭК — за защиту внутри систем, ФСБ — за шифрование, ЦБ — за финансовые риски, а прокуратура — за соблюдение закона в целом. В случае крупных нарушений, например при утечке, проверка может быть межведомственной, с участием нескольких служб.
Для компаний это означает, что просто юридически обосновать обработку недостаточно. Необходимо:
  • правильно выстроить защиту в ИТ-инфраструктуре,
  • использовать сертифицированные СЗИ и СКЗИ,
  • заключить корректные договоры с подрядчиками,
  • документировать процессы,
  • контролировать подрядчиков и сотрудников,
  • учитывать отраслевые особенности (например, медицинские карты, данные учащихся, биометрию и т. д.).
Иными словами: вопрос защиты ПДн — это уже давно не про галочку согласия, а про системный подход к информационной безопасности и юридической устойчивости компании.

Роскомнадзор — ключевой регулятор по персональным данным

Когда речь заходит о защите персональных данных, первым на ум приходит Роскомнадзор (РКН), и это неслучайно. Именно он осуществляет надзор за исполнением Федерального закона № 152-ФЗ «О персональных данных» и выступает главным координатором правовой стороны обработки ПДн. Его полномочия охватывают всё, что связано с законностью, прозрачностью и обоснованностью обработки данных.
Что проверяет Роскомнадзор?
РКН осуществляет надзор за ключевыми элементами правомерной обработки:
  • наличие уведомления об обработке ПДн и включение в реестр операторов;
  • содержание и доступность Политики обработки ПДн на сайте;
  • законность основания обработки (чаще всего согласие, договор, закон);
  • корректность форм согласия, включая цели, категории, срок и право отзыва;
  • соблюдение сроков хранения и правил удаления данных;
  • соблюдение условий передачи третьим лицам и трансграничной передачи;
  • исполнение требований по локализации (данные граждан РФ должны быть первоначально зафиксированы на территории РФ).
Роскомнадзор обладает реальными механизмами влияния:
Какие меры воздействия применяет РКН?
По повторным нарушениям закона о персональных данных (например, при рецидиве незаконной обработки, отказе в предоставлении доступа субъекту и пр) могут быть оштрафованы:
  • проводит плановые и внеплановые проверки (по графику или по жалобе);
  • выносит предписания об устранении нарушений;
  • составляет протоколы об административных правонарушениях по ст. 13.11 КоАП РФ;
  • инициирует блокировку сайтов и онлайн-сервисов при грубых нарушениях, включая отсутствие локализации;
  • вносит данные в реестр нарушителей прав субъектов ПДн: попадание в этот реестр означает потерю доверия, сложности в тендерах и усиленный надзор.
  • плановыми — по ежегодному графику (публикуется в начале года);
  • внеплановыми — по жалобе гражданина, сообщению от прокуратуры, утечке, публикации в СМИ;
  • дистанционными — через анализ сайта, публичной информации и реестров;
  • выездными — с изучением документов, технической инфраструктуры и опросом сотрудников.
С 2023 года Роскомнадзор активно использует цифровой надзор, в том числе автоматический анализ сайтов на предмет наличия политики, оснований и формы согласия. Также всё чаще применяется мониторинг Telegram-ботов, мобильных приложений, облачных форм и иных интерфейсов сбора ПДн.
Как устроены проверки?
Проверки могут быть:
Потому что это:
Почему бизнесу важно понимать роль РКН?
Иными словами, РКН проверяет: можно ли вам вообще обрабатывать эти данные, законно ли вы их собрали, как вы уведомили пользователя и сможете ли это доказать.
  • первый орган, к которому обратится гражданин в случае претензий;
  • единственный регулятор, контролирующий правомерность целей и оснований обработки;
  • основной источник санкций, в том числе блокировок и административных штрафов;
  • отправная точка любой защиты в суде: от грамотно оформленной политики до логов событий, подтверждающих согласие.
  • Оператор ПДн (юридическое лицо) — до 18 млн рублей (ч. 8 ст. 13.11 КоАП РФ)
  • Должностные лица (например, руководитель, DPO, ответственный по ИБ) — до 800 тыс. рублей.

ФСТЭК России — технический контроль и защита ИСПДн

Если Роскомнадзор проверяет, законно ли вы обрабатываете персональные данные, то ФСТЭК России (Федеральная служба по техническому и экспортному контролю) отвечает за то, насколько надёжно эти данные защищены технически. Это основной регулятор по вопросам технической и организационной защиты информации, включая защиту персональных данных в информационных системах (ИСПДн).
Что именно контролирует ФСТЭК?
ФСТЭК оценивает:
Важно: в отношении ИСПДн не проводится категорирование, оно актуально только для объектов критической информационной инфраструктуры (КИИ). Для ИСПДн определяется уровень защищённости, исходя из возможного ущерба субъектам ПДн при утечке или компрометации данных.
Уровни защищённости (УЗ) ИСПДн делятся на четыре категории:
  • насколько в вашей ИСПДн реализованы требования по защите ПДн,
  • какие актуальные угрозы безопасности учтены,
  • каков установленный уровень защищённости ПДн (от УЗ-1 до УЗ-4),
  • какие меры защиты применены для снижения этих угроз,
  • используются ли сертифицированные средства защиты информации (СЗИ),
  • проведена ли аттестация ИСПДн, если это необходимо.
  • УЗ-1 — самый высокий (например, обработка биометрии, медданных, массовая обработка);
  • УЗ-2 и УЗ-3 — средний и базовый уровни (типично для CRM, сайтов, внутреннего документооборота);
  • УЗ-4 — минимальный.
Уровень защищенности и меры безопасности
Меры защиты определяются по Приказу ФСТЭК № 21 от 18.02.2013:
Для частного сектора аттестация может быть добровольной, но рекомендуется при высоких рисках, работе с подрядчиками или интеграции с государственными платформами.
Аттестация ИСПДн
  • для госорганов и муниципальных структур,
  • при участии в госзакупках и исполнении госконтрактов,
  • при наличии внутренних регламентов или требований заказчика (например, в банках, IT-интеграторах, инфраструктурных проектах).
Аттестация — это процесс проверки соответствия ИСПДн требованиям по защите ПДн. Она обязательна:
Даже если компания соблюдает юридические формальности (политика, согласие, уведомление), отсутствие технической защиты ПДн в ИСПДн может привести к:
  • реальной утечке данных,
  • претензиям со стороны РКН или прокуратуры,
  • отказу от аттестации, срыву проектов и контрактов.
Почему это важно?
Проще говоря: РКН проверяет, законно ли вы начали обрабатывать данные, а ФСТЭК — не украдут ли их завтра.
ФСТЭК не осуществляет массовые проверки операторов ПДн, как это делает РКН, но:
  • может участвовать в межведомственных проверках (особенно в КИИ, ГИС, госсекторе),
  • проводит контроль за аттестацией, работой органов в сфере сертификации и эксплуатации СЗИ,
  • проверяет исполнение технических требований по запросам регуляторов и прокуратуры.
Как проходят проверки ФСТЭК?
  • контроль и разграничение доступа,
  • антивирусная защита,
  • резервное копирование,
  • межсетевые экраны,
  • аудит действий пользователей,
  • контроль целостности и др.
Используемые средства защиты должны быть включены в реестр сертифицированных СЗИ ФСТЭК, и применяться в соответствии с установленным уровнем защищённости.

ФСБ России — криптографическая защита и лицензии

Когда речь идёт о шифровании, защите каналов связи и применении криптографии, надзор осуществляет Федеральная служба безопасности Российской Федерации (ФСБ России). Это основной регулятор в области средств криптографической защиты информации (СКЗИ) и шифрования на базе ГОСТ-алгоритмов.
Что именно регулирует ФСБ?
ФСБ устанавливает правила:
  • применения СКЗИ — сертифицированных средств шифрования, построенных на ГОСТ-алгоритмах (например, ГОСТ Кузнечик, ГОСТ 28 147−89, ГОСТ Р 34.10/34.11);
  • защиты каналов связи с использованием сертифицированных решений (VPN, IPsec, TLS на ГОСТ),
  • хранения, генерации, распределения и уничтожения криптографических ключей;
  • использования криптографии в ИСПДн, в том числе в госсекторе, здравоохранении, финтехе, промышленности и других чувствительных сферах;
  • лицензирования организаций, оказывающих услуги по шифрованию, разработке или обслуживанию СКЗИ.
Принципиальный момент: СКЗИ всегда про ГОСТ-криптографию. Использование стандартных иностранных протоколов (OpenVPN, Let’s Encrypt, TLS с RSA/AES) не считается СКЗИ и не регулируется ФСБ, но может быть запрещено в системах, где требуется госшифрование.
Если вы не имеете собственной лицензии, но работаете с СКЗИ, вы обязаны привлекать лицензированных подрядчиков.
  • используете сертифицированные VPN-решения (например, Континент, ViPNet, Signal-Com), в том числе для удалённого доступа к ИСПДн;
  • применяете СКЗИ в составе ИСПДн (например, для защиты базы данных или канала связи между офисами);
  • разрабатываете или внедряете криптографические средства;
  • оказываете услуги шифрования другим организациям;
  • участвуете в государственных или чувствительных проектах, где криптозащита обязательна.
Вы подпадаете под регуляцию ФСБ, если:
Основные нормативные документы:
  • Приказ ФСБ России № 378 от 10.07.2014 определяет порядок защиты ПДн при их обработке с применением СКЗИ;
  • ГОСТ Р 34.12−2015, ГОСТ Р 34.10−2012, ГОСТ Р 34.11−2012 регламентируют криптоалгоритмы;
  • документы по лицензированию криптографической деятельности (например, приказы № 217, № 149, № 406);
  • внутренние методические рекомендации ФСБ по построению защищённых каналов.
Когда и кому это важно?
Риски и ответственность
Нарушение порядка использования СКЗИ и криптографии может повлечь:
  • штраф по ст. 13.12 КоАП РФ (до 30 000 руб. для должностных лиц и до 50 000 руб. для организаций);
  • невозможность прохождения аттестации ИСПДн;
  • уголовную ответственность в случае утечки защищаемой информации (например, по ст. 272−274 УК РФ);
  • разрыв контрактов при несоблюдении криптографических требований.
Проще говоря: если вы применяете криптографию, особенно ГОСТовую, это зона ФСБ, и всё должно быть лицензировано, сертифицировано и задокументировано. Любое отступление от правил это риск санкций и срыва проектов.
ФСБ не занимается всей защитой ПДн целиком, но контролирует один критически важный слой использования криптографии, особенно если она применяется в информационных системах, обрабатывающих персональные данные.

Центральный банк РФ — контроль в финансовом секторе

В финансовой сфере контроль за защитой информации, включая персональные данные клиентов, осуществляет Банк России (ЦБ РФ). Он выполняет не только функцию мегарегулятора, но и устанавливает собственные стандарты информационной безопасности, с повышенными требованиями по сравнению с общими нормами 152-ФЗ и приказов ФСТЭК/ФСБ.
Если вы: банк, страховая организация, микрофинансовая компания, НПФ, брокер, платёжный провайдер или финтех-компания, то для вас ЦБ — это ключевой регулятор, определяющий, как должна быть выстроена защита клиентских и финансовых данных.
Что именно регулирует ЦБ?
ЦБ требует от подконтрольных организаций:
  • выполнения Стандартов Банка России по информационной безопасности (ИББС — ИББС-1, ИББС-2, ИББС-3, особенно актуален ИББС-2.6−2014);
  • соблюдения требований по защите ПДн клиентов, в том числе биометрии и данных плательщиков;
  • наличия документированной системы управления ИБ, включая риск-ориентированный подход;
  • устойчивости и отказоустойчивости ИТ-инфраструктуры, в том числе при кибератаках;
  • физической и логической сегментации сети, контроля доступа, мониторинга событий;
  • внедрения средств защиты и регулярного тестирования на уязвимости (включая пентест);
  • реагирования на инциденты, взаимодействия с ФинЦЕРТ и выполнения предписаний.
  • обеспечить более высокий уровень защищённости персональных данных, чем требует базовый 152-ФЗ;
  • внедрить многоуровневую защиту ИСПДн;
  • организовать постоянный контроль, аудит и отчётность;
  • контролировать действия сотрудников, внешних подрядчиков, провайдеров;
  • использовать сертифицированные СЗИ и сегментировать среду обработки ПДн.
Для финтеха, платёжных систем, МФО и страховых это означает, что невозможно ограничиться просто «наличием согласия» и «антивирусом». Система защиты должна быть полноценной, комплексной и проверяемой.
Банк России фактически требует от участников рынка:
Как это влияет на ПДн?
Почему важно учитывать требования ЦБ?
Потому что:
Иными словами: ЦБ не просто проверяет, защищены ли персональные данные, а требует, чтобы бизнес умел это доказывать каждый день системно и стабильно.
  • штрафы и санкции от ЦБ реальны, ощутимы и применяются;
  • несоблюдение ИББС — это риск отзыва лицензии или запрета деятельности;
  • требования ЦБ часто становятся эталоном для оценки ИБ и в других отраслях, особенно при работе с банками и госорганами.
Основные документы и обязательные нормы
  • СТО БР ИББС-1.0 / 2.6−2014 — стандарт, определяющий архитектуру системы ИБ, минимальные меры, требования к ИСПДн, логированию, сетевой защите и доступу;
  • ЦБ не просто проводит проверки, он активно использует внедрение регламентов через предписания и наблюдение за их исполнением;
  • применяет риск-ориентированный подход: чем больше клиентов и критичнее инфраструктура, тем жёстче требования;
  • при выявлении нарушений выносит предписания, может приостановить операции, ограничить лицензии или наложить штраф (например, по ст. 15.27 КоАП РФ);
  • для ключевых игроков обязательна сертификация по требованиям ИББС, а также информирование ЦБ о киберинцидентах и их расследование с участием ФинЦЕРТа.
Особенности контроля со стороны ЦБ
  • Указания Банка России № 684-П, № 757-П, № 744-П и др. — регламентируют обязательные меры защиты информации, порядок информирования о инцидентах, оценку соответствия, в том числе
  • проведение аудита ИБ,
  • ведение журналов регистрации инцидентов и событий,
  • формирование отчётности по ИБ,
  • внедрение и анализ индикаторов компрометации.

Минцифры России — координатор цифровых инициатив

Минцифры России — одно из ключевых ведомств в области цифровой трансформации, курирующее развитие платформ, в рамках которых обрабатываются персональные данные. На него возложены функции по стратегическому управлению цифровыми экосистемами, что делает его важным звеном в системе регулирования ПДн.
Основные направления деятельности Минцифры в сфере ПДн
  • Единая биометрическая система (ЕБС) — государственный сервис, собирающий, хранит и обрабатывает биометрические персональные данные граждан (голос и фото) для идентификации и аутентификации. Система функционирует как ГИС, оператором выступает АО «Центр биометрических технологий». Законодательство закрепило обязательную передачу всех банковских и других биометрических данных в ЕБС до 30 сентября 2023 года.
  • Единая система идентификации и аутентификации (ЕСИА) — федеральная IT-платформа, обеспечивающая доступ к госуслугам и сервисам через единый цифровой логин. Один из операторов — Минцифры.
  • Координация нормативной базы — участие в разработке законов, методик и нормативных актов, касающихся цифровой трансформации, включая ЕБС, ГИС, стандарты обработки данных и вопросов импортозамещения.
Что регулирует Минцифры в контексте ПДн?
Минцифры влияет на:
1. Внедрение ЕБС влияет на бизнес: в текущем законодательстве предусмотрено, что весь бизнес, особенно финансовый и электронная коммерция, должен быть подготовлен к использованию биометрии. Руководство Минцифры заявляет о планах подключить бизнес к ЕБС в течение пары лет, с обещанием снизить тарифы на её использование для компаний.
2. Ответственность за добровольность биометрии: любое требование обязать граждан сдавать биометрию незаконно. Минцифры неоднократно опровергло слухи о забвении этого принципа, что подтверждается законом № 572‑ФЗ и текущей практикой ППТ.
3. Формирование платформ-операторов, обрабатывающих ПДн: при реализации ГИС (ЕБС, ЕСИА) Минцифры задаёт требования по защите данных, взаимодействию с другими ведомствами, аттестации и прозрачности обработки.
Какое влияние оказывает Минцифры на работу с ПДн?
В чем заключается значимость Минцифры для бизнеса?
  • Компании, работающие с идентификацией пользователей, особенно в финансовом, e‑commerce и платёжном сегменте, должны быть готовы к интеграции с ЕБС и ЕСИА.
  • Для DPO и комплаенса это значит выстроить процессы по получению согласия, удалению данных и контролю доступа.
  • Для IT — обеспечить защищённость платформ (шифрование, доступ, аудит), а также сопровождение процесса аккредитации.
  • Для бизнеса — учитывать тарифную модель ЕБС и возможные расходы на интеграцию.
В итоге: Минцифры задаёт «цифровой фундамент» для обработки персональных данных, отвечая за платформы и сервисы, в рамках которых компании работают с биометрией и идентификацией граждан.
Взаимосвязь Минцифры с другими регуляторами:
  • архитектуру хранения и обмена персональными данными — платформы ГИС и ЕБС;
  • регламентацию операторов биометрических данных, включая порядок подключения банков и других организаций;
  • правовые рамки сбора и использования биометрии — строго добровольной, с возможностью удаления данных по запросу гражданина через личный кабинет Госуслуг;
  • аккредитацию организаций, подключающихся к ЕБС, — осуществляется через Минцифры и уполномоченные структуры.
Роль Минцифры
Платформа / Инициатива
Связанные регуляторы
ЕБС
разработка, координация, законодательное сопровождение, аккредитация операторов
ЦБ (особенно банки), ФСБ (шифрование, лицензии), РКН (ЮЗ-повторное информирование), прокуратура (ответственность за массовые нарушения)
оператор, нормативно-правовые инициативы
РКН (ПДн при авторизации), ФСТЭК (защита информации платформы), Минздрава, Минобрнауки (отраслевые подключённые системы)
ЕСИА

Прокуратура — орган общего надзора за законностью

Прокуратура Российской Федерации — это не специализированный регулятор по информационной безопасности или персональным данным, но всегда имеет право вмешаться, если нарушается закон, в том числе 152-ФЗ. Её задача обеспечивать верховенство закона и следить за соблюдением прав граждан.
Это означает, что даже если регулятор (например, Роскомнадзор) не реагирует на нарушение, прокуратура может провести свою проверку и вынудить принять меры.
Что может прокуратура в сфере ПДн?
Прокуратура вправе:
  • инициировать проверку соблюдения требований 152-ФЗ — как по обращению гражданина, так и по собственной инициативе (например, при массовых утечках, публикациях в СМИ, сообщениях в интернете);
  • проверить действия не только оператора ПДн, но и самого регулятора — если он, по мнению заявителя, бездействует или уклоняется от проверки;
  • выдать представление с требованием устранить нарушения, привлечь виновных к ответственности, восстановить нарушенные права субъекта данных;
  • направить материалы в Роскомнадзор, ФСТЭК или ФСБ — для инициирования специализированной проверки;
  • возбудить дело об административном правонарушении или обратиться в суд, вплоть до приостановления деятельности, если нарушения носят системный характер.
  • не выносит предписаний в рамках отраслевого регулирования, как РКН или ФСТЭК;
  • не определяет уровень угроз или защищённости;
  • не лицензирует деятельность по обработке или защите данных.
Но зато у неё есть полномочия требовать устранения нарушений, отстранять должностных лиц, инициировать возбуждение дел и проверку других надзорных органов. Это делает её мощным механизмом давления, особенно в публичных и резонансных кейсах.
Важно понимать, что прокуратура:
Прокуратура ≠ регулятор, но действует жестко
Почему важно учитывать роль прокуратуры?
Потому что:
  • любой гражданин может подать жалобу напрямую в прокуратуру, и она обязана её рассмотреть;
  • если организация игнорирует предписания других регуляторов, прокуратура может вмешаться и ускорить процесс, включая административное и уголовное преследование;
  • жалобы в прокуратуру часто являются инструментом давления, особенно в спорах с госструктурами, школами, больницами и подрядчиками.
Типовые кейсы участия прокуратуры
Прокуратура активно вмешивается в следующих ситуациях:
По сути: прокуратура последний (или первый) защитник интересов субъекта данных, особенно в тех случаях, когда остальные регуляторы бездействуют.
  • в госсекторе — при проверке школ, больниц, МФЦ, муниципалитетов: размещение ПДн в открытом доступе, отсутствие согласий, нарушение сроков хранения;
  • в здравоохранении и образовании — при нарушении порядка обработки медданных, анкет школьников, баз учеников и родителей;
  • в ЖКХ и ТСЖ — при публикации ФИО, адресов, лицевых счетов, долгов на стендах и в интернете;
  • в крупных коммерческих утечках — если РКН не отреагировал или реагирует формально, а ущерб для граждан очевиден;
  • при жалобах на мобильные приложения, онлайн-сервисы, интернет-магазины — когда нарушаются права пользователей (например, невозможность отозвать согласие, удалиться, или если ПДн передаются без ведома пользователя).

Межведомственное взаимодействие: когда регуляторы работают вместе

В теории каждый регулятор отвечает за «своё» направление: Роскомнадзор — за соблюдение 152-ФЗ, ФСТЭК — за технические меры, ФСБ — за криптографию, ЦБ — за финсектор, Минцифры — за цифровые платформы, прокуратура — за законность в целом. Но на практике часто работает не один орган, а сразу несколько — особенно при масштабных инцидентах, комплексных проверках или проверке госсектора.
Такое межведомственное взаимодействие становится нормой, и бизнесу крайне важно понимать, как они пересекаются между собой и кто в каком случае может прийти с проверкой.
Когда подключается несколько ведомств?
1. Проверка КИИ (критической информационной инфраструктуры):
  • ФСТЭК — определяет меры технической защиты;
  • ФСБ — проверяет наличие лицензии на СКЗИ, порядок их применения;
  • РКН — контролирует защиту ПДн внутри объекта КИИ;
  • прокуратура — может инициировать проверку по бездействию или массовому нарушению.
  • Минцифры — как координатор цифровой платформы (ЕБС, ЕСИА, ВИМИС и т. д.);
  • ФСТЭК — за техническую защищённость;
  • РКН — за законность обработки ПДн;
  • прокуратура — особенно в регионах, при жалобах или утечках.
2. Проверка госсектора или ГИС:
3. Массовая утечка ПДн или киберинцидент:
  • РКН — возбуждает административное дело по 13.11 КоАП РФ;
  • ФСТЭК — проверяет, были ли реализованы меры из Приказа № 21;
  • ФСБ — если была компрометация криптозащиты или используются СКЗИ;
  • ЦБ — если утечка в банке, МФО или финтехе;
  • прокуратура — может инициировать дело или проверку бездействия.
  • кто за что отвечает;
  • какие документы и журналы могут запросить;
  • где нужно лицензирование или сертификация.
2. Назначить ответственного за коммуникацию с регуляторами (часто это DPO, CISO или юрист).
1. Иметь системное понимание зон ответственности:
Как бизнесу подготовиться к межведомственным проверкам?
3. Понимать, что все ведомства обмениваются информацией — например, жалоба гражданина или предписание одной службы может быть автоматически направлено другим участникам.
4. Иметь актуальные версии всех документов и актов — политики, модели угроз, планы, согласия, акты аттестации, журналы событий и т. д.
Почему важно учитывать пересечения полномочий?
Потому что:
В результате: информационная безопасность и защита ПДн — это не замкнутая тема одного закона или одного ведомства, а пересекающаяся система контроля, где действия одних органов дополняются, усиливаются и подкрепляются другими. Компании нужно не просто «соблюдать закон», а понимать логику взаимодействия регуляторов и выстраивать защиту с учетом этой логики.
  • в одном нарушении может быть сразу несколько составов (например, нарушение сроков хранения ПДн, отсутствие антивируса, неправомерная передача через несертифицированный VPN);
  • предписания и штрафы могут прийти от разных ведомств одновременно;
  • действия одного регулятора может спровоцировать другого (например, жалоба в прокуратуру → предписание РКН → техническая проверка ФСТЭК).

Отраслевое регулирование — когда 152‑ФЗ недостаточно

152‑ФЗ — основной нормативный акт о персональных данных. Но многие сферы регулируются дополнительными отраслевыми нормами, которые устанавливают специальные требования к защите информации. Вот ключевые примеры:
Медицина — Минздрав РФ
Образование — Минпросвещения / Минобрнауки
Финансовый сектор — Росфинмониторинг
Итог по отраслевому регулированию
  • Регуляторы отраслевые (Минздрав, Минпросвещения, Минтруд, Росфинмониторинг) устанавливают специфическую защиту ПДн.
  • 152‑ФЗ не отменяет этих требований, он дополняет их.
  • Нарушение отраслевых норм чревато не только штрафами по 152‑ФЗ, но и отраслевыми санкциями, блокировками и отзывами лицензий.
Компании из медицины, образования, финансов и других специальных секторов должны строить защиту ПДн, исходя не только из 152‑ФЗ, но и отраслевых требований: медицинской тайны, идентификации и контроля персональных и чувствительных данных.
Почему важно соблюдать отраслевые нормы?
  • Данные детей и родителей относятся к особым категориям ПДн и требуют повышенной защиты.
  • Образовательные учреждения обязаны ограничить доступ и запрещено публиковать списки и оценки без согласий.
  • Если IT-система автоматизирована, на нее распространяются требования Приказа ФСТЭК № 21.
  • Обработка персональных и специальных данных сотрудников регулируется Трудовым кодексом РФ (ст. 86−90) и статьей 152‑ФЗ.
  • Необходимы локальные акты (политика, регламенты доступа, согласия, положение об ИСПДн).
  • Требуются процедуры для электронного документооборота и взаимодействия с ПФР при внедрении Электронной трудовой книжки.
Трудовая сфера — Минтруд РФ
Причина
Последствия
Отраслевые нормы имеют приоритет в своей сфере
Например, нарушение правил обработки мед. данных может повлечь отзыв лицензии у клиники
Нет независимого надзора 152‑ФЗ
Ошибки в отраслевом соблюдении — риск санкций
Поломанные процессы доступа, несогласия, неправильное хранение данных — это повод к претензиям
Нарушения мед. норм проверяют и наказывают Минздрав, Роспотребнадзор, прокуратура

Вывод: защита персональных данных — это система, а не один регулятор

Современное регулирование обработки персональных данных в России — это не работа одного органа и не только про 152-ФЗ. Это многоуровневая система надзора, в которую входят:
  • Роскомнадзор — основной контролёр за соблюдением закона о ПДн;
  • ФСТЭК и ФСБ — надзор за техническими и криптографическими мерами защиты;
  • Минцифры — координатор государственных цифровых систем и платформ;
  • ЦБ — регулятор ИБ и ПДн в финансовом секторе;
  • Прокуратура — орган общего надзора, способный вмешаться при бездействии других;
  • Отраслевые ведомства — Минздрав, Минобрнауки, Минтруд, Росфинмониторинг — с собственными обязательными нормами.
Каждое ведомство отвечает за разные уровни защиты: правовой, организационный, технический, криптографический, процедурный. И бизнесу, особенно крупному или работающему в регулируемых отраслях, важно учитывать все уровни ответственности.
  1. Нельзя ограничиться только политикой и согласием. Нужно понимать, какие меры защиты требуют ФСТЭК и ФСБ, есть ли необходимость в аттестации, лицензировании, категорировании и применении СКЗИ.
  2. Не стоит ждать одной проверки. Проверки часто проходят межведомственно, и предписание одного ведомства может повлечь визит другого.
  3. Отраслевые особенности — не факультатив. Для медицины, образования, финансов, госсектора существуют обязательные нормы и практики.
  4. Прокуратура может вмешаться в любой момент. Жалоба гражданина уже является достаточным поводом для проверки. И она может инициировать действия других регуляторов.
Что это значит на практике для компании:
И главное: персональные данные сегодня проверяют не потому, что это модно, а потому что это зона высокой юридической, финансовой и репутационной ответственности. Понимание карты регуляторов — первый шаг к снижению риска.
Защита персональных данных как командная игра нескольких регуляторов. Чтобы минимизировать риски и быть в правовом поле, компания должна:
  • знать, кто что регулирует;
  • соблюдать как общие, так и специальные нормы;
  • выстраивать защиту на уровне процесса.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме