Продукты
Продукты
Menu
02
База знаний
05
Услуги
01
О нас
04
2025
Контакты
phone
e-mail:
Обучение
03
Назад
Что делать, если ваша компания попала в план проверок Роскомнадзора на 2026 год?
Пошаговое руководство от экспертов Б-152 по прохождению контроля. Разберем, какие проверки проводит Роскомнадзор и как подготовить информационные системы к визиту инспектора.
Введите название организации или ИНН, чтобы проверить наличие в плане профвизитов РКН на 2026 год.
Проверьте свою компанию в плане проверок
Обнаружили свою компанию в списке?
Мы готовы бесплатно проконсультировать о дальнейших действиях.
Мы готовы бесплатно проконсультировать о дальнейших действиях.
Что это значит?
Профилактический визит — не штраф.
Но к нему важно готовиться
Но к нему важно готовиться
Профилактический визит — форма надзора, при которой инспектор РКН оценивает, как компания обрабатывает персональные данные и защищает информационные системы. Нарушений пока не ищут, но если обнаружат — последует предписание или внеплановая проверка.
- Что проверяютУведомление в реестре РКН, политику ПДн, согласия на обработку, локальные акты, назначение ответственного (DPO), перечень ИСПДн, модель угроз, меры защиты, акт оценки вреда, поручения обработчикам.
- Как проходитВизит длится 1 рабочий день. Инспектор уведомляет за 5 дней. Проводится беседа с DPO, осмотр документов, оценка информационных систем ПДн (ИСПДн). По итогу — рекомендации или предостережение.
- Чем грозитПредостережение, предписание об устранении, назначение внеплановой проверки. Штрафы по ст. 13.11 КоАП: от 100 тыс. до 18 млн ₽. С 2025 года — оборотные штрафы за повторные утечки до 3% выручки.
Оборотные штрафы применяются к любому оператору ПДн — не только к тем, кто в плане.
Если вы обрабатываете персональные данные клиентов, сотрудников или партнёров — проверьте свою готовность.
Если вы обрабатываете персональные данные клиентов, сотрудников или партнёров — проверьте свою готовность.
Виды контроля
Какие проверки проводит Роскомнадзор
Профилактический визит — это только один из инструментов контроля. Важно понимать всю систему надзора.
- Профилактический визитПредупредительная мера: инспектор оценивает готовность, даёт рекомендации. Длится 1 день, формальных санкций нет, но по итогам может быть выдано предостережение. Именно такие визиты запланированы на 2026 год.
- Плановая проверкаПроводится по ежегодному плану для компаний с высоким и значительным риском. Полноценная проверка всех аспектов обработки ПДн: документы, ИСПДн, технические меры. Длится до 10 рабочих дней.
- Внеплановая проверкаНазначается при жалобах субъектов ПДн, утечках, неисполнении предписаний. Может быть инициирована по итогам профвизита. Самый высокий риск штрафов — по ст. 13.11 КоАП.
Категории риска
Что означают уровни риска?
Категория риска определяет частоту и глубину надзорных мероприятий. Чем выше риск — тем серьёзнее последствия.
- Высокий рискКрупнейшие операторы ПДн: федеральные ритейлеры, банки, телеком-операторы. Массовая обработка данных миллионов граждан, история утечек. Контроль — максимально пристальный, визит может перерасти в проверку.
- Значительный рискБанки, МФО, онлайн-сервисы, ЖКХ, образование. Обрабатывают чувствительные данные: финансовые, данные несовершеннолетних, биометрию. Повышенное внимание к документации и мерам защиты.
- Умеренный рискШирокий спектр организаций: от региональных компаний до учреждений. Стандартные требования по 152-ФЗ. Визит, как правило, ограничивается проверкой документов и рекомендациями.
Пошаговое руководство
Как подготовиться к визиту инспектора
Руководство от экспертов Б-152 с 15-летним опытом сопровождения проверок.
Вот что нужно сделать до прихода инспектора:
Вот что нужно сделать до прихода инспектора:
Проверьте уведомление в реестре операторов
Убедитесь, что компания подала уведомление об обработке ПДн на pd.rkn.gov.ru и данные актуальны: цели обработки, категории данных, перечень ИСПДн, сведения о трансграничной передаче. Если уведомления нет — подайте. Устарело — обновите. Это первое, на что смотрит инспектор.
Назначьте ответственного за ПДн (DPO)
Приказом назначьте сотрудника, ответственного за организацию обработки персональных данных. DPO должен знать все процессы обработки, документацию и информационные системы компании, уметь отвечать на вопросы инспектора.
Инвентаризируйте информационные системы (ИСПДн)
Составьте перечень всех информационных систем, обрабатывающих персональные данные: CRM, HRM, бухгалтерия, сайт, мобильные приложения, облачные сервисы. Для каждой ИСПДн определите категории данных, объем субъектов, тип угроз и требуемый уровень защищенности (УЗ).
Проведите аудит организационной документации
Проверьте наличие и актуальность: Политика ПДн (опубликована на сайте), согласия на обработку по каждой цели, приказы и регламенты, модель угроз для каждой ИСПДн, акт оценки вреда субъектам, поручения на обработку третьим лицам.
Подготовьте ИСПДн к проверке
Убедитесь, что технические меры защиты соответствуют установленному уровню защищённости: контроль доступа, логирование, шифрование при передаче, антивирусная защита, резервное копирование. Подготовьте акт классификации ИСПДн, журналы учёта носителей и доступа.
Проведите пробную проверку
Смоделируйте визит инспектора: пройдите по чеклисту ниже, проверьте готовность DPO отвечать на вопросы, убедитесь, что все документы собраны и актуальны. Эксперты Б-152 проводят такие «тренировочные» визиты для клиентов — это снимает стресс и выявляет пробелы заранее.
Не уверены с чего начать?
Эксперты Б-152 проведут экспресс-диагностику и составят план подготовки конкретно под вашу компанию — даже если вас нет в плане РКН.
Эксперты Б-152 проведут экспресс-диагностику и составят план подготовки конкретно под вашу компанию — даже если вас нет в плане РКН.
Документы на старте
Что должно быть готово к визиту
Минимальный пакет документов, который инспектор РКН ожидает увидеть у каждого оператора персональных данных.
- Политика обработки ПДнОсновной документ оператора. Должна быть опубликована на сайте, содержать все цели, категории данных, сроки, порядок уничтожения.
- Формы согласий на обработкуОтдельные согласия по каждой цели. С 2025 года — обязательное указание конкретного перечня третьих лиц и сроков обработки.
- Приказ о назначении DPOПриказ о назначении ответственного за организацию обработки ПДн. Обязателен для всех операторов по ст. 22.1 ФЗ-152.
- Модель угроз безопасности ИСПДнОписание актуальных угроз для каждой информационной системы ПДн, уровня защищённости, применяемых технических и организационных мер.
- Перечень и акт классификации ИСПДнСписок всех информационных систем с ПДн, определение уровня защищённости по ПП-1119. Основа для всей технической документации.
- Акт оценки вреда субъектам ПДнОбязательный с 01.09.2022 документ. Оценивает потенциальный вред от нарушений при обработке данных.
- Поручения на обработку ПДнДоговоры/поручения всем третьим лицам, обрабатывающим ПДн от имени оператора: хостинги, CRM-провайдеры, подрядчики.
- Уведомление в реестре РКНЗаполненное и поданное уведомление на pd.rkn.gov.ru. Должно отражать все актуальные цели и категории обрабатываемых данных.
- Журнал учёта обращений субъектовФиксация запросов от субъектов ПДн: запросы на доступ, уточнение, удаление. Сроки ответа — 10 рабочих дней (с 2025 — 5 дней).
Отмечайте пункты по мере выполнения — и увидите свой уровень готовности.
Готовность к визиту РКН
Много пробелов?
Это нормально — большинство компаний не готовы.
Мы закрываем все 10 пунктов за 2−4 недели. Первая консультация бесплатно.
Это нормально — большинство компаний не готовы.
Мы закрываем все 10 пунктов за 2−4 недели. Первая консультация бесплатно.
Частые вопросы
Согласно регламенту, виды проверок Роскомнадзора делятся на плановые и внеплановые.
По способу проведения они бывают:
По способу проведения они бывают:
- Документарная проверка Роскомнадзора: регулятор направляет запрос, на который нужно ответить в течение 10 рабочих дней. Здесь критична проверка документов на соответствие уведомлению в реестре.
- Выездная проверка Роскомнадзора: инспекторы приходят в офис. В ходе проведения проверки Роскомнадзор контролирует не только наличие ЛНА, но и физическую защиту серверов, журналы учета флешек и доступ сотрудников к ИТ-системам.
В ходе плановой проверки Роскомнадзора проверяются все процессы обработки ПДн.
Инспектор смотрит:
Инспектор смотрит:
- Соблюдение целей обработки (не собираете ли вы лишнего).
- Информационные системы персональных данных (ИСПДн) и места их хранения (локализация в РФ).
- Наличие назначенных ответственных и политик конфиденциальности.
- Часто в ходе плановой проверки Роскомнадзора проверяются СДО и формы сбора данных на корпоративных порталах.
Проверка компании в реестре Роскомнадзора возможна через официальный сайт ведомства или сводный план проверок Генпрокуратуры.
Рекомендуется также проверка по ИНН на сайте Роскомнадзора в разделе операторов ПДн, чтобы убедиться, что ваш статус уведомления и категории обрабатываемых данных актуальны. Если данные в реестре и по факту не совпадают — это готовое нарушение для акта.
Рекомендуется также проверка по ИНН на сайте Роскомнадзора в разделе операторов ПДн, чтобы убедиться, что ваш статус уведомления и категории обрабатываемых данных актуальны. Если данные в реестре и по факту не совпадают — это готовое нарушение для акта.
Да, в рамках государственного контроля (надзора) возможна проверка сайта на блокировку Роскомнадзором и анализ его контента (политики, согласия в формах обратной связи) без уведомления владельца.
Также ведомство может проводить «профилактические визиты» и дистанционный мониторинг.
Также ведомство может проводить «профилактические визиты» и дистанционный мониторинг.
По итогам любого надзорного мероприятия составляется акт проверки Роскомнадзора. В нем фиксируются все выявленные нарушения. Если вы не согласны с выводами, у вас есть право подать возражения. Б-152 помогает грамотно составить возражения, чтобы минимизировать штрафы и предписания.
Мораторий на проверки Роскомнадзора действительно действует для ряда организаций, однако он не отменяет обязанности соблюдать закон 152-ФЗ. Внеплановые проверки по жалобам и мониторинг безопасности данных продолжаются в полном объеме.
Сообщение об успешной отправке!