Проверка Роскомнадзора: как подготовиться, пройти и не допустить критических ошибок

  • 2026-02-05
  • Административное право
  • 23 минуты

Содержание статьи:

Вы открываете почту или проверяете личный кабинет на Госуслугах и видите уведомление о том, что к вам идет проверка Роскомнадзора. В этот момент у большинства предпринимателей и руководителей компаний возникает легкое чувство паники: все ли документы в порядке, не заблокируют ли сайт и насколько велики штрафы за работу с персональными данными. Я занимаюсь административными делами более двадцати лет и за это время видел сотни таких ситуаций. Главная ошибка, которую я наблюдаю постоянно, - это попытка в экстренном порядке "нарисовать" нужные документы за ночь до визита инспектора. Поверьте, опытный проверяющий видит такие "свежеиспеченные" бумаги за версту, и это только усиливает его интерес к вашим процессам. В этой статье я дам вам четкий план действий и разберу, как на самом деле работает маховик государственного контроля в сфере данных.

Ситуация типична: компания собирает почты клиентов для рассылки, оформляет трудовые договоры или просто ведет базу в CRM, не задумываясь, что она уже является оператором персональных данных. Основной риск здесь заключается не столько в самих штрафах, которые значительно выросли за последнее время, сколько в возможности приостановки деятельности или блокировки ключевых интернет-ресурсов компании. Я дам вам пошаговую схему подготовки, разберу правовые варианты защиты и покажу, на чем чаще всего "сыплются" даже крупные организации. Мы пройдем путь от получения уведомления до подписания акта проверки, чтобы вы чувствовали себя уверенно перед лицом инспектора.

Кратко по сути вопроса:

Проверка Роскомнадзора - это комплексное контрольное мероприятие, направленное на соблюдение законодательства о персональных данных. Чтобы пройти ее успешно, необходимо: иметь актуальное уведомление в реестре операторов, утвердить полный пакет внутренних локальных актов (от политики до положений об уничтожении данных), обеспечить техническую защиту информации и правильно обрабатывать согласия пользователей. Самое важное: ваши реальные процессы должны полностью соответствовать тому, что написано в документах на бумаге.

Законодательная база: на что опирается инспектор

Когда ко мне приходят на консультацию, первый вопрос обычно звучит так: "А имеют ли они право вообще это проверять?". Ответ всегда утвердительный, если вы обрабатываете данные хотя бы одного физического лица. Чтобы вы понимали логику проверяющих, нужно знать основные нормы, которые они будут использовать против вас или которые вы используете для защиты. За годы практики я убедился: знание конкретных статей закона часто охлаждает пыл слишком ретивых инспекторов.

  • Федеральный закон № 152-ФЗ "О персональных данных": это ваш "отче наш", основной документ, определяющий требования к сбору, хранению и обработке информации. Инспектор будет проверять соблюдение почти каждой его статьи.
  • Статья 18.1 Федерального закона № 152-ФЗ: она обязывает вас принимать меры для выполнения обязанностей оператора. Это именно та норма, на основании которой от вас потребуют назначить ответственного за обработку данных.
  • Статья 19 Федерального закона № 152-ФЗ: устанавливает требования по обеспечению безопасности данных. Что это значит на практике: у вас должны быть не только юридические бумаги, но и технические средства защиты (антивирусы, пароли, ограничение доступа).
  • Федеральный закон № 248-ФЗ: регулирует сам процесс государственного контроля. Именно здесь прописаны ваши права во время проверки и сроки проведения мероприятий.
  • Постановление Правительства № 146: утверждает правила организации и осуществления государственного контроля в сфере персональных данных. В нем детально описано, как именно Роскомнадзор должен проводить проверки.
  • КоАП РФ (Глава 13): здесь собраны все штрафы. Наиболее опасная для бизнеса - статья 13.11, которая содержит множество составов правонарушений с внушительными суммами взысканий.

Что это значит на практике: проверяющий не может действовать по наитию. У него есть чек-лист, сформированный на основе этих норм. Если вы заранее пройдете по этому списку, риск получить протокол снижается в разы. Дальше важный момент: понимание типов проверок, так как стратегия защиты при плановом и внеплановом визите будет отличаться.

Виды проверок Роскомнадзора: плановые и внеплановые визиты

Роскомнадзор может проверить вас в разных форматах. Самый предсказуемый вариант - плановая проверка. О ней вы узнаете заранее, так как план на год публикуется на сайте ведомства и в реестре проверок Генпрокуратуры. Однако расслабляться не стоит: сейчас все чаще применяются профилактические визиты. Формально это не проверка, но по итогам вам могут выдать предписание, которое придется выполнять.

Внеплановые проверки - это всегда "гром среди ясного неба". Основанием для них чаще всего становится жалоба гражданина (например, клиента, которому надоели ваши спам-звонки) или требование прокуратуры. В моей практике был случай: компания уволила сотрудника со скандалом, а он на следующий день написал жалобу в Роскомнадзор о том, что его персональные данные после увольнения не были уничтожены и используются в CRM. Логика такая: любая обида клиента или сотрудника может превратиться в повод для внепланового визита службы.

Обратите внимание:

С 2022 года действует мораторий на многие виды проверок, но сфера персональных данных часто попадает под исключения, особенно если речь идет об утечках или жалобах на нарушение прав субъектов. Не думайте, что мораторий - это абсолютная защита.

Но самое интересное начинается, когда дело доходит до подготовки конкретных документов, ведь именно их инспектор будет изучать первым делом.

Миф vs Реальность: заблуждения о контроле данных

Заблуждение оператораЮридическая реальность
Если мы маленькая компания, мы никому не интересны.Роскомнадзор реагирует на жалобы. Один недовольный клиент может спровоцировать проверку микробизнеса.
Достаточно разместить на сайте "Политику конфиденциальности".Это лишь 5% от требуемого объема. Нужно еще около 10-15 внутренних приказов и журналов.
Мы не храним данные, они только в облачной CRM.Вы все равно оператор. И вы отвечаете за то, где и как "облако" хранит информацию физических лиц.
Проверка - это просто сверка бумажек.Инспектор может попросить показать, как реально удаляются данные из базы по запросу.
Все данные должны храниться только в РФ.Первичный сбор - строго в РФ, трансграничная передача возможна, но при соблюдении жестких условий.
Штрафы небольшие, проще заплатить.Штрафы суммируются за каждое нарушение и за каждого человека. Итоговая сумма может быть миллионной.

Типичные ошибки: на чем горят компании

Типичные ошибки:

Отсутствие уведомления о начале обработки

Многие забывают подать уведомление в Роскомнадзор. Это автоматический штраф при первой же сверке.

Избыточность собираемых данных

Запрашиваете скан паспорта там, где достаточно только ФИО? Это прямое нарушение принципа соразмерности.

Неактуальные формы согласия

Согласие "на все сразу" больше не работает. Оно должно быть конкретным, информированным и сознательным.

Хранение данных дольше необходимого

Цель достигнута, а данные висят в базе годами. Это частый повод для предписания.

Отсутствие модели угроз

Для ИТ-систем обязательно наличие документа, описывающего, как вы защищаетесь от взломов.

Для исправления ситуации и минимизации рисков вам может потребоваться опытный юрист по административным делам, который знает внутреннюю кухню Роскомнадзора и поможет составить документы так, чтобы инспектору не к чему было придраться.

Ваша компания готова к визиту Роскомнадзора?

Проверка в сфере персональных данных - это не формальность, а сложный процесс, где каждое неверное слово в приказе или отсутствие подписи в журнале может стоить сотни тысяч рублей. Риск блокировки сайта из-за "неправильной" формы сбора данных превращает юридическую ошибку в финансовую катастрофу.

Я проведу глубокий аудит ваших документов, выявлю слабые места и подготовлю вас к общению с проверяющими. Моя задача - сделать так, чтобы проверка закончилась актом без замечаний.

* Стоимость письменного анализа - 2 200 руб.

Личный опыт: кейс о том, как одна галочка спасла миллион

В моей практике был случай с интернет-магазином средней руки. К ним пришли с внеплановой проверкой после того, как бывший системный администратор, уходя, пригрозил "натравить органы". Он знал, что в базе хранятся данные тысяч людей. Инспекторы работали очень дотошно. Их интересовало все: от того, где физически стоят сервера, до того, как менеджеры берут согласие у клиентов по телефону.

Мы подготовились за неделю. Я настоял на том, чтобы каждый этап обработки данных был зафиксирован отдельным приказом. Ключевым моментом стало то, что мы вовремя внедрили систему логирования доступа к базе данных. Когда инспектор спросил: "А как вы докажете, что доступ к данным имеют только уполномоченные лица?", я показал электронный журнал, где фиксировался каждый вход в систему. Это, в сочетании с грамотно составленными положениями о конфиденциальности, позволило нам пройти проверку без единого штрафа, хотя изначально нам пророчили санкции за отсутствие письменных согласий при заказах через корзину.

За годы практики я убедился: Роскомнадзор ценит системный подход. Если они видят, что вы не просто скачали шаблоны из интернета, а понимаете, зачем нужен каждый документ, отношение к вам меняется с "агрессора" на "партнера". Дальше мы разберем конкретные шаги, которые вам нужно предпринять прямо сейчас.

Алгоритм действий:

  • Проведите инвентаризацию: поймите, какие именно данные вы собираете и от кого (клиентов, сотрудников, подрядчиков).
  • Проверьте наличие компании в реестре операторов на сайте Роскомнадзора. Если вас там нет - подайте уведомление.
  • Разработайте и утвердите Политику обработки персональных данных. Ссылка на нее должна быть на каждой странице вашего сайта.
  • Назначьте приказом ответственного за организацию обработки персональных данных. Это должен быть реальный человек.
  • Пропишите в трудовых договорах или должностных инструкциях сотрудников обязанность по соблюдению конфиденциальности.
  • Организуйте учет материальных носителей данных (если у вас есть бумажные анкеты или журналы).
  • Убедитесь, что ваши сервера физически находятся в России (первичная база данных).
  • Подготовьте шаблоны ответов на запросы граждан об их персональных данных.
  • Сделайте пробный "самоаудит" или пригласите специалиста для независимой оценки готовности.

Дорожная карта процесса

Как проходит проверка Роскомнадзора

1
Уведомление о проверке
Вы получаете копию приказа о проведении проверки за несколько дней до начала (в случае плановой). В нем указаны сроки, цели и список запрашиваемых документов. Это время для финальной полировки бумаг.
2
Предоставление документов
Инспектор запрашивает пакет локальных актов. Важно передавать документы по описи. На этом этапе идет основная работа юриста: нужно убедиться, что тексты документов не содержат лишней информации, которая может навредить.
3
Выездной (или дистанционный) этап
Проверяющие могут осмотреть помещение: как хранятся трудовые книжки, есть ли замки на шкафах с личными делами, как организован вход в серверную. Для ИТ-компаний часто проводится анализ самого сайта.
4
Составление акта
По итогам составляется акт проверки. Если найдены нарушения - к нему прилагается предписание об их устранении. Вы имеете право внести свои возражения прямо в акт, если не согласны с выводами.
5
Постановление о штрафе (опционально)
Если нарушения грубые, Роскомнадзор возбуждает дело об административном правонарушении. Материалы уходят в суд (или рассматриваются ведомством), где определяется размер штрафа. На этом этапе подготовка жалобы на постановление становится вашей основной задачей.

Вопросы и ответы

Может ли Роскомнадзор заблокировать сайт сразу во время проверки?
Прямо в момент физического нахождения инспектора в офисе блокировка не происходит. Это процессуальное действие, которое требует веских оснований. Как правило, сначала выносится предписание об устранении нарушений. Если вы его игнорируете или если выявлена серьезная угроза правам граждан (например, масштабная утечка данных в открытый доступ), ведомство может обратиться в суд для ограничения доступа к ресурсу. Также существует внесудебный порядок блокировки для определенных категорий контента, но в классической проверке по персональным данным у вас обычно есть время для маневра и исправления ошибок до того, как сайт станет недоступен.
Нужно ли брать согласие на обработку данных у каждого посетителя офиса?
Логика такая: если вы просто видите человека, согласие не нужно. Но если вы записываете его ФИО в журнал на ресепшн или сканируете паспорт для выдачи пропуска, вы начинаете обработку его персональных данных. В этом случае у вас должно быть правовое основание. Для пропускного режима это может быть выполнение обязательств по обеспечению безопасности, но лучше иметь краткую форму согласия или прописать этот процесс в ваших локальных актах. Роскомнадзор часто обращает внимание на "забытые" журналы посещений, которые лежат на виду у всех. Это нарушение правил хранения, за которое могут выписать штраф, даже если само согласие у вас формально есть.
Каков максимальный размер штрафа за нарушения по персональным данным?
Суммы штрафов в последние годы выросли многократно. Например, за повторное невыполнение требования о локализации баз данных на территории РФ юридическое лицо может получить штраф до нескольких миллионов рублей. Обычные нарушения, такие как обработка данных без согласия сотрудника или клиента, могут стоить компании от 60 до 150 тысяч рублей за каждый выявленный случай. Самое опасное - это накопительный эффект. Если инспектор найдет, что вы неправильно собираете данные на сайте через три разные формы, штрафы могут быть выписаны по каждой из них. Сейчас законодатели обсуждают введение оборотных штрафов за утечки данных, что сделает цену ошибки еще выше.
Обязательно ли нанимать специального сотрудника по защите данных (DPO)?
Российский закон требует назначить ответственного за организацию обработки данных. Это не обязательно должен быть новый отдельный сотрудник в штате. Вы можете возложить эти обязанности на системного администратора, кадровика или юриста. Главное, чтобы был издан соответствующий приказ и человек понимал свои обязанности. В крупных компаниях, конечно, целесообразно выделять под это отдельную роль. Для Роскомнадзора важно видеть, что в компании есть "центр ответственности", который может ответить на вопросы по безопасности и правовым основаниям обработки. Если ответственного нет вообще, это считается серьезным нарушением статьи 18.1 закона № 152-ФЗ.
Нужно ли уведомлять Роскомнадзор, если мы обрабатываем только данные сотрудников?
Раньше существовало исключение, позволяющее не подавать уведомление, если данные обрабатываются только в рамках трудового законодательства. Однако правила изменились. Теперь практически все операторы обязаны уведомлять ведомство. Если вы ведете кадровый учет, выплачиваете зарплату (тем более с использованием банковских карт), передаете данные в налоговую или пенсионный фонд - вы обязаны быть в реестре. Исключений осталось катастрофически мало, и мой совет: подайте уведомление в любом случае. Это простая процедура, но ее отсутствие - самый легкий повод для штрафа, который инспектор может выписать, не выходя из своего кабинета.
Как подготовиться к проверке, если она начнется завтра?
Если времени совсем мало, сфокусируйтесь на трех вещах. Первое: наличие и актуальность политики конфиденциальности на сайте. Второе: приказ о назначении ответственного и перечень лиц, допущенных к обработке данных. Третье: уведомление в реестре Роскомнадзора. Если эти основы закрыты, инспектор поймет, что компания как минимум знает о существовании закона. Дальше идите по реестру документов: акты уничтожения старых данных, журналы учета носителей, согласия сотрудников. Если какого-то документа нет, лучше честно сказать, что он в процессе обновления, чем показывать явно поддельную бумагу с "вчерашним" числом. И обязательно привлеките юриста для ведения диалога с инспекторами.

Проверьте свою ситуацию прямо сейчас

Отметьте подходящие пункты:


Вашей компании нет в реестре операторов Роскомнадзора

У вас нет подписанных согласий на обработку данных от сотрудников

На сайте нет политики конфиденциальности или она не обновлялась 2 года
УЗНАТЬ ЭКСПЕРТНЫЙ ВЕРДИКТ

Анализ завершен:

Если вы отметили хотя бы 1 пункт - ваша ситуация требует детального изучения. Если все 3 - риск проигрыша без юриста составляет более 80%. Роскомнадзор выпишет штраф при первом же контакте. Рекомендую подготовить документы для первичного анализа, чтобы успеть закрыть бреши до начала официальных мероприятий.

Проверка Роскомнадзора - это не приговор, а тест на профессионализм вашего юриста и системного администратора. Помните: инспектор не ищет идеальную компанию, он ищет признаки халатности. Если вы покажете, что защита данных для вас - это реальный процесс, а не папка с бумагами в шкафу, вы пройдете через этот контроль с минимальными потерями или вовсе без них. Не дожидайтесь уведомления, начните приводить документы в порядок уже сегодня.


Нужна моя помощь?

Более 20 лет защищаю права доверителей.

Работаю с каждой проблемой как с собственной.

Посмотрите полный каталог услуг


20+лет опыта
6200+ситуаций
94%успеха

Конфиденциально и без обязательств:

Получить консультацию

Дополнительная инфо
Как составить ответ Роскомнадзору
  • 2026-02-05
  • Административное право
  • 19 минут
Подробное руководство по составлению эффективного ответа на запрос, предписание или предупреждение Роскомнадзора. Правовые стратегии, образцы документов, реальные кейсы и практические советы от опытного юриста.
Уведомление об обработке персональных данных в Роскомнадзор
  • 2026-02-05
  • Административное право
  • 24 минуты
Подробная инструкция по подготовке и подаче уведомления об обработке персональных данных в Роскомнадзор. Узнайте, кто обязан подавать уведомление, как избежать ошибок и штрафов.