Роскомнадзор (РКН) - это федеральный орган исполнительной власти, наделенный полномочиями по контролю и надзору в сфере связи, информационных технологий и, что важно для большинства организаций, защиты прав субъектов персональных данных. Основная цель любой проверки РКН - установить соответствие деятельности оператора требованиям законодательства - Федерального закона №152-ФЗ «О персональных данных». Мероприятия призваны не только выявлять нарушения, но и стимулировать организации к соблюдению прав граждан на конфиденциальность их личной информации.
Виды проверок Роскомнадзора: плановые и внеплановые
Какие проверки проводит Роскомнадзор? Вся надзорная деятельность ведомства делится на два вида: плановые и внеплановые. Формы, в которых ведомство проводит контролирующие мероприятия, бывают как документарными (на основе представленных организацией документов), так и выездными (с посещением офиса компании инспекторами).
-
Плановые проверки Роскомнадзора проводятся на основании ежегодного плана, формируемого в соответствии с риск-ориентированным подходом и утвержденного на федеральном уровне. Они назначаются заранее и охватывают все аспекты обработки персональных данных. Интервал между плановыми проверками для одного и того же оператора составляет не менее трех лет.
-
Внеплановые проверки Роскомнадзора проводятся на основании конкретных оснований, предусмотренных законом. К ним относятся:
-
поступление жалобы от субъекта персональных данных;
-
истечение срока исполнения ранее выданного предписания;
-
наличие информации о причинении вреда жизни, здоровью или правам граждан;
-
по запросу прокуратуры или других госорганов.
Внеплановые проверки могут быть инициированы в кратчайшие сроки и носят более оперативный и целенаправленный характер по сравнению с плановыми.
Что проверяет Роскомнадзор: ключевые документы
Сердце любой проверки - это документация. В ходе плановой проверки Роскомнадзора проверяются все ключевые документы, регламентирующие работу с персональными данными.
Внимание уделяется следующим:
-
Политика в отношении обработки персональных данных (ПДн) - главный внутренний документ, который должен быть разработан, утвержден руководителем и доступен для ознакомления всем субъектам данных.
-
Приказы о назначении ответственного за организацию обработки ПДн и о создании комиссии по защите данных.
-
Журналы учета обращений субъектов ПДн (запросы на получение, уточнение, блокирование, удаление данных).
-
Договоры с контрагентами, являющимися третьими лицами-обработчиками ПДн (аутсорсинг бухгалтерии, HR-агентства).
-
Акты об уничтожении персональных данных по истечении срока их хранения.
-
Программы обучения сотрудников по вопросам работы с ПДн.
В ходе плановой проверки Роскомнадзора проверяются СДО и средства защиты информации. Инспекторы оценивают, использует ли организация технические и программные средства для защиты баз данных, есть ли антивирусная защита, настроены ли межсетевые экраны, применяется ли шифрование для передачи и хранения данных. Отсутствие или несоответствие требованиям - одна из самых частых причин для вынесения предписаний.
Не менее тщательно анализируется и сам сайт компании. В ходе проведения проверки Роскомнадзора обязательно проверяется наличие на ресурсе актуальной и полной информации о политике конфиденциальности, согласиях на обработку ПДн и способах связи с ответственным лицом.
Порядок проведения проверки: этапы и действия инспектора
Процедура регламентирована и осуществляется в строгом соответствии с требованиями законодательства. За три дня до начала выездных мероприятий организация получает официальное уведомление. В ходе контрольно-надзорной деятельности инспектор имеет право:
-
Запрашивать и изымать копии документов.
-
Осматривать помещения, где ведется обработка ПДн.
-
Проводить опросы сотрудников.
-
Анализировать используемые программные и технические средства защиты.
По итогам составляется акт, с которым представитель организации имеет право ознакомиться и дать свои объяснения или возражения. Если нарушения выявлены, РКН выносит предписание об их устранении в установленный срок. Своевременное исполнение предписания позволяет избежать штрафов и других мер административного воздействия со стороны надзорного органа.
Штрафы и ответственность за нарушения
За нарушение требований законодательства о персональных данных предусмотрена административная ответственность по статье 13.11 КоАП РФ. Штрафы в 2026 году остаются значительными:
За обработку ПДн без письменного согласия субъекта сбора данных сумма штрафа составит:
-
Для должностных лиц - от 10 тыс. до 15 тыс. руб.
-
Для ИП - от 100 тыс. до 300 тыс. руб.
-
Для юридических лиц - от 300 тыс. до 700 тыс. руб., а в случае повторного нарушения - до 1,5 млн руб.
За невыполнение обязанности по обеспечению записи, систематизации, хранения ПДн граждан РФ с применением баз данных:
-
Для должностных лиц - от 30 тыс. до 50 тыс. руб.
-
Для ИП - от 100 тыс. до 200 тыс. руб.
-
Для юридических лиц - от 1 млн. до 6 млн. руб., а в случае повторного нарушения - до 18 млн руб.
За действия, которые привели к неправомерной передаче и распространению информации, включающей биометрические данные:
-
Для должностных лиц - от 400 тыс. до 500 тыс. руб.
-
Для ИП - от 1,3 млн. до 1,5 млн. руб.
-
Для юридических лиц - от 15 млн. до 20 млн. руб.
За отказ в предоставлении информации инспектору или воспрепятствование его работе предусмотрены отдельные штрафы.
Как подготовиться к контролирующему мероприятию
Подготовка - залог успешного прохождения проверки. Рекомендуется:
-
Провести внутренний аудит всей документации по ПДн.
-
Обновить Политику конфиденциальности и разместить ее на сайте.
-
Проверить наличие и корректность всех согласий от субъектов данных.
-
Провести инструктаж для сотрудников, которые могут контактировать с инспекторами.
Стоит обратить внимание на так называемую «проверку формы Роскомнадзор» - это неофициальное название предварительного запроса документов, который может быть отправлен в рамках документарной проверки. На такой запрос необходимо отреагировать в установленный срок.
Надзорные мероприятия Роскомнадзора - это часть работы любой организации, обрабатывающей персональные данные. В ходе плановой проверки РКН проверяются все аспекты: от наличия правильной документации до технической защищенности информации. Внеплановые проверки инициируются конкретными жалобами и носят более узконаправленный характер.
Главный вывод для бизнеса прост: системный и добросовестный подход к соблюдению ФЗ-152 - лучшая защита от штрафов и предписаний. Не стоит воспринимать надзорные действия как угрозу, а нужно рассматривать их как возможность привести систему защиты персональных данных в полное соответствие с законом, тем самым повышая уровень доверия со стороны клиентов и партнеров.
