Кибероснова | 152-ФЗ — документы по защите персональных данных

Как подготовиться к проверке Роскомнадзора: пошаговая инструкция

16 февраля 2026 г.12 мин чтения

Проверка Роскомнадзора — событие, к которому нужно готовиться заранее. С 2025 года штрафы за нарушения в сфере персональных данных выросли в разы, а требования регулятора стали жёстче. В этой статье разберём все виды проверок, составим полный чек-лист документов и дадим пошаговую инструкцию подготовки.

Если вы обрабатываете персональные данные — клиентов, сотрудников, пользователей сайта — эта статья для вас. Неважно, крупная у вас компания или ИП с интернет-магазином: 152-ФЗ распространяется на всех операторов ПДн.

Виды проверок Роскомнадзора

Роскомнадзор проводит несколько типов проверок, и каждый из них имеет свои особенности. Разберём их подробно.

Плановые проверки

Плановые проверки включаются в ежегодный план, который утверждается Генеральной прокуратурой и публикуется до 31 декабря предшествующего года. Основные правила:

  • Проводятся не чаще одного раза в три года для одной организации
  • О проверке уведомляют за 3 рабочих дня до начала
  • Можно проверить включение в план на сайте план.прокуратура.рф
  • Продолжительность — до 20 рабочих дней

Внеплановые проверки

Внеплановые проверки проводятся без предварительного включения в план. Основания для них:

  1. Жалобы граждан на нарушение их прав как субъектов ПДн
  2. Истечение срока исполнения ранее выданного предписания
  3. Поручение Президента или Правительства РФ
  4. Требование прокурора на основании поступивших материалов
  5. Выявление индикаторов риска нарушения обязательных требований

О внеплановой проверке уведомляют за 24 часа, а в некоторых случаях (например, при угрозе причинения вреда) проверка может начаться без предварительного уведомления.

Документарные проверки

При документарной проверке Роскомнадзор запрашивает документы дистанционно. Вам направляют запрос, а вы в течение 10 рабочих дней предоставляете копии документов. Инспекторы не приезжают в офис — всё происходит по почте или через электронный документооборот.

Выездные проверки

Выездные проверки предполагают визит инспекторов непосредственно в организацию. Они проверяют:

  • Оригиналы документов
  • Фактические условия обработки данных
  • Технические средства защиты
  • Помещения, где хранятся носители ПДн
  • Информационные системы персональных данных

Мораторий на проверки

С 2022 года в России действует мораторий на плановые проверки для большинства организаций. Однако есть важные исключения:

  • Мораторий не распространяется на внеплановые проверки по жалобам граждан
  • Мораторий не отменяет профилактические мероприятия (предостережения, консультации)
  • Роскомнадзор активно использует мониторинг сайтов и приложений без выездных проверок
  • С 2025 года усилен контроль за утечками данных — мониторинг ведётся в режиме реального времени

Важно: Даже в период моратория Роскомнадзор может провести внеплановую проверку по жалобе субъекта ПДн. Поэтому документы должны быть в порядке всегда.

Что проверяет Роскомнадзор: полный список

Ниже — полная таблица того, что проверяет Роскомнадзор, какие документы нужны и какие штрафы грозят за нарушения.

Что проверяютКакой документ нуженШтраф за нарушение (юрлица)
Уведомление Роскомнадзора об обработке ПДнУведомление (форма на сайте РКН)3 000 – 5 000 ₽
Политика обработки персональных данныхПолитика обработки ПДн30 000 – 60 000 ₽
Публикация политики на сайтеРазмещённый документ на сайте30 000 – 60 000 ₽
Согласия на обработку ПДнФормы согласий300 000 – 700 000 ₽
Согласие на обработку биометрииОтдельное письменное согласие300 000 – 700 000 ₽
Согласие на распространение ПДнОтдельное согласие (с 01.09.2022)300 000 – 700 000 ₽
Назначение ответственного за обработку ПДнПриказ о назначении30 000 – 60 000 ₽
Перечень лиц, допущенных к обработкеПриказ с перечнем30 000 – 60 000 ₽
Локальные акты по обработке ПДнПоложение об обработке ПДн30 000 – 60 000 ₽
Соответствие целей обработки заявленнымДокументы, подтверждающие цели300 000 – 700 000 ₽
Сроки обработки и уничтожение ПДнАкты уничтожения, регламент300 000 – 700 000 ₽
Локализация баз ПДн в РФДокументы о серверах, договоры с хостингом1 000 000 – 6 000 000 ₽
Передача ПДн третьим лицамПоручения на обработку, договоры300 000 – 700 000 ₽
Трансграничная передача ПДнУведомление РКН, оценка страны-получателя300 000 – 700 000 ₽
Обработка ПДн в ИСПДнМодель угроз, акт оценки вреда30 000 – 60 000 ₽
Реагирование на запросы субъектовЖурнал обращений, шаблоны ответов300 000 – 700 000 ₽
Уведомление об утечке ПДнПроцедура уведомления РКН (24 часа)до 15 000 000 ₽

Совет: Используйте наш чек-лист соответствия 152-ФЗ, чтобы проверить, все ли документы у вас в наличии.

Чек-лист документов для проверки

Вот полный список документов, которые должны быть готовы к моменту проверки Роскомнадзора:

Обязательные документы

  1. Уведомление об обработке ПДн — направлено в Роскомнадзор и актуализировано при изменениях
  2. Политика обработки персональных данных — опубликована на сайте и доступна любому посетителю
  3. Положение об обработке персональных данных — внутренний локальный акт организации
  4. Приказ о назначении ответственного за обработку ПДн — с указанием конкретного лица
  5. Приказ об утверждении перечня лиц, допущенных к обработке ПДн — поимённый список
  6. Согласия субъектов на обработку ПДн — по каждой категории: сотрудники, клиенты, пользователи сайта
  7. Политика конфиденциальности сайта — для онлайн-сервисов
  8. Пользовательское соглашение — если есть регистрация или личный кабинет

Организационные документы

  1. Модель угроз безопасности ПДн — описание актуальных угроз для вашей ИСПДн
  2. Акт оценки вреда субъектам ПДн — обязателен с 2023 года
  3. Регламент реагирования на инциденты — процедура действий при утечке
  4. Журнал учёта обращений субъектов ПДн — фиксация всех запросов и ответов
  5. Обязательства о неразглашении — подписанные всеми сотрудниками, имеющими доступ к ПДн

Документы для передачи данных

  1. Поручения на обработку ПДн — договоры с каждым контрагентом, который обрабатывает данные от вашего имени
  2. Уведомление о трансграничной передаче — если данные передаются за рубеж

Технические документы

  1. Описание ИСПДн — состав данных, цели обработки, архитектура системы
  2. Документы по техническим мерам защиты — шифрование, разграничение доступа, резервное копирование
  3. Акты уничтожения персональных данных — подтверждение удаления данных по истечении сроков

Быстрое решение: Создайте весь комплект документов за 15 минут в нашем конструкторе документов по 152-ФЗ. Все шаблоны соответствуют актуальным требованиям законодательства.

Частые нарушения при проверках

По статистике Роскомнадзора, вот ТОП-10 нарушений, которые выявляются чаще всего:

1. Отсутствие уведомления Роскомнадзора

Многие организации просто не знают, что обязаны подать уведомление в реестр операторов ПДн. Исключения из этой обязанности есть (ст. 22 152-ФЗ), но они касаются узкого круга случаев.

2. Политика обработки ПДн не опубликована на сайте

Политика обработки ПДн должна быть размещена на сайте в свободном доступе. Часто её путают с политикой конфиденциальности — это разные документы.

3. Сбор избыточных данных

Организация собирает данные, которые не нужны для заявленных целей. Например, запрашивает паспортные данные при подписке на рассылку.

4. Отсутствие или неправильное оформление согласий

Согласие должно быть конкретным, информированным и сознательным. Заранее проставленные галочки, скрытые чекбоксы, согласие «в пакете» с другими условиями — всё это нарушения.

5. Обработка данных без правового основания

Каждая цель обработки должна иметь своё правовое основание: согласие, договор, закон, жизненно важные интересы или легитимный интерес. Нет основания — нет права обрабатывать.

6. Несоблюдение сроков обработки

Данные хранятся дольше, чем это необходимо для целей обработки. После достижения цели или отзыва согласия данные должны быть уничтожены в течение 30 дней.

7. Отсутствие ответственного за обработку ПДн

Назначение ответственного лица — обязательное требование для организаций, обрабатывающих ПДн. Приказ должен быть оформлен документально.

8. Нарушение прав субъектов ПДн

Игнорирование запросов субъектов на доступ к данным, отказ в удалении, непредоставление информации об обработке — всё это грубые нарушения.

9. Отсутствие поручений на обработку

Если вы передаёте данные подрядчикам (хостинг, CRM, рассылки, бухгалтерия), с каждым из них должно быть заключено поручение на обработку ПДн.

10. Нарушение требований локализации

С 2015 года базы данных с ПДн российских граждан должны храниться на серверах, физически расположенных в России. Нарушение этого требования влечёт штраф до 6 000 000 ₽.

Штрафы по результатам проверки

С 2024–2025 годов штрафы за нарушения в сфере персональных данных существенно ужесточены. Вот актуальная таблица:

НарушениеШтраф для ИПШтраф для юрлиц
Обработка без согласия или с нарушением требований к согласию100 000 – 300 000 ₽300 000 – 700 000 ₽
Повторная обработка без согласия500 000 – 1 000 000 ₽1 000 000 – 1 500 000 ₽
Отсутствие политики на сайте10 000 – 20 000 ₽30 000 – 60 000 ₽
Неуведомление Роскомнадзора1 000 – 2 000 ₽3 000 – 5 000 ₽
Нарушение локализации данных100 000 – 1 000 000 ₽1 000 000 – 6 000 000 ₽
Повторное нарушение локализации1 000 000 – 6 000 000 ₽6 000 000 – 18 000 000 ₽
Утечка ПДн (1 000 – 10 000 субъектов)до 5 000 000 ₽до 5 000 000 ₽
Утечка ПДн (10 000 – 100 000 субъектов)до 10 000 000 ₽до 10 000 000 ₽
Утечка ПДн (более 100 000 субъектов)до 15 000 000 ₽до 15 000 000 ₽
Повторная утечка ПДноборотный штраф 1–3% выручкиоборотный штраф 1–3% выручки

С 2025 года за повторные утечки введены оборотные штрафы — от 1% до 3% от выручки за календарный год (но не менее 20 000 000 ₽ и не более 500 000 000 ₽). Подробнее о штрафах читайте в нашей статье Штрафы за персональные данные.

Как подготовиться: пошаговая инструкция

Шаг 1. Проведите аудит текущего состояния

Прежде чем готовить документы, разберитесь, что у вас есть и чего не хватает:

  • Составьте перечень всех процессов, где обрабатываются ПДн
  • Определите категории субъектов: сотрудники, клиенты, посетители сайта, кандидаты
  • Определите категории обрабатываемых данных: ФИО, контакты, паспортные данные, биометрия
  • Зафиксируйте цели обработки для каждого процесса
  • Проверьте наличие правовых оснований для каждой цели
  • Воспользуйтесь нашим чек-листом соответствия 152-ФЗ для самопроверки

Шаг 2. Подготовьте полный комплект документов

На основании аудита подготовьте все необходимые документы. Минимальный комплект:

  • Политика обработки ПДн — разместите на сайте
  • Положение об обработке ПДн — внутренний документ
  • Приказ о назначении ответственного за обработку ПДн
  • Приказ об утверждении перечня лиц, допущенных к ПДн
  • Формы согласий для каждой категории субъектов
  • Обязательства о неразглашении для сотрудников
  • Поручения на обработку для контрагентов

Все эти документы можно сгенерировать в нашем конструкторе документов — вы заполняете данные о своей организации, а система создаёт готовый комплект.

Шаг 3. Проверьте техническую сторону

Роскомнадзор оценивает не только документы, но и фактическое состояние дел:

  • Убедитесь, что серверы с ПДн находятся на территории РФ
  • Проверьте настройки доступа к базам данных
  • Внедрите шифрование при передаче данных (SSL/TLS)
  • Настройте журналирование доступа к ПДн
  • Организуйте резервное копирование
  • Обеспечьте физическую безопасность носителей информации

Шаг 4. Обучите персонал

Подготовьте сотрудников к возможной проверке:

  • Проведите инструктаж по работе с ПДн для всех, кто имеет к ним доступ
  • Разъясните порядок действий при визите инспекторов
  • Назначьте контактное лицо для взаимодействия с проверяющими
  • Убедитесь, что сотрудники знают, где хранятся документы
  • Проведите тренировочную «проверку» — пройдите по чек-листу внутри компании

Шаг 5. Организуйте хранение документов

Все документы должны быть:

  • Систематизированы — удобная структура папок по категориям
  • Актуальны — своевременно обновляйте при изменениях
  • Доступны — ответственный сотрудник должен быстро найти любой документ
  • Подписаны — все приказы, согласия и обязательства должны иметь подписи

Рекомендуем хранить документы как в бумажном, так и в электронном виде. При документарной проверке Роскомнадзор запрашивает заверенные копии, при выездной — может потребовать оригиналы.

Что делать, если пришла проверка

Если вы получили уведомление о проверке, действуйте по плану:

  1. Проверьте законность — убедитесь, что распоряжение о проверке оформлено правильно
  2. Назначьте сопровождающего — определите сотрудника, который будет работать с инспекторами
  3. Подготовьте документы — соберите все документы из чек-листа
  4. Предоставляйте только то, что запрошено — не давайте лишнюю информацию
  5. Фиксируйте всё — ведите журнал хода проверки, делайте копии запрошенных документов
  6. Не препятствуйте — за воспрепятствование проверке предусмотрена отдельная ответственность

Не откладывайте подготовку. Создайте полный комплект документов прямо сейчас в конструкторе документов по 152-ФЗ. Это займёт не более 15 минут, а штрафы — от 30 000 до 15 000 000 ₽.

Итоги

Подготовка к проверке Роскомнадзора — это не разовое мероприятие, а постоянный процесс. Ключевые действия:

  • Поддерживайте полный комплект документов в актуальном состоянии
  • Регулярно проводите внутренний аудит по чек-листу 152-ФЗ
  • Обучайте сотрудников правилам работы с персональными данными
  • Следите за изменениями в законодательстве — штрафы регулярно растут
  • Используйте конструктор документов для быстрого создания и обновления документации

Помните: наличие правильно оформленных документов не только защитит вас от штрафов, но и повысит доверие клиентов к вашей организации.

Петрова Елена

Петрова Елена

Эксперт Киберосновы

Юрист в области защиты персональных данных и IT-права. 8 лет практики сопровождения проверок Роскомнадзора. Разработала более 500 комплектов документов по 152-ФЗ для организаций.

юридические аспекты ПДнпроверки РКНштрафысогласия

Часто задаваемые вопросы

Плановые проверки проводятся не чаще одного раза в три года. График плановых проверок публикуется на сайте Генпрокуратуры до 31 декабря предшествующего года. Внеплановые проверки могут проводиться в любое время при наличии оснований: жалобы граждан, истечение срока предписания, поручение Правительства РФ.
Роскомнадзор проверяет: наличие и содержание уведомления об обработке ПДн, политику обработки персональных данных, согласия субъектов, соответствие целей обработки заявленным, порядок хранения и уничтожения данных, локализацию баз данных на территории РФ, назначение ответственного за обработку ПДн, наличие организационных и технических мер защиты.
Отказать в проведении законной проверки нельзя — это влечёт административную ответственность по ст. 19.4.1 КоАП РФ. Однако вы вправе потребовать предъявить распоряжение о проведении проверки, проверить полномочия инспекторов и присутствовать при всех действиях проверяющих. Если проверка проводится с нарушениями, её результаты можно обжаловать.
Штрафы зависят от вида нарушения. Обработка без согласия — от 300 000 до 700 000 ₽ для юрлиц. Отсутствие политики обработки ПДн — от 30 000 до 60 000 ₽. Неуведомление Роскомнадзора — от 3 000 до 5 000 ₽. С 2025 года штрафы существенно увеличены, за утечку данных — до 15 000 000 ₽, а за повторные нарушения введена уголовная ответственность.
План проверок публикуется на сайте Генеральной прокуратуры РФ (план.прокуратура.рф) и на официальном сайте Роскомнадзора до 31 декабря года, предшествующего году проверки. Вы можете найти свою организацию по ИНН, ОГРН или наименованию. Также Роскомнадзор обязан уведомить организацию о плановой проверке не позднее чем за 3 рабочих дня до её начала.

Оформите документы по 152-ФЗ за 5 минут

Конструктор создаст полный пакет документов под вашу организацию. Соответствие закону, актуальные формы, понятные шаблоны.

Создать документВсе документы

Связанные материалы

Штрафы за нарушение закона о персональных данныхЧек-лист соответствия 152-ФЗКонструктор документов по 152-ФЗКакие документы нужны по 152-ФЗ