Аудит на соответствие 152-ФЗ: 10 этапов, чек-лист и топ-10 нарушений

Аудит на соответствие 152-ФЗ — это систематическая проверка того, как организация собирает, хранит, обрабатывает и уничтожает персональные данные. Цель — выявить нарушения до того, как их найдёт Роскомнадзор.

Статья 18.1 Федерального закона № 152-ФЗ прямо обязывает оператора самостоятельно оценивать вред, который может быть причинён субъектам ПДн, и принимать меры по обеспечению выполнения закона. Аудит — основной инструмент такой самооценки.

Почему аудит — не формальность, а необходимость:

• Штрафы растут. С 2025 года по ст. 13.11 КоАП штрафы за нарушения в области ПДн составляют до 18 млн рублей, а за повторные нарушения — до 500 млн рублей (оборотные штрафы). Подробнее — в статье Штрафы за персональные данные
• РКН активизировался. Количество проверок и внеплановых мероприятий растёт ежегодно. По данным РКН, в 2025 году было вынесено более 3 000 постановлений о штрафах
• Утечки = уголовная ответственность. При утечке ПДн без подтверждённых мер защиты руководитель рискует персональной ответственностью
• Контрагенты проверяют. Крупные заказчики и партнёры всё чаще требуют подтверждения compliance при заключении договоров

Регулярный внутренний аудит — это ваша страховка. Он позволяет устранить нарушения до проверки и продемонстрировать РКН, что организация предпринимает осознанные шаги к соблюдению закона. Воспользуйтесь нашим инструментом аудита, чтобы начать проверку прямо сейчас.

Ниже — полный алгоритм проведения аудита обработки ПДн. Каждый этап можно пройти самостоятельно, используя наш чек-лист 152-ФЗ как навигатор.

Этап 1. Инвентаризация ИСПДн

Первый и самый трудоёмкий шаг. Необходимо составить полный перечень информационных систем, в которых обрабатываются персональные данные:

• Корпоративные системы: 1С, CRM, HRM, ERP, корпоративная почта
• Облачные сервисы: SaaS-платформы, облачные хранилища, мессенджеры
• Веб-ресурсы: сайт, личные кабинеты, мобильные приложения
• Бумажные архивы: кадровые дела, договоры, заявления

Для каждой ИСПДн фиксируйте: какие категории ПДн обрабатываются, объём записей, тип доступа, место размещения серверов. Результат — реестр ИСПДн (часть обязательной документации).

Этап 2. Проверка правовых оснований обработки

Для каждой цели обработки должно быть законное основание (ст. 6 152-ФЗ):

• Согласие субъекта — письменное, информированное, конкретное
• Договор — обработка для исполнения договора с субъектом
• Закон — обработка требуется по ТК РФ, НК РФ и т.д.
• Законный интерес оператора — с обоснованием и балансировкой прав

Типичная ошибка: организация обрабатывает данные для маркетинга, ссылаясь на договор. Это незаконно — для маркетинговых рассылок нужно отдельное согласие.

Этап 3. Проверка согласий на обработку ПДн

Проверьте каждое используемое согласие на соответствие ст. 9 152-ФЗ:

• Содержит все обязательные реквизиты (цель, перечень данных, срок, лицо-обработчик)
• Получено до начала обработки (не задним числом)
• Конкретное — не «на всё» одним документом
• Отзыв согласия реально работает — при отзыве обработка прекращается

Подробнее о согласиях — в статье Нужно ли согласие на обработку ПДн.

Этап 4. Проверка внутренних документов (политик и приказов)

Сверьте наличие и актуальность обязательных документов:

• Политика обработки ПДн — опубликована на сайте и доступна субъектам
• Положение об обработке ПДн — утверждено руководителем, актуальная редакция
• Приказ о назначении ответственного за обработку ПДн
• Модель угроз безопасности ПДн
• Перечень ПДн, подлежащих защите
• Журналы учёта обращений субъектов

Полный список — в статье Какие документы нужны по 152-ФЗ. Создать недостающие документы можно в конструкторе за 15 минут.

Этап 5. Проверка сайта

Сайт — первое, что проверяет РКН при дистанционном мониторинге:

• Политика обработки ПДн опубликована и доступна по ссылке в футере
• Все формы сбора данных содержат чекбокс согласия со ссылкой на политику
• Cookie-баннер отображается при первом визите (если используете аналитику или рекламу)
• Политика cookies описывает все используемые cookie-файлы
• Контактные данные оператора ПДн указаны на сайте

Подробный разбор — в статье Персональные данные на сайте: что делать.

Этап 6. Проверка уведомления Роскомнадзора

Оператор обязан подать уведомление об обработке ПДн в РКН (ст. 22 152-ФЗ), за исключением случаев, перечисленных в ч. 2 ст. 22. Проверьте:

• Уведомление подано и организация включена в реестр операторов ПДн
• Данные в уведомлении актуальны (цели, категории ПДн, меры защиты)
• При изменениях в обработке подано информационное письмо

С 1 сентября 2022 года требования к содержанию уведомления расширены — убедитесь, что ваше уведомление соответствует новой форме.

Этап 7. Проверка мер защиты ПДн

Технические и организационные меры должны соответствовать установленному уровню защищённости (Приказ ФСТЭК № 21):

• Определён уровень защищённости для каждой ИСПДн (УЗ-1 — УЗ-4)
• Реализованы меры, соответствующие уровню: антивирус, МСЭ, разграничение доступа, журналирование
• Проведена оценка эффективности мер (для УЗ-1, УЗ-2 — обязательна)
• Средства защиты сертифицированы (при обработке в ГИС — обязательно)

Этап 8. Проверка договоров с обработчиками и подрядчиками

Если вы передаёте ПДн третьим лицам (ст. 6 ч. 3 152-ФЗ), проверьте:

• С каждым обработчиком заключено поручение на обработку ПДн
• В поручении указаны: перечень действий с ПДн, цели, обязанность обеспечить конфиденциальность и безопасность
• Обработчик подтвердил наличие собственных мер защиты
• Трансграничная передача ПДн (при наличии) оформлена согласно гл. 12 152-ФЗ

Частый пробел: организация использует облачную CRM или бухгалтерию, но поручение на обработку с провайдером не заключено.

Этап 9. Оценка рисков и анализ уязвимостей

Проведите оценку рисков для каждой ИСПДн:

• Актуализируйте модель угроз — добавьте новые сценарии (фишинг, социальная инженерия, инсайдерские угрозы)
• Оцените вероятность реализации каждой угрозы и потенциальный ущерб
• Проверьте, покрывают ли текущие меры защиты выявленные угрозы
• Зафиксируйте остаточные риски и план их снижения

Этап 10. Составление отчёта и плана устранения

Результат аудита — отчёт, который содержит:

• Перечень проверенных объектов (ИСПДн, документы, процессы)
• Выявленные несоответствия с указанием статей 152-ФЗ
• Оценку уровня риска для каждого несоответствия (критический / высокий / средний / низкий)
• План устранения с ответственными и сроками
• Рекомендации по улучшению системы защиты ПДн

Отчёт утверждается руководителем организации. Сохраняйте все отчёты — при проверке РКН они подтверждают, что организация системно работает над compliance.

Используйте этот чек-лист при каждом аудите. Отмечайте статус: ✓ соответствует, ✗ нарушение, — не применимо.

Документация:

• Политика обработки ПДн утверждена и опубликована на сайте
• Положение об обработке ПДн утверждено руководителем
• Приказ о назначении ответственного за ПДн издан
• Модель угроз безопасности ПДн разработана и актуализирована
• Перечень ПДн, подлежащих защите, составлен
• Формы согласий соответствуют ст. 9 152-ФЗ
• Журналы учёта (обращения субъектов, допуск, инциденты) ведутся

Организационные меры:

• Уведомление РКН подано и данные актуальны
• Ответственный за ПДн назначен и обучен
• Сотрудники, обрабатывающие ПДн, ознакомлены с политиками под подпись
• Проведено обучение работников по вопросам обработки ПДн
• Установлен порядок обработки обращений субъектов ПДн
• Сроки хранения ПДн определены и соблюдаются

Технические меры:

• Определён уровень защищённости для каждой ИСПДн
• Реализованы меры защиты по Приказу ФСТЭК № 21
• Доступ к ПДн разграничен по ролям
• Ведётся журналирование действий с ПДн
• Резервное копирование настроено
• Антивирусная защита актуальна

Сайт и онлайн-сервисы:

• Формы сбора данных содержат чекбокс согласия
• Политика доступна по ссылке в футере сайта
• Cookie-баннер реализован
• SSL-сертификат установлен (HTTPS)

Для автоматизированной проверки используйте наш инструмент аудита — он проведёт вас по каждому пункту и сформирует отчёт с рекомендациями. Скачать полный чек-лист в формате документа можно в разделе Чек-лист 152-ФЗ.

Анализ предписаний и постановлений Роскомнадзора за 2024–2025 годы показывает устойчивый перечень типичных нарушений. Знание этого списка позволяет сфокусировать аудит на зонах наибольшего риска.

1. Обработка ПДн без правового основания. Организация обрабатывает данные, не имея ни согласия, ни договора, ни законного требования. Часто встречается при маркетинговых рассылках и передаче данных партнёрам.

2. Отсутствие или неопубликование политики обработки ПДн. Ст. 18.1 152-ФЗ обязывает оператора обеспечить неограниченный доступ к документу, определяющему политику в отношении обработки ПДн. На практике политика либо отсутствует, либо спрятана в глубине сайта.

3. Неполное согласие субъекта. Согласие не содержит обязательных реквизитов: не указана цель, нет перечня данных, отсутствует срок обработки. Особенно часто — при сборе данных через сайт.

4. Неподача или неактуальность уведомления РКН. Организация не подала уведомление в реестр операторов или не обновила его при изменении целей, категорий ПДн, мер защиты.

5. Обработка ПДн, несовместимая с заявленными целями. Данные, собранные для одной цели, используются для другой. Например, данные из анкеты соискателя используются для маркетинга.

6. Нарушение сроков хранения ПДн. Данные хранятся после достижения цели обработки или после отзыва согласия. Механизм уничтожения ПДн не реализован или не задокументирован.

7. Отсутствие поручений на обработку ПДн. Передача данных третьим лицам (бухгалтерия, хостинг, рассылки) без оформления поручения по ст. 6 ч. 3 152-ФЗ.

8. Несоблюдение порядка обработки обращений субъектов. Субъект запрашивает информацию об обработке своих данных (ст. 14 152-ФЗ), а организация не отвечает в 10-дневный срок или отвечает неполно.

9. Отсутствие назначенного ответственного. Не издан приказ о назначении лица, ответственного за организацию обработки ПДн (ст. 22.1 152-ФЗ). Нет должностной инструкции, обучение не проведено.

10. Недостаточные меры защиты ПДн. Уровень защищённости не определён, меры по Приказу ФСТЭК № 21 не реализованы, оценка эффективности мер не проведена.

Каждое из этих нарушений — основание для штрафа по ст. 13.11 КоАП. При совокупности нескольких нарушений штрафы суммируются. Подробнее о подготовке к проверке — Подготовка к проверке РКН.

Оба формата имеют своё место в системе управления ПДн.

Внутренний аудит проводится силами организации. Подходит для:

• Регулярной самопроверки (рекомендуется не реже 1 раза в год)
• Организаций с назначенным ответственным за ПДн, который обладает компетенцией
• Промежуточной проверки после устранения ранее выявленных нарушений
• Малого и среднего бизнеса с типовыми процессами обработки

Плюсы: нулевая стоимость, знание внутренних процессов, оперативность. Минусы: «замыленный глаз», возможная предвзятость, ограниченная экспертиза.

Внешний аудит проводится лицензированной организацией (лицензия ФСТЭК на техническую защиту конфиденциальной информации). Необходим когда:

• Организация — оператор ГИС или субъект КИИ (аттестация обязательна)
• Обрабатываются специальные или биометрические ПДн в большом объёме
• Предстоит крупная сделка или IPO, требующая compliance-заключения
• Требуется независимая оценка для регулятора (при инциденте или предписании)
• Внутренней экспертизы недостаточно (нет штатного специалиста по ИБ)

Плюсы: независимость, глубокая экспертиза, юридический вес заключения. Минусы: стоимость (от 200 тыс. руб.), сроки (2–4 недели).

Оптимальная стратегия: ежеквартальный внутренний аудит с помощью нашего инструмента аудита + внешний аудит 1 раз в 2–3 года или при существенных изменениях в обработке.

Методические рекомендации РКН указывают, что оператор должен осуществлять внутренний контроль на регулярной основе. Конкретная периодичность не установлена, но практика и здравый смысл подсказывают следующий график:

Ежеквартально (экспресс-аудит, 1–2 часа):

• Проверка актуальности политики обработки ПДн на сайте
• Контроль работоспособности форм согласий
• Проверка обращений субъектов — все ли отработаны в срок
• Контроль сроков хранения — есть ли данные, подлежащие уничтожению

Ежегодно (полный аудит, 2–5 дней):

• Полный проход по всем 10 этапам аудита
• Актуализация реестра ИСПДн
• Пересмотр модели угроз
• Обновление уведомления РКН при необходимости
• Актуализация всех документов

Внепланово — при наступлении триггерных событий:

• Инцидент ИБ или утечка ПДн
• Получение предписания РКН
• Внедрение новой ИС, обрабатывающей ПДн
• Изменение организационной структуры
• Изменения в законодательстве (новые редакции 152-ФЗ, приказов ФСТЭК)

Зафиксируйте график аудитов в плане мероприятий по защите ПДн и контролируйте исполнение. Это само по себе является мерой, подтверждающей выполнение ст. 18.1 152-ФЗ.

Проводить аудит «вручную» в Excel — возможно, но неэффективно. Современные инструменты экономят десятки часов:

Наш инструмент аудита — бесплатный онлайн-сервис, который:

• Проведёт вас по каждому этапу аудита в формате вопрос-ответ
• Автоматически определит зоны несоответствия
• Сформирует отчёт с приоритизированными рекомендациями
• Укажет, какие документы нужно создать или обновить

Дополнительные инструменты:

• Чек-лист 152-ФЗ — скачиваемый документ для ручной проверки
• Конструктор документов — создание недостающих документов по 152-ФЗ за 15 минут

Порядок работы с инструментами:

1. Пройдите аудит — получите перечень несоответствий
2. Создайте недостающие документы в конструкторе
3. Устраните организационные и технические пробелы по рекомендациям
4. Повторите аудит через 3 месяца для контроля

Такой цикл обеспечивает непрерывное улучшение системы защиты ПДн и готовность к проверке РКН в любой момент.

Аудит на соответствие 152-ФЗ — это не галочка в списке дел, а непрерывный процесс управления рисками в области персональных данных. Организации, которые проводят аудит регулярно, значительно реже получают штрафы и предписания.

Ключевые выводы:

• Проводите внутренний аудит не реже 1 раза в год, экспресс-проверку — ежеквартально
• Используйте инструмент аудита для автоматизации проверки
• Фокусируйтесь на топ-10 нарушений — они покрывают 80% рисков
• Фиксируйте результаты в отчёте — это доказательство compliance при проверке РКН
• Создавайте недостающие документы сразу в конструкторе

Аудит охватывает все аспекты обработки ПДн: от бумажных носителей до cookie-файлов на сайте, от назначения ответственного за ПДн до проверки локализации данных на серверах в РФ. Если организация использует видеонаблюдение или обрабатывает биометрические данные, аудит включает проверку согласий и уровня защищённости. Для субъектов КИИ дополнительно проверяется соответствие Приказу ФСТЭК 239 и порядок аттестации ИСПДн. При использовании СКЗИ — полнота ведения журналов учёта СКЗИ.

Начните с простого шага — запустите аудит прямо сейчас. Через 30 минут у вас будет полная картина соответствия вашей организации требованиям 152-ФЗ.