С 2022 года в России действует мораторий на плановые проверки бизнеса. Многие предприниматели восприняли это как сигнал расслабиться. Но к персональным данным мораторий не имеет отношения.
Роскомнадзор проверяет операторов персональных данных в штатном режиме — и делает это всё активнее. В 2024–2025 годах количество проверок росло, штрафы после поправок в КоАП увеличились в разы, а перечень оснований для внеплановых визитов расширился.
Разбираемся, кого проверяют в первую очередь, в каком формате это происходит и что нужно привести в порядок до того, как инспектор появится на пороге.
Мораторий на проверки и почему персональные данные — исключение
Постановление Правительства №336 от 2022 года ввело запрет на большинство видов государственного контроля. Цель — снизить административную нагрузку на бизнес.
Но в том же документе перечислены исключения — сферы, где риск вреда гражданам слишком высок, чтобы отказываться от надзора. Персональные данные попали в этот список. Формальное основание — угроза правам граждан при незаконной обработке их информации.
Это означает: Роскомнадзор вправе проверять любого оператора персональных данных в плановом и внеплановом порядке. Мораторий на него не распространяется.
Кто считается оператором персональных данных
Любое юридическое лицо или ИП, которое собирает данные физических лиц: имена, телефоны, email, адреса, паспортные данные. Если на сайте есть хотя бы одна форма обратной связи — вы оператор. Подробнее — в материале об обработке персональных данных на сайте.
Группы риска: как Роскомнадзор решает, кого проверять
С 2023 года РКН работает по риск-ориентированному подходу. Не все компании проверяются с одинаковой периодичностью — частота зависит от группы риска, к которой относится оператор.
Группы установлены Постановлением Правительства №1046. Их три — в зависимости от масштаба обработки данных и тяжести возможных последствий нарушений.
| Группа риска | Кто входит | Частота плановых проверок |
|---|---|---|
| Высокий риск | Банки, медицинские организации, операторы биометрических и специальных категорий данных, базы свыше 1 млн субъектов | 1 раз в 2 года |
| Средний риск | Страховые компании, образовательные учреждения, операторы с базами от 100 тыс. до 1 млн субъектов | 1 раз в 3 года |
| Низкий риск | Малый бизнес, ИП, небольшие сайты, базы до 100 тыс. субъектов | 1 раз в 6 лет |
Низкий риск — не значит нулевой. Внеплановые проверки возможны для любой группы, и чаще всего они начинаются по жалобе пользователя или при обнаружении нарушения в открытых источниках.
Сайт с формой без согласия на обработку персональных данных — это нарушение, которое видно без всякой проверки. Достаточно открыть страницу в браузере.
Форматы контроля Роскомнадзора в 2026 году
У РКН несколько инструментов работы с операторами. Они отличаются степенью жёсткости, сроками и возможными последствиями.
Профилактический визит
Самый мягкий формат. Инспектор встречается с представителем компании — очно или дистанционно — без цели наказать. Задача — проверить состояние дел и дать рекомендации. Важный нюанс: отказаться от профилактического визита нельзя. Это прямо запрещено законом о государственном контроле. Зато по итогам такого визита штрафов не назначают — только предписания об устранении нарушений.
Документарная проверка
Дистанционный формат. РКН направляет запрос, компания высылает пакет документов: политику, приказы, журналы, договоры с подрядчиками. Самый частый вид контроля для небольших компаний и ИП. По итогам возможен протокол об административном правонарушении.
Инспекционный визит
Внеплановый формат. Инспектор приходит без предупреждения или с коротким уведомлением — за 24 часа. Длится не более одного рабочего дня. Назначается при наличии индикаторов риска или сигналов о нарушении. По итогам составляется протокол.
Выездная проверка
Самый серьёзный формат. Инспекторы приезжают в офис, изучают документы, информационные системы и помещения. Длится до 10 рабочих дней (для малого бизнеса — до 5). Назначается при серьёзных подозрениях в нарушениях или после инцидентов с утечкой данных.
Новые индикаторы риска: что запускает внеплановую проверку
Приказ Минцифры №720 утвердил перечень индикаторов риска нарушения обязательных требований. Это конкретные признаки, при обнаружении которых РКН вправе назначить внеплановую проверку — часто без предупреждения.
Часть индикаторов выявляется автоматически: по данным реестра операторов и открытым страницам сайтов. Инспектору не нужно никуда приезжать — достаточно проверить сайт онлайн.
Расхождение между сайтом и уведомлением в реестре операторов
Если сайт собирает данные, которые не указаны в уведомлении оператора, или уведомление не подавалось вовсе — это автоматический индикатор. Инспектор открывает форму обратной связи и сверяет с реестром.
Жалоба субъекта персональных данных
Если пользователь написал жалобу в РКН — это основание для внеплановой проверки. Одна жалоба может запустить весь процесс. Самая частая причина жалоб: нет чек-бокса под формой или невозможно отозвать согласие.
Сообщение об утечке данных
Утечка, опубликованная в открытых источниках, немедленно попадает в поле зрения регулятора. С 2024 года операторы обязаны сами уведомлять РКН об инцидентах в течение 24 часов — промолчать не получится.
Нарушение порядка трансграничной передачи
Использование иностранных сервисов — аналитики, CRM, email-рассылок — без надлежащего уведомления о трансграничной передаче персональных данных регулярно становится поводом для проверки.
Отсутствие политики конфиденциальности на сайте
Публичный сайт без политики конфиденциальности — нарушение, которое виден без выезда. Этот индикатор выявляется автоматически.
Пошаговый алгоритм подготовки к проверке Роскомнадзора
Подготовиться к проверке — значит привести в порядок документы, процессы и технические меры защиты. Ниже — последовательность шагов, которую можно пройти самостоятельно.
Проверить сайт до того, как это сделает РКН
Прежде чем заниматься документами, полезно понять, что именно нарушено. Сервис проверки сайта на соответствие 152-ФЗ автоматически анализирует страницы и показывает: есть ли политика конфиденциальности, правильно ли оформлены формы сбора данных, соответствует ли сайт требованиям регулятора. Это занимает несколько минут и даёт понимание, с чего начать.
Назначить ответственного за персональные данные
В компании должен быть приказ с именем конкретного человека, отвечающего за соблюдение требований 152-ФЗ. Для ИП — это сам предприниматель. Без этого приказа пакет документов считается неполным.
Провести инвентаризацию данных
Составить перечень: какие данные собираются, откуда (сайт, телефон, бумажные анкеты, CRM), где хранятся, кто имеет к ним доступ. Часто выясняется, что компания собирает больше данных, чем реально нужно — это отдельное нарушение (принцип минимизации).
Разработать пакет локальных нормативных актов (ЛНА)
Минимальный комплект: политика обработки персональных данных, положение о защите ПДн, приказ о назначении ответственного, перечень обрабатываемых данных, инструкции для сотрудников. Для сайта — корректно оформленная политика конфиденциальности и согласие под каждой формой сбора данных.
Обновить уведомление в реестре операторов
Большинство операторов обязаны уведомить РКН о начале обработки персональных данных. Если уведомление подавалось давно — нужно сверить актуальность: изменился ли адрес, цели обработки, перечень данных. Несоответствие реестра и реального положения дел — один из ключевых индикаторов риска.
Принять технические и организационные меры защиты
Ограничить доступ к базам данных — только для тех сотрудников, которым это необходимо. Разграничить права в CRM. Обеспечить парольную защиту, антивирус, резервное копирование. Бумажные документы с данными хранить в закрытых шкафах.
Выстроить процедуру уничтожения данных
Когда срок хранения истёк или пользователь отозвал согласие, данные нужно уничтожить в течение 30 дней. Факт уничтожения оформляется актом. Без акта уничтожения доказать исполнение требования при проверке невозможно.
На чём чаще всего «валятся» компании: чек-лист инспектора
Практика проверок показывает: большинство нарушений типовые. Инспектор смотрит на одни и те же вещи — и находит их у большинства проверяемых.
Неактуальные данные в реестре операторов
Компания поменяла адрес, расширила виды обрабатываемых данных или начала передавать данные новым подрядчикам — а уведомление в РКН не обновила. Инспектор сверяет реестр с фактическим положением дел.
Избыточность сбора данных
Форма заявки собирает паспортные данные, когда для обратной связи достаточно телефона. Закон требует собирать только то, что нужно для конкретной цели.
Отсутствие договоров с подрядчиками
CRM, сервис email-рассылки, облачное хранилище — всё это третьи лица, которым передаются данные. С каждым должен быть заключён договор поручения обработки персональных данных.
Нет актов уничтожения данных
Данные хранятся бессрочно — потому что никто не думал о сроках. Инспектор просит предъявить акты уничтожения за последние годы. Если их нет — нарушение.
Политика скопирована с чужого сайта без адаптации
Шаблон с реквизитами другой компании, устаревшими ссылками или несоответствующими целями обработки — типичная ошибка. Инспектор читает документ внимательно. Правильно оформить документ поможет генератор политики конфиденциальности.
Сотрудники не знают, что такое персональные данные
Инспектор вправе провести опрос. Если персонал не проходил инструктаж — это признак отсутствия системы защиты данных в компании.
Штрафы по итогам проверки в 2026 году
С 2024 года санкции по КоАП за нарушения в сфере персональных данных существенно выросли. Изменения коснулись как размеров штрафов, так и перечня составов. Проверить, не нарушает ли сайт требования, можно заранее — с помощью автоматической проверки на соответствие 152-ФЗ.
| Нарушение | Штраф для ЮЛ | Штраф для ИП |
|---|---|---|
| Обработка ПДн без согласия субъекта | 300 000 — 700 000 ₽ | 100 000 — 300 000 ₽ |
| Повторное нарушение | до 1 500 000 ₽ | до 500 000 ₽ |
| Отсутствие политики обработки ПДн | до 60 000 ₽ | до 20 000 ₽ |
| Нарушение порядка трансграничной передачи | 100 000 — 300 000 ₽ | 50 000 — 100 000 ₽ |
| Необеспечение уничтожения данных в срок | до 90 000 ₽ | до 30 000 ₽ |
| Утечка данных (необеспечение защиты) | 3 000 000 — 5 000 000 ₽ | 1 000 000 — 2 000 000 ₽ |
Штрафы суммируются. Если инспектор нашёл три нарушения — назначат три отдельных штрафа. Для среднего бизнеса итоговая сумма может легко перевалить за миллион рублей. При этом большинство нарушений можно устранить до проверки — самостоятельно или с помощью инструментов автоматического анализа.
Частые вопросы
Нужно ли получать согласие на куки — или это отдельная история?
Использую зарубежную CRM — это нарушение?
Как правильно уничтожить персональные данные и что такое акт уничтожения?
Нужно ли уведомлять РКН, если я ИП и у меня маленький сайт?
Может ли проверка начаться из-за сайта, если я не веду активную деятельность?
Что будет, если инспектор придёт, а документов нет?
Главное
Мораторий на проверки бизнеса персональных данных не касается. Роскомнадзор продолжает работу в штатном режиме, а перечень оснований для внеплановых визитов с каждым годом расширяется.
Большинство нарушений, которые находят инспекторы, — типовые и устраняемые: нет политики, нет чек-бокса под формой, не обновлено уведомление в реестре, нет договоров с подрядчиками. Всё это можно привести в порядок заранее.
Хорошая отправная точка — проверить сайт автоматически, выявить конкретные проблемы и устранять их по приоритету. Это занимает значительно меньше времени, чем разбираться с последствиями проверки постфактум.