Как проходит проверка Роскомнадзора по 152-ФЗ: шаг за шагом

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Проверка по 152-ФЗ — это не «только посмотреть сайт», а последовательность юридических и технических действий: от запроса документов до осмотра ИСПДн и последующих предписаний. Ниже — типовой сценарий, как это выглядит на практике.

Этапы проверки: пошаговый сценарий

1. Основание и инициирование.
   Проверка появляется в Едином плане (для плановой) или стартует по жалобе/утечке/поручению (для внеплановой). Формируется распоряжение (приказ) о проверке с предметом, сроками и составом инспекторов.
2. Уведомление оператора.
   Для плановой проверки оператор получает уведомление (как правило — не позднее чем за 3 рабочих дня). Для отдельных внеплановых случаев уведомление возможно в день начала, если есть угроза правам субъектов или инцидент безопасности.
3. Первичный документарный запрос.
   Инспектор направляет перечень документов: политика и регламенты по ПДн, приказы, реестры согласий и журналов, уведомление в РКН, договоры с подрядчиками-обработчиками, меры защиты ИСПДн (классификация, модель угроз, организационные меры), сведения о локализации.
4. Анализ сайта и дистанционная проверка фактов.
   Параллельно сверяют тексты на сайте (политика, формы, чекбоксы, cookie-баннер), проверяют наличие оператора в реестре, сопоставляют заявленные цели с реальными процессами (CRM, рассылки, коллтрекинг, платёжные шлюзы).
5. Выездная стадия (при необходимости).
   Осмотр помещений и архивов с ПДн, интервью ответственного и профильных сотрудников, проверка рабочих мест, режимов доступа, выгрузка выборочных логов и журналов, демонстрация настройки СЗИ/шифрования/резервного копирования. Фиксация пояснений и копий документов.
6. Фиксация результатов.
   Составляется Акт проверки с описанием установленных фактов (соответствий и нарушений), перечнем приложений и доказательств.
7. Предписание и/или производство по делу.
   При выявлении нарушений — Предписание с конкретными сроками устранения. Если есть состав правонарушения — возбуждение дела по ст. 13.11 КоАП РФ (без указания сумм в данном материале).
8. Контроль исполнения.
   По окончании срока предписания направляется отчёт с доказательствами устранения (приказы, обновлённые политики, скриншоты, акты уничтожения, изменённые настройки). Возможна контрольная внеплановая проверка.

На что смотрят особенно тщательно

• Законные основания: правильное разделение договорных целей и целей, требующих согласия (маркетинг, публикации, передача партнёрам).
• Локализация: где «первая запись» и основная база граждан РФ, что с резервными копиями.
• Сайт и онлайн-сервисы: политика, cookie-согласия, формы, фиксация чекбоксов/логов, интеграции (CRM, чат, рассылки, аналитика).
• Передача третьим лицам: договоры поручения, категории получателей в политике, реестр передач.
• Права субъектов: порядок и сроки ответов, журнал обращений, кейсы удаления/исправления.
• Безопасность ИСПДн: разграничение доступа, учёт носителей, резервное копирование/восстановление, крипто-средства (если применяются), уничтожение/обезличивание.

Типовой пакет запросов инспектора (из практики)

• Политика и положение (регламент) по ПДн; приказы о назначении ответственного и допуске сотрудников; инструкции.
• Уведомление в РКН и его актуальная редакция; сведения по реестру операторов.
• Формы согласий (бумажные и электронные), порядок и доказательства их фиксации (логи, double opt-in).
• Договоры с подрядчиками-обработчиками, в т.ч. хостинг, CRM, колл-центр, рассылки, коллтрекинг.
• Перечни ПДн и целей, сроки хранения, порядок уничтожения/обезличивания, акты уничтожения.
• Документы по защите: классификация ИСПДн, организационные меры, журналы доступа/инструктажей/инцидентов.
• Доказательства локализации и адрес(а) хранения, включая резервные копии.

Обоснование по законодательству

• ФЗ-152 «О персональных данных»
  • ст. 18.1 — обязанности оператора (открытость политики, информирование);
  • ст. 19 — меры по обеспечению безопасности ПДн;
  • ст. 22 — уведомление уполномоченного органа (РКН) и сведения в уведомлении;
  • ст. 23 — государственный контроль (полномочия уполномоченного органа).
• ФЗ № 248-ФЗ «О государственном контроле (надзоре)…» — порядок, формы и инструменты контрольных (надзорных) мероприятий, ЕРКНМ.
• Постановление Правительства РФ № 1511 от 30.09.2020 — особенности федерального госконтроля в сфере ПДн (организация, процедуры).
• КоАП РФ, ст. 13.11 — ответственность за нарушения в части обработки и защиты ПДн.

Рекомендации и выводы

1. Поддерживайте пакет документов по ПДн в актуальном состоянии: политики, регламенты, приказы, журналы, договоры с подрядчиками.
2. Проведите самопроверку сайта: политика в открытом доступе, корректные чекбоксы и тексты согласий, фиксация логов, cookie-баннер, локализация.
3. Проверьте локализацию и резервное копирование: адреса хранения в РФ, отражение в уведомлении, порядок удаления/обезличивания.
4. Подготовьте доказательства прав субъектов: шаблоны ответов, журнал запросов, кейсы удаления/исправления данных.
5. Назначьте и обучите ответственного за ПДн, оформите его полномочия и доступы; проведите инструктажи персонала.

Если хотите пройти проверку «с первого раза», ICTech подготовит полный комплект документов по 152-ФЗ, проведёт экспресс-аудит сайта и ИСПДн, настроит фиксацию согласий и локализацию — так вы закроете ключевые риски ещё до визита инспекторов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге