Как подготовиться к проверке Роскомнадзора в 2025 году?

Документы, которые должны быть готовы

уведомление об обработке ПДн (внесено в реестр операторов и актуализировано);
приказ о назначении ответственного за обработку ПДн;
политика в отношении обработки ПДн (на сайте и внутри компании);
положения, регламенты и инструкции (например, порядок доступа, хранения, уничтожения);
формы согласий субъектов (сотрудников, клиентов, кандидатов);
договоры с подрядчиками/аутсорсерами с разделами о ПДн;
журнал учёта обращений субъектов (например, запрос на удаление или исправление данных).

на сайте опубликована политика ПДн;
под каждой формой стоит чекбокс согласия;
используется защищённый протокол (https);
серверы и базы данных локализованы в РФ (ст. 12 ФЗ-152);
базовые меры защиты: антивирус, пароли, разграничение доступа, резервное копирование.

назначен и обучен ответственный за ПДн (ст. 22 ФЗ-152);
сотрудники проинструктированы, знают порядок работы с ПДн;
настроен порядок уничтожения ПДн по истечении сроков;
компания готова ответить на запрос субъекта ПДн (выдать копию данных, удалить или ограничить).

ФЗ-152, ст. 18.1 и 19 — устанавливают организационные и технические меры защиты ПДн;
ФЗ-152, ст. 22 — обязывает операторов уведомлять РКН и поддерживать сведения актуальными;
КоАП РФ, ст. 13.11 (ред. 2023) — штрафы: до 500 000 ₽ для юрлиц и до 100 000 ₽ для ИП за грубые нарушения.

Пример из практики

В 2024 году компания из сферы онлайн-образования прошла проверку. Ключевыми проблемами оказались:

политика на сайте без упоминания целей;
отсутствовали согласия работников;
база студентов хранилась в зарубежном облаке.
Результат: штраф и требование перенести данные в РФ.