Как часто проводятся проверки по 152-ФЗ?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Роскомнадзор не проводит проверки соблюдения 152-ФЗ с фиксированной периодичностью «раз в N лет» для всех операторов персональных данных. Частота проверок зависит от формы контроля, категории риска оператора и наличия оснований для внеплановых мероприятий.

В настоящее время действует мораторий на плановые проверки Роскомнадзора до 2030 года, установленный постановлением Правительства РФ от 10.03.2022 № 336. Он распространяется в том числе на плановые проверки в сфере обработки и защиты персональных данных. Однако мораторий не означает отсутствие контроля: Роскомнадзор продолжает осуществлять камеральные проверки, внеплановые проверки и инспекционные визиты, которые могут проводиться без предупреждения и без ограничений по частоте.

Кто и как проверяет соблюдение 152-ФЗ

Основным органом государственного контроля за соблюдением требований Федерального закона № 152-ФЗ является Роскомнадзор. Именно он уполномочен проверять операторов персональных данных независимо от их организационно-правовой формы, масштаба бизнеса и сферы деятельности.

В рамках контроля Роскомнадзор проверяет:

законность обработки персональных данных;
наличие и корректность уведомления об обработке персональных данных;
соблюдение прав субъектов персональных данных;
наличие и актуальность организационно-распорядительной документации;
выполнение требований по защите персональных данных;
обработку персональных данных работников и клиентов;
соответствие сайта и онлайн-сервисов требованиям законодательства.

Контроль осуществляется в различных формах: плановые и внеплановые проверки, камеральный контроль, инспекционные визиты.

При этом даже при действующем моратории на плановые проверки Роскомнадзор сохраняет право проводить иные контрольные мероприятия, которые по своей фактической нагрузке для оператора нередко сопоставимы с полноценной проверкой.

Мораторий на плановые проверки Роскомнадзора до 2030 года

В отношении плановых проверок в сфере персональных данных действует мораторий до 2030 года, установленный постановлением Правительства РФ от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля».

Мораторий распространяется в том числе на плановые проверки Роскомнадзора, связанные с обработкой и защитой персональных данных. Это означает, что включение оператора персональных данных в ежегодный план проверок на период действия моратория, как правило, не осуществляется.

При этом важно учитывать следующее:

мораторий касается только плановых проверок;
он не отменяет государственный контроль в целом;
Роскомнадзор сохраняет полномочия по проведению внеплановых проверок, камерального контроля и инспекционных визитов;
наличие моратория не освобождает операторов от соблюдения требований 152-ФЗ и ответственности за нарушения.

На практике мораторий часто ошибочно воспринимается как полное прекращение проверок. Однако контроль за соблюдением законодательства о персональных данных продолжается в иных формах, которые могут проводиться без предварительного уведомления и без ограничения по периодичности.

Риск-ориентированный подход при проверках по 152-ФЗ

При осуществлении государственного контроля Роскомнадзор применяет риск-ориентированный подход, предусмотренный постановлением Правительства РФ от 29.06.2021 № 1046. В рамках этого подхода операторы персональных данных распределяются по категориям риска в зависимости от характера и объема обрабатываемых персональных данных, а также возможных последствий нарушений.

Всего выделяется пять категорий риска:

высокий;
значительный;
средний;
умеренный;
низкий.

Категория риска влияет на интенсивность контрольных мероприятий и потенциальную периодичность плановых проверок. Если оператор отнесен к низкой категории риска, плановые проверки в его отношении не проводятся даже вне периода моратория.

Риск-ориентированный подход используется Роскомнадзором не только для планирования проверок, но и для определения приоритетов при камеральном контроле, инспекционных визитах и рассмотрении обращений субъектов персональных данных.

Периодичность плановых проверок по категориям риска

Периодичность плановых проверок по 152-ФЗ определяется категорией риска, к которой отнесён оператор персональных данных. Эти правила применяются вне периода действия моратория и будут иметь значение после его завершения либо в случаях, когда мораторий не распространяется на конкретного оператора.

Установлена следующая периодичность плановых проверок:

высокий риск — не чаще одного раза в 2 года;
значительный риск — не чаще одного раза в 3 года;
средний риск — не чаще одного раза в 4 года;
умеренный риск — не чаще одного раза в 6 лет;
низкий риск — плановые проверки не проводятся.

Отнесение к той или иной категории риска зависит от характера обрабатываемых персональных данных, масштабов обработки, использования информационных систем и потенциального ущерба правам субъектов персональных данных. При этом сама категория риска может пересматриваться при изменении деятельности оператора.

Хотите подготовиться к проверке заранее?

Подготовим документы по персональным данным

Разработаем и внедрим пакет документов, приведём сайт и процессы в соответствие требованиям законодательства РФ

Инспекционные визиты вместо плановых проверок

В период действия моратория на плановые проверки Роскомнадзор активно использует инспекционные визиты как форму государственного контроля. Инспекционный визит не считается плановой проверкой и потому не подпадает под действие моратория.

Инспекционный визит характеризуется следующими особенностями:

проводится без предварительного уведомления оператора;
осуществляется, как правило, в течение одного рабочего дня;
инспектор вправе осмотреть офис, задать вопросы ответственным лицам;
могут быть затребованы документы и письменные объяснения;
по результатам визита могут быть выявлены нарушения и выданы предписания.

По фактической нагрузке для оператора инспекционный визит нередко сопоставим с выездной проверкой.

Отсутствие готовой документации и неподготовленность сотрудников в момент визита часто приводит к фиксации нарушений, даже если оператор формально соблюдает требования 152-ФЗ.

Внеплановые проверки по персональным данным

Внеплановые проверки по 152-ФЗ могут проводиться в любое время и без ограничений по периодичности, независимо от действия моратория на плановые проверки. Основания для их проведения прямо предусмотрены законодательством и на практике применяются достаточно часто.

Наиболее распространённые основания для внеплановых проверок:

жалобы субъектов персональных данных;
обращения работников или бывших сотрудников;
сообщения о возможных утечках персональных данных;
выявление нарушений при мониторинге сайтов и онлайн-сервисов;
отсутствие уведомления об обработке персональных данных либо наличие в нём существенных несоответствий;
неисполнение ранее выданных предписаний Роскомнадзора.

Количество внеплановых проверок в отношении одного оператора не ограничено. При наличии новых оснований проверка может быть инициирована повторно, в том числе в течение одного календарного года.

Уверенность перед проверкой Роскомнадзора

Полное соответствие 152-ФЗ «под ключ»

Разработаем пакет ОРД, проведём аудит сайта и приведём его в соответствие с законом.

Камеральный контроль: как часто он проводится

Камеральный контроль является одной из самых распространённых форм контроля Роскомнадзора в сфере персональных данных. Он проводится без выезда к оператору и, как правило, без уведомления, что делает его фактически постоянным.

В рамках камерального контроля Роскомнадзор:

анализирует сведения из реестра операторов персональных данных;
сопоставляет данные уведомления с фактической деятельностью оператора;
проверяет информацию, размещённую на сайте и в онлайн-сервисах;
использует данные из открытых источников и обращений граждан;
оценивает ответы на ранее направленные запросы.

Камеральный контроль может осуществляться неоднократно в течение года и не имеет формально установленной периодичности.

Именно в ходе камеральных проверок чаще всего выявляются формальные нарушения, которые затем становятся основанием для внеплановых проверок или инспекционных визитов. Чтобы избежать санкций, необходимы превентивные меры: своевременная подача уведомления в Роскомнадзор, а также разработка полного комплекта организационно-распорядительной документации.

Может ли Роскомнадзор проверять несколько раз в год

Да, Роскомнадзор вправе проводить контрольные мероприятия в отношении одного оператора персональных данных несколько раз в течение одного года. Законодательство не устанавливает ограничений на количество внеплановых проверок, камеральных проверок или инспекционных визитов.

Повторные проверки возможны в следующих случаях:

поступление новых жалоб или обращений субъектов персональных данных;
выявление новых признаков нарушений;
проверка исполнения ранее выданных предписаний;
выявление несоответствий в ходе камерального контроля;
изменение деятельности оператора, влияющее на обработку персональных данных.

При этом повторная проверка может отличаться по форме и предмету от предыдущей. Например, после камеральной проверки может быть проведён инспекционный визит, а после внеплановой проверки — контрольное мероприятие по исполнению предписания.

Как снизить вероятность частых проверок

Полностью исключить контроль со стороны Роскомнадзора невозможно, однако оператор персональных данных может существенно снизить вероятность частых проверок и объём контрольных мероприятий за счёт системного соблюдения требований 152-ФЗ.

Практика показывает, что наибольшее значение имеют:

корректное и актуальное уведомление об обработке персональных данных;
наличие и актуальность организационно-распорядительной документации, соответствующей фактической деятельности;
регулярный контроль сайта и используемых онлайн-сервисов на соответствие требованиям законодательства;
своевременная работа с обращениями субъектов персональных данных;
устранение нарушений в установленные сроки при получении предписаний.

Операторы, у которых документы и процессы приведены в соответствие на постоянной основе, значительно реже становятся объектом повторных проверок и инспекционных визитов.

Не хотите рисковать штрафами?

Доверьте защиту персональных данных профессионалам

Разработаем индивидуальный пакет документов и выстроим систему защиты данных под ваш бизнес под ключ.

На практике

На практике в период действия моратория на плановые проверки Роскомнадзор не прекратил контроль за соблюдением требований 152-ФЗ. Основная нагрузка сместилась на камеральные проверки, инспекционные визиты и внеплановые контрольные мероприятия, которые проводятся без предварительного уведомления и без установленной периодичности.

Чаще всего выявляются формальные нарушения: отсутствие или некорректность уведомления, несоответствие информации на сайте фактической обработке персональных данных, а также отсутствие актуальной организационно-распорядительной документации.

Именно поэтому операторы, которые выстраивают систему обработки персональных данных «на постоянной основе», а не под конкретную проверку, существенно снижают риски частого контроля и негативных последствий.

Последние статьи

11 марта, 2026

Нужно ли согласие на обработку cookies на сайт

Нужна подробная консультация?

Оформите заявку, мы свяжемся с вами в ближайшее время и ответим на все интересующие вас вопросы.

Я ознакомлен(а) с политикой и даю согласие на обработку персональных данных

Заявка успешно отправлена

Произошла ошибка