Подготовка организации к проверке Роскомнадзора

В последние годы тема защиты персональных данных приобрела особую актуальность для бизнеса всех масштабов — от микропредприятий до крупных корпораций. Это связано не только с ростом цифровизации, но и с усилением контроля со стороны государства. Одним из ключевых регуляторов в этой области является Роскомнадзор — федеральный орган, уполномоченный проверять, как компании соблюдают требования Закона № 152-ФЗ «О персональных данных» и иных нормативных актов в сфере информационной безопасности.

Многие организации воспринимают визит проверяющих как стрессовую и непредсказуемую ситуацию. Однако если грамотно подготовиться заранее — собрать необходимую документацию, провести аудит внутренних процессов, обучить персонал — проверка может пройти спокойно и без санкций.

В этой статье мы разберем пошаговый алгоритм подготовки к проверке Роскомнадзора: какие документы нужны, как оформлять согласия, какие технические меры защиты важны, как действовать при выявлении нарушений и чего ожидать от проверяющих в 2025 году.

Кто и зачем проводит проверки: полномочия Роскомнадзора

Роскомнадзор — это федеральный орган исполнительной власти, осуществляющий надзор в сфере связи, информационных технологий и массовых коммуникаций. Однако в контексте данной статьи нас интересует прежде всего его функция контроля за соблюдением законодательства о персональных данных. Именно Роскомнадзор уполномочен проводить проверки юридических лиц и индивидуальных предпринимателей на предмет соблюдения требований Федерального закона №152-ФЗ «О персональных данных», а также иных нормативных актов, касающихся защиты информации.

Проверки Роскомнадзора могут быть плановыми и внеплановыми. Плановые проводятся по заранее утвержденному графику, который публикуется в Едином реестре проверок. Узнать, попадёт ли ваша организация в план, можно самостоятельно — информация открыта. Внеплановые проверки чаще всего инициируются на основании жалоб физических лиц — клиентов, сотрудников, пользователей, чьи права были, по их мнению, нарушены.

Основания для проверок разнообразны. Среди них: поступившая жалоба, обнаружение утечки данных, поступление информации от других надзорных органов, несоответствие данных в уведомлении об обработке персональных данных, систематические нарушения в прошлом, а также повышенные риски, связанные с характером деятельности организации. Например, если компания работает в области медицины, образования или e-commerce — она по умолчанию является обработчиком большого объема чувствительной информации.

Проверка, независимо от её типа, обычно проходит в несколько этапов. Сначала организация получает уведомление (если проверка плановая), затем — запрашивается пакет документов, после чего может последовать выездная инспекция. Итогом становится акт проверки, в котором фиксируются все выявленные нарушения или их отсутствие.

Роскомнадзор вправе не только запрашивать документы, но и проводить осмотр помещений, серверных, рабочих мест, интервьюировать сотрудников, а также запрашивать доступ к информационным системам. Уведомление об обработке персональных данных, политика конфиденциальности, договоры с контрагентами, согласия субъектов — всё это подлежит анализу.

Сергей Воробьев

Эксперт по защите данных IC-TECH

Задать вопрос

«Компании часто недооценивают масштабы полномочий Роскомнадзора. Это не просто формальная проверка. Инспекторы могут запросить практически любые документы, а при наличии оснований — даже привлечь сотрудников правоохранительных органов. Чем более открытой и подготовленной выглядит организация, тем ниже риски санкций»

Следует отметить, что Роскомнадзор — не единственный орган, связанный с контролем за безопасностью данных. В ряде случаев в процесс могут быть вовлечены и другие ведомства: ФСТЭК России (по вопросам технической защиты информации), Росфинмониторинг (если есть подозрения на нарушение антиотмывочного законодательства), ФСБ (в случае работы с гостайной или криптозащитой).

Однако именно Роскомнадзор отвечает за общее соблюдение правил обработки персональных данных и регулярно публикует отчеты о своей деятельности. В них можно найти типичные нарушения, рекомендации и статистику — и использовать эту информацию как ориентир для подготовки.

Таким образом, понимание роли Роскомнадзора и структуры его работы — это отправная точка для любой организации, которая хочет минимизировать риски и пройти проверку без последствий. В следующем разделе мы подробно рассмотрим законодательную базу, на которую опирается регулятор при проведении контрольных мероприятий.

Законодательная база: ключевые нормативные акты

Основа всей системы регулирования персональных данных в России — это Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Именно он определяет, что такое персональные данные, кто является их оператором, какие права есть у субъектов, а также какие обязанности лежат на организациях, осуществляющих сбор, хранение, обработку и передачу этих данных.

В статье 3 данного закона указано, что персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. То есть, это не только ФИО, но и телефон, адрес, паспортные данные, IP-адрес, история заказов, фото, звукозаписи и даже cookies. Широта трактовки приводит к тому, что почти каждая организация в той или иной степени становится оператором персональных данных.

Кроме 152-ФЗ, существует целый ряд сопутствующих нормативных актов, обязательных к изучению и применению:

• Постановление Правительства РФ № 687 — регламентирует особенности обработки ПДн в информационных системах;
• Постановление № 1119 — определяет уровни защищенности персональных данных и технические меры защиты;
• Приказ Роскомнадзора № 274 — содержит методические рекомендации по уведомлению об обработке персональных данных;
• ГОСТы и рекомендации ФСТЭК/ФСБ — применимы для технической и криптографической защиты информации.

Организация обязана информировать Роскомнадзор о намерении обрабатывать персональные данные путем подачи уведомления через онлайн-форму. Исключение составляют лишь некоторые случаи, например, если данные используются исключительно для трудовых отношений внутри компании, и не передаются третьим лицам.

В рамках законодательства также четко определены права субъектов персональных данных, в том числе:

• право на доступ к своим данным;
• право требовать их изменения или удаления;
• право на отзыв согласия на обработку;
• право на обжалование действий оператора.

Соответственно, компания обязана организовать систему, при которой субъект может легко реализовать эти права — будь то через форму обратной связи, email, внутреннюю инструкцию или письменное обращение.

Сергей Воробьев

Эксперт по защите данных IC-TECH

Задать вопрос

«Одна из распространенных ошибок — формальный подход к политике обработки персональных данных. Многие организации просто копируют шаблоны с интернета, не адаптируя под собственную деятельность. В результате, во время проверки выясняется, что фактическая обработка данных не соответствует заявленным условиям, что квалифицируется как нарушение»

Кроме того, важную роль играет административная ответственность, предусмотренная статьёй 13.11 КоАП РФ. Штрафы могут достигать от 30 000 до 500 000 рублей за одно нарушение, и в ряде случаев могут накладываться повторно, если предписание Роскомнадзора не исполнено. В 2025 году планируется дальнейшее ужесточение санкций и усиление взаимодействия Роскомнадзора с прокуратурой и другими надзорными органами.

Следовательно, знание и соблюдение нормативной базы — это не только вопрос юридической грамотности, но и ключевой инструмент минимизации рисков. Законодательство достаточно гибкое и допускает определенные трактовки, но при этом строго требует доказуемого соответствия: каждая обработка должна быть обоснована, документирована и защищена.

В следующем разделе мы подробно разберем, как проходит проверка — какие этапы она включает, на что обращают внимание инспекторы, и какие типовые нарушения чаще всего выявляются на практике.

Плановая проверка: как проходит и на что обращают внимание

Плановая проверка Роскомнадзора — это регламентированная и заранее запланированная процедура, которая проводится в соответствии с ежегодным графиком, публикуемым в Едином реестре проверок на сайте Генеральной прокуратуры. Проверки касаются как коммерческих, так и некоммерческих организаций, и основаны на рискоориентированном подходе. Это значит, что организации, чья деятельность связана с массовым сбором, хранением и обработкой персональных данных (например, медучреждения, школы, банки, интернет-магазины), проверяются чаще, чем те, кто оперирует ограниченным объемом ПДн.

Процедура проверки обычно делится на несколько этапов. Первый — уведомление, которое организация получает за 3 рабочих дня до начала. Уведомление направляется официально — по почте, через электронные каналы или лично. Далее начинается камеральная стадия, когда инспекторы запрашивают пакет документов, в том числе:

• уведомление об обработке персональных данных;
• локальные нормативные акты (политика, регламенты, инструкции);
• согласия субъектов на обработку данных;
• журналы учета обращений;
• договоры с операторами и обработчиками;
• акты об обучении сотрудников и внутреннем контроле.

Следующий этап — выездная проверка, при которой представители Роскомнадзора могут осмотреть помещения, опросить сотрудников, получить доступ к базам данных и информационным системам. Особое внимание уделяется:

• тому, как реализованы права субъектов персональных данных (например, есть ли механизм отзыва согласия);
• соблюдению принципа минимизации (обрабатываются ли только необходимые данные);
• доступности и актуальности политики конфиденциальности;
• юридической обоснованности передачи данных третьим лицам;
• соблюдению сроков хранения данных и порядку их уничтожения.

Сергей Воробьев

Эксперт по защите данных IC-TECH

Задать вопрос

«На практике большинство замечаний связаны не с техническими нарушениями, а с несоответствием документов реальной практике. Например, в политике написано одно, а на деле — обработка идет иначе. Это быстро выявляется и трактуется как нарушение. Главная задача — не просто “иметь документы”, а чтобы они отражали действительность»

Завершается проверка составлением акта, в котором указываются выявленные нарушения и срок их устранения. Если все в порядке — акт будет «чистым», и организация получит лишь рекомендации. Если же найдены нарушения, то выдается предписание об устранении с жестко установленным сроком (обычно 30 дней). По итогам исполнения организация обязана направить отчет об устранении нарушений.

Дополнительно Роскомнадзор может инициировать составление протокола об административном правонарушении, что может привести к штрафу. При повторных нарушениях или отказе исполнять предписание сумма санкций может вырасти в разы, а дело передается в суд.

Таким образом, плановая проверка — это не просто формальность, а глубокий анализ соответствия вашей деятельности требованиям закона. Компании, которые готовятся заранее, проводят внутренние аудиты, обучают персонал и приводят документы в порядок, как правило, проходят такие проверки без серьёзных последствий. В следующем разделе мы разберем, чем отличается внеплановая проверка, и почему она может быть даже более рискованной, чем плановая.

Внеплановая проверка: причины и особенности

В отличие от плановых проверок, внеплановая проверка Роскомнадзора происходит внезапно — и именно она чаще всего становится источником серьезных проблем для компаний. Такая проверка может начаться без предварительного уведомления и, как правило, связана с подозрением на нарушение прав субъектов персональных данных или утечку информации. Для бизнеса это всегда стресс, особенно если процессы обработки ПДн до этого не были выстроены системно.

Причинами внеплановой проверки могут быть:

• жалоба физического лица (например, бывшего сотрудника, клиента или пользователя сайта);
• сообщение в СМИ или соцсетях об утечке персональных данных;
• обращение другого государственного органа — прокуратуры, ФАС, Роспотребнадзора;
• данные, полученные в ходе других проверок или мониторинга интернет-ресурсов;
• отказ оператора ПДн исполнять ранее выданное предписание.

Процедура внеплановой проверки схожа с плановой, но может быть значительно жестче по подходу. Как правило, проверяющие сразу требуют:

• копии всех локальных актов, связанных с обработкой и защитой ПДн;
• документы, подтверждающие получение согласия от субъектов;
• логи доступа к информационным системам;
• технические регламенты по защите информации;
• доказательства устранения прошлых нарушений (если они были).

В отдельных случаях инспекторы могут проводить опрос сотрудников, особенно тех, кто непосредственно работает с персональными данными. Также они могут проверять, насколько защищены каналы передачи данных, серверные помещения, рабочие станции.

Сергей Воробьев

Эксперт по защите данных IC-TECH

Задать вопрос

«К внеплановым проверкам невозможно подготовиться за один день — именно поэтому важна системная превентивная работа. Практика показывает: чаще всего внеплановые проверки инициируются из-за жалоб бывших сотрудников, которые знают слабые места компании. Если документы "на полке", но процессы не работают — проверка вскроет это мгновенно»

Ещё одной особенностью внеплановой проверки является сжатость сроков. Если по результатам выявлены нарушения, предписание выдается практически сразу, и на его исполнение может быть оставлено всего 10–15 дней. Учитывая, что в крупных организациях на согласование внутренних решений уходит недели, это часто становится критическим фактором.

Также стоит учитывать, что в случае грубых или повторных нарушений Роскомнадзор может направить материалы в суд, что влечёт не только штраф, но и возможную блокировку интернет-ресурсов компании. Особенно это актуально для организаций, работающих с онлайн-сервисами, приложениями или базами данных, размещёнными на зарубежных серверах.

Чтобы минимизировать риски, необходимо внедрять проактивный подход к контролю: вести внутренние журналы обращений, обрабатывать запросы субъектов ПДн в разумные сроки, регулярно обновлять внутреннюю документацию и фиксировать любые действия, связанные с передачей или удалением персональных данных.

Таким образом, внеплановая проверка — это проверка на устойчивость: насколько организация действительно соблюдает не только букву, но и дух закона. В следующем разделе мы рассмотрим один из ключевых организационных элементов защиты ПДн — назначение ответственного и ведение документации.

Назначение ответственного за ПДн и документация

Одним из обязательных требований законодательства о персональных данных является назначение ответственного за организацию обработки и защиту персональных данных. Это не просто формальность — именно этот человек несёт основную ответственность за соответствие процессов компании требованиям закона, а также взаимодействует с проверяющими органами.

Обычно на эту должность назначают сотрудника службы безопасности, кадрового отдела, юридического или ИТ-департамента — в зависимости от специфики компании. Важно, чтобы он имел доступ ко всей необходимой информации и мог контролировать работу подразделений, взаимодействующих с персональными данными.

Назначение оформляется приказом по организации, в котором указывается ФИО, должность и перечень обязанностей ответственного. Кроме того, создается положение о порядке обработки и защиты персональных данных, где также закрепляется его роль.

Кроме назначения ответственного, организация обязана вести пакет локальных нормативных актов, регулирующих обращение с персональными данными. Среди них:

• Политика обработки персональных данных — основной документ, описывающий цели, категории данных, методы обработки, права субъектов и меры защиты;
• Регламент взаимодействия с субъектами ПДн — как компания принимает запросы, как обрабатывает их и в какие сроки отвечает;
• Согласия на обработку данных — оформляются в письменной или электронной форме, с указанием цели, объема, срока хранения и права на отзыв;
• Журналы учета обращений субъектов — фиксируют запросы на доступ, корректировку или удаление данных;
• Инструкции для сотрудников — кто и как работает с ПДн, как обращаться с утечками, как использовать корпоративные системы;
• Договоры с третьими лицами (обработчиками) — если данные передаются контрагентам (например, в облачное хранилище, бухгалтерскую компанию), должен быть договор с условиями обработки и обеспечения безопасности.

Сергей Воробьев

Эксперт по защите данных IC-TECH

Задать вопрос

«Роскомнадзор не просто смотрит на наличие документов — инспекторов интересует, насколько эти документы соответствуют реальности. Очень часто видим “копипаст” шаблонов с интернета, в которых указаны абстрактные фразы, не применимые к конкретной компании. Это может сработать против вас при проверке»

Также не стоит забывать об актах внутреннего контроля. Ответственный за ПДн должен регулярно проводить проверки внутри компании и фиксировать их результаты: как минимум раз в год, а лучше — ежеквартально. Это помогает не только выявлять слабые места, но и документально подтверждать добросовестность оператора в случае проверки.

Вся документация должна храниться в систематизированном виде и быть легко доступной — как в бумажной, так и в электронной форме. Проверяющим важно видеть не только содержание, но и порядок в работе с этими документами.

Таким образом, грамотное назначение ответственного и создание актуального, работающего комплекта документов — это фундамент всей системы защиты персональных данных. Без него даже самая современная техническая защита будет считаться неполной. В следующем разделе мы разберём, как проводить внутренний аудит и оценку рисков, чтобы подготовка к проверке была не формальностью, а настоящим управленческим инструментом.

Внутренний аудит и оценка рисков

Даже при наличии всей формальной документации и назначенного ответственного, ни одна организация не застрахована от ошибок. Именно поэтому важнейшим элементом подготовки к проверке Роскомнадзора является внутренний аудит обработки персональных данных. Аудит позволяет выявить несоответствия между фактической практикой и требованиями законодательства, а также — вовремя их устранить до того, как это сделает инспектор.

Внутренний аудит может проводиться как силами самого ответственного за ПДн, так и внешними консультантами, особенно если речь идет о крупной или распределенной организации. Цель аудита — оценить, насколько существующая система обработки персональных данных соответствует законодательству и внутренним регламентам.

Как правило, аудит охватывает следующие области:

• наличие и актуальность локальных нормативных актов (политика, согласия, инструкции);
• полнота и корректность уведомления в Роскомнадзор;
• наличие и правильность подписанных согласий от субъектов;
• наличие договоров с обработчиками (при передаче ПДн третьим лицам);
• соблюдение прав субъектов ПДн (обработка обращений, реализация отзыва согласия и т.д.);
• техническая защита данных: доступ, шифрование, резервное копирование, антивирусы;
• обучение и информирование сотрудников;
• соответствие объема собираемых данных заявленным целям.

Одновременно с аудитом проводится оценка рисков. Это процесс, позволяющий определить, какие аспекты работы с ПДн несут наибольшую угрозу безопасности. Например, риск может быть высок, если данные сотрудников хранятся в незащищенном Excel-файле, рассылаемом по почте. Или если сайт собирает данные через форму обратной связи, но не шифрует их при передаче.

Для оценки рисков можно использовать простую шкалу — низкий, средний, высокий уровень, а также учитывать вероятность инцидента и его последствия. Некоторые компании используют более продвинутые методы — матрицы рисков, контрольные карты, цифровые оценки, особенно если это требуется по стандартам ИСО или отраслевым регламентам.

Сергей Воробьев

Эксперт по защите данных IC-TECH

Задать вопрос

«Многие считают, что аудит — это просто “проверка бумаг”. На самом деле, это один из самых мощных инструментов управления репутацией и юридической безопасностью. Системный аудит с фиксацией результатов и корректирующими мерами может сыграть ключевую роль при проверке Роскомнадзора. Он показывает: компания осознанно управляет рисками»

По результатам аудита важно составить акт или отчет, в котором перечислены выявленные недостатки и принятые меры по их устранению. Такие отчеты лучше хранить централизованно и прикладывать к документации по внутреннему контролю. Также желательно фиксировать дату аудита, ФИО проверяющего и конкретные действия: например, обновление политики, обучение сотрудников, внедрение дополнительной защиты.

Оценка рисков позволяет принимать обоснованные решения: где стоит инвестировать в ИТ-безопасность, какие процессы нужно пересмотреть, какие системные “дырки” требуют немедленного внимания. Без этой работы организация фактически действует вслепую — и любое внешнее вмешательство может привести к неожиданным последствиям.

Следующим шагом станет работа с персоналом. Именно сотрудники — слабое звено в системе защиты ПДн. Поэтому в следующем разделе мы рассмотрим, как обучать и готовить персонал к проверкам и повседневной работе с персональными данными.

Подготовка сотрудников: обучение и информирование

В любой системе информационной безопасности человеческий фактор остается самым уязвимым элементом. Даже при наличии всех необходимых документов, соблюдении законодательства и установленных технических мер, именно ошибки сотрудников часто становятся причиной утечек данных и, как следствие, штрафов по итогам проверок Роскомнадзора. Поэтому одна из важнейших задач — это системное обучение персонала и создание устойчивой культуры работы с персональными данными.

Первое, с чего начинается подготовка, — это инструктажи по безопасности и обработке ПДн, которые должны проводиться при приеме на работу и регулярно обновляться. Такие инструктажи могут включать:

• основные положения закона 152-ФЗ;
• правила обращения с персональными данными внутри компании;
• недопустимые действия (например, копирование баз, пересылка данных в мессенджерах, использование личной почты);
• порядок действий в случае инцидента (утечки, запроса от субъекта и т.д.);
• ответственность за нарушение — дисциплинарная, административная и даже уголовная.

Обучение должно быть не формальным, а практически ориентированным. Помимо вводного инструктажа, компания может проводить:

• ежеквартальные рассылки с полезными памятками;
• короткие тесты по знанию политики обработки ПДн;
• внутренние тренинги с кейсами и разборами инцидентов;
• брифинги при изменении законодательства или внутренних процедур.

Для малого бизнеса подойдут шаблонные обучающие модули, а для крупных компаний рекомендуется создать программу комплаенс-обучения. Обязательно — фиксация всех обучений: протоколы, списки участников, копии тестов. Это будет доказательством в случае спора или жалобы.

Сергей Воробьев

Эксперт по защите данных IC-TECH

Задать вопрос

«Обучение персонала — это не про “галочку”. Это инвестиция в защиту бизнеса. На моей практике утечки чаще всего происходили по глупости: случайно отправили файл не туда, перепутали адресата, забыли удалить данные. Все эти ошибки можно было бы избежать, если бы человек понимал риски и знал правила»

Еще один важный аспект — информирование руководства. Зачастую топ-менеджмент считает, что защита данных — это дело юристов или айтишников. На практике же, стратегические решения (например, передача данных подрядчикам, запуск новых сервисов, смена ИТ-платформы) напрямую влияют на риски обработки ПДн. Поэтому важно периодически докладывать руководству о текущем статусе, выявленных рисках, планах по улучшению.

Создание корпоративной культуры конфиденциальности — долгий, но жизненно важный процесс. Он формируется из мелочей: уведомлений о том, что разговор записывается, аккуратного отношения к документации, запрета фотографировать экраны, чистого рабочего стола, блокировки компьютеров при уходе. Всё это — элементы, на которые обращают внимание при проверке.

Подготовленный персонал — это не только защита от штрафов, но и гарантия устойчивости бизнес-процессов. И если все знают, как действовать при запросе субъекта или визите проверяющего, то даже внеплановая проверка пройдет спокойно и контролируемо.

В следующем разделе мы разберем не менее важный блок — технические меры защиты информации, без которых ни одна система защиты персональных данных не считается полноценной.

Технические меры защиты информации

Законодательство о персональных данных требует от организаций не только документального оформления обработки информации, но и принятия технических мер защиты, адекватных уровню угроз. Это значит, что даже идеально оформленные согласия и политики не спасут от претензий Роскомнадзора, если данные клиентов утекут из-за слабых паролей, незашифрованных каналов или отсутствия антивирусной защиты.

Основные требования к технической защите персональных данных установлены Постановлением Правительства РФ №1119. Согласно этому документу, организации обязаны обеспечить защиту информации в зависимости от уровня угрозы безопасности. Уровень определяется по типу обрабатываемых данных, способу обработки (на бумаге, в информационных системах, с передачей в интернет), а также по последствиям возможной утечки.

Ключевые технические меры, которые должны быть реализованы:

• Контроль доступа: ограничение прав сотрудников, учет и разграничение прав доступа к системам, папкам и базам данных. Никто не должен иметь “избыточный” доступ.
• Аутентификация пользователей: уникальные логины, сложные пароли, двухфакторная авторизация (2FA) при доступе к чувствительным данным.
• Шифрование данных: особенно при передаче через интернет или хранении на мобильных носителях.
• Антивирусная защита и фаерволы: обеспечение безопасности периметра и рабочих станций.
• Резервное копирование: регулярное создание бэкапов и хранение их в защищенном виде.
• Логирование событий: запись действий пользователей, особенно операций с персональными данными.
• Защита от несанкционированного физического доступа: серверные помещения, системы видеонаблюдения, замки, ограничение доступа по ID-картам.

Техническая защита особенно важна в сферах, где используется автоматизированная обработка — например, в интернет-магазинах, банках, логистических сервисах, системах дистанционного обучения. Даже небольшая ИТ-система, в которой хранятся ФИО и телефоны клиентов, должна быть защищена в соответствии с утвержденным уровнем угроз.

Организация обязана разработать модель угроз и угрозоустойчивости, а также утвердить план обеспечения безопасности. Документально это может быть оформлено в виде:

• приказов по ИБ,
• методик оценки уязвимостей,
• отчетов о результатах проверок защитных мер.

Сергей Воробьев

Эксперт по защите данных IC-TECH

Задать вопрос

«Роскомнадзор всё чаще привлекает технических экспертов к проверкам. И если раньше инспекция ограничивалась вопросом “где у вас политика?”, то сегодня спрашивают: какие у вас меры контроля доступа, где логи, какой используется алгоритм шифрования. Поверхностный подход уже не работает»

Кроме того, нельзя забывать про инцидент-менеджмент — это процедуры, описывающие, что делать в случае нарушения защиты данных. Кто уведомляет руководство, как фиксируется инцидент, какие шаги предпринимаются для минимизации последствий — всё это должно быть описано и закреплено в документах.

Необходимо также обеспечить защиту данных на уровне рабочих станций: установка антивируса, запрет на подключение внешних устройств без проверки, авто-блокировка ПК при бездействии. Эти мелочи могут сыграть решающую роль при анализе последствий потенциального инцидента.

Итак, технические меры — это не про “галочку”, а о реальной безопасности. В сочетании с грамотными регламентами и подготовленным персоналом они создают прочный фундамент, на котором строится вся система защиты персональных данных.

В следующем разделе мы рассмотрим, какие ошибки чаще всего совершают организации при работе с ПДн и подготовке к проверке — чтобы вы могли их избежать заранее.

Типичные ошибки организаций

Несмотря на доступность информации о требованиях закона 152-ФЗ и регулярные разъяснения от Роскомнадзора, множество организаций по-прежнему совершают одни и те же ошибки при работе с персональными данными. Эти нарушения становятся причиной предписаний, штрафов и даже блокировки онлайн-сервисов. В этом разделе мы разберем наиболее распространённые ошибки, чтобы вы могли их избежать.

1. Формальный подход к документации

Одна из самых распространенных проблем — использование шаблонных документов без адаптации под конкретную деятельность. Организации скачивают политику обработки персональных данных, не проверяя, соответствует ли она реальной практике. В результате: в политике указано, что данные обрабатываются “только в целях заключения договоров”, а на сайте — формы подписки, онлайн-чаты и рекламные сборы данных.

2. Отсутствие или некорректное согласие

Многие компании до сих пор не оформляют согласия на обработку персональных данных или используют слишком общее, “размытое” согласие. Некоторые просто размещают фразу “нажимая кнопку, вы соглашаетесь…” — и считают, что этого достаточно. Однако согласие должно быть:

• конкретным;
• информированным;
• добровольным;
• ограниченным по сроку;
• оформленным в явной форме (письменно или через активное действие — галочку, подтверждение, подпись).

3. Неведение учета обращений субъектов

Закон требует, чтобы организации вели учет обращений субъектов персональных данных — например, запросов на удаление, изменение или предоставление информации. На практике это требование часто игнорируется. Компании не фиксируют обращения, не отвечают в срок (30 дней) или не могут подтвердить, что вообще получили запрос.

Сергей Воробьев

Эксперт по защите данных IC-TECH

Задать вопрос

«Один из самых частых “тревожных звоночков” для проверяющих — это отсутствие журнала обращений субъектов ПДн. Это говорит о том, что либо субъектам неудобно подавать запросы, либо организация не управляет этим процессом вообще»

4. Игнорирование технической стороны

Даже у тех компаний, где документы формально присутствуют, нередко отсутствуют реальные меры защиты: нет ограничений по доступу, используются личные флешки, резервное копирование делается вручную, а доступ к CRM открыт всем сотрудникам. В случае инцидента — утечка, взлом или ошибка — организация оказывается не готова доказать соблюдение требований безопасности.

5. Передача данных без договора

Если персональные данные передаются внешним подрядчикам — например, в колл-центр, бухгалтерскую компанию, облачный сервис — это всегда должно сопровождаться договором с обработчиком, где прописаны условия обработки и меры защиты. Отсутствие такого договора — частое нарушение, которое легко фиксируется при проверке.

6. Отсутствие регулярных проверок

Без внутреннего контроля система быстро “разваливается”: политики устаревают, сотрудники забывают инструкции, форматы согласий теряются, новые риски не оцениваются. Если аудит не проводится регулярно — организация перестает соответствовать требованиям, даже не замечая этого.

Типичные ошибки почти всегда связаны не с намеренным игнорированием закона, а с нехваткой системного подхода. Компании фокусируются на бизнесе, не считая обработку ПДн важной областью. Но в условиях ужесточения контроля и цифровизации это уже не роскошь, а необходимость.

В следующем разделе мы разберем, что делать, если Роскомнадзор всё же выявил нарушение, и как грамотно отреагировать на предписание, чтобы минимизировать последствия.

Что делать при выявлении нарушений: предписание и исправление

Даже при тщательной подготовке нельзя полностью исключить вероятность того, что во время проверки Роскомнадзор обнаружит те или иные нарушения. Однако сам факт выявления нарушений — это не приговор, а скорее возможность оперативно скорректировать процессы. Главное — правильно отреагировать на действия проверяющих, грамотно исполнить предписание и документально зафиксировать исправления.

Если по итогам проверки Роскомнадзор выявляет несоответствия, он оформляет акт проверки и выдает организации предписание. В нем указывается, какие именно положения закона нарушены, в какой части деятельности, и устанавливается срок устранения нарушений — как правило, от 10 до 30 календарных дней.

После получения предписания важно:

1. Оперативно провести внутреннюю проверку — понять, что именно послужило основанием для претензий. Бывает, что выявленные проблемы лежат не на поверхности, а глубже — в устаревших бизнес-процессах или ИТ-инфраструктуре.
2. Назначить ответственного за устранение нарушений и сформировать рабочую группу. Это могут быть специалисты по ИБ, юристы, ИТ-администраторы, HR — в зависимости от характера проблемы.
3. Скорректировать документы — например, обновить политику обработки ПДн, пересмотреть формы согласий, внести уточнения в договоры с подрядчиками.
4. Улучшить практику — наладить учет обращений субъектов, внедрить контроль доступа, провести обучение персонала, изменить технические меры защиты (например, внедрить шифрование, 2FA, усилить мониторинг).
5. Подготовить отчет об устранении — с приложением обновленных документов, копий приказов, скриншотов, журналов, актов выполненных работ. Все материалы направляются в Роскомнадзор строго в установленный срок.

Сергей Воробьев

Эксперт по защите данных IC-TECH

Задать вопрос

«На практике я видел случаи, когда компания после получения предписания не просто устраняла нарушения, а полностью перестраивала подход к защите ПДн. Это помогало не только снять претензии, но и избежать повторных проверок в будущем. Предписание — это не конец, а возможность выйти на новый уровень зрелости»

Важно понимать: если организация докажет свою добросовестность, готовность к диалогу и реальные усилия по устранению нарушений, это часто снижает строгость санкций. Особенно если компания не отрицает вины, а демонстрирует конкретные действия — обновленные документы, проведенные обучения, модернизированные ИТ-средства.

Также следует знать о возможности обжалования предписания. Если организация считает требования Роскомнадзора неправомерными, она может обратиться в суд. Однако такая стратегия требует наличия веских оснований, качественной юридической позиции и понимания всех рисков. В большинстве случаев выгоднее устранить нарушения, чем тратить ресурсы на оспаривание.

Исполнение предписания — это еще и способ предотвратить повторные санкции. Если при следующей проверке выяснится, что нарушения не устранены или устранены частично, последствия могут быть куда серьезнее: многократные штрафы, блокировка сайта, приостановка деятельности.

В следующем разделе мы разберем практические кейсы из реальной жизни — с примерами штрафов, типовых нарушений и успешных стратегий защиты компаний.

Заключение и рекомендации

Подготовка к проверке Роскомнадзора — это не разовая задача «для галочки», а важный элемент устойчивой, законной и ответственной бизнес-деятельности. В условиях ужесточения регулирования, цифровизации процессов и роста количества жалоб со стороны пользователей каждая организация, работающая с персональными данными, должна выстраивать системную защиту информации.

Как показывает практика, компании, которые воспринимают требования закона всерьёз, внедряют реальные механизмы контроля, регулярно проводят аудиты и обучают сотрудников, либо вообще не попадают под санкции, либо легко проходят проверки, даже внеплановые. Напротив, формальный подход и откладывание «на потом» чаще всего приводит к штрафам, предписаниям и имиджевым потерям.

Для эффективной подготовки можно выделить несколько ключевых шагов:

• Назначьте ответственного за ПДн и оформите это документально.
• Подготовьте и регулярно обновляйте комплект локальных актов.
• Проводите внутренние аудиты и оценку рисков не реже раза в год.
• Обучайте персонал и проверяйте, как они применяют знания на практике.
• Обеспечьте техническую защиту — контроль доступа, шифрование, резервные копии.
• Реагируйте на жалобы субъектов быстро и по существу.
• Не ждите проверку — действуйте на упреждение.