В декабре 2025 года Роскомнадзор опубликовал на официальном сайте перечень организаций, в отношении которых в 2026 году запланированы мероприятия в рамках профилактики нарушений обязательных требований. Перечень сформирован в соответствии с Приказом Роскомнадзора от 19.12.2025 № 390 «Об утверждении Программы профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям на 2026 год» и размещён в открытом доступе.
Указанный список используется Роскомнадзором при реализации Программы профилактики нарушений обязательных требований и фактически определяет круг организаций, в отношении которых в 2026 году будет осуществляться надзорное внимание в сфере обработки персональных данных. Включение в перечень означает, что деятельность оператора персональных данных может стать предметом анализа со стороны регулятора, включая оценку соблюдения требований Федерального закона № 152-ФЗ «О персональных данных».
С учётом усиления надзора в сфере персональных данных и публикации перечня на 2026 год, проверка своей организации по ИНН в списке Роскомнадзора становится практической необходимостью для всех операторов персональных данных — вне зависимости от масштаба бизнеса и сферы деятельности.
Проверьте, включена ли ваша организация в перечень проверок Роскомнадзора на 2026 год.
Введите ИНН организации, чтобы узнать, включена ли она в список Роскомнадзора на 2026 год и запланированы ли в отношении неё профилактические мероприятия.
Посмотреть полный список организаций, входящих в программу профилактики нарушений обязательных требований можно на официальном сайте Роскомнадзора.
Если организация присутствует в перечне Роскомнадзора, подготовка к проверке должна начинаться заранее. Практика показывает, что устранение нарушений до начала надзорных мероприятий существенно снижает риски штрафов и предписаний.
Проверка Роскомнадзором возможна и вне этого списка
Отсутствие организации в опубликованном перечне не означает, что в 2026 году к ней не возникнет вопросов со стороны Роскомнадзора. Надзор в сфере персональных данных не ограничивается профилактическими списками и осуществляется по нескольким основаниям, прямо предусмотренным законодательством.
Когда Роскомнадзор проводит внеплановые проверки
Внеплановая проверка может быть инициирована, в частности, в следующих случаях:
- выявление нарушений при мониторинге сайта
(отсутствие политики обработки персональных данных, форм сбора согласий, некорректные чекбоксы, обработка ПД без правовых оснований); - обращение или жалоба гражданина
(клиента, пользователя сайта, бывшего сотрудника); - поступление информации от других государственных органов;
- результаты профилактических мероприятий, в ходе которых зафиксированы нарушения и выданы предостережения;
- исполнение ранее выданных предписаний.
Во всех этих ситуациях факт отсутствия организации в профилактическом перечне не имеет правового значения.
⚠️ Важно
Роскомнадзор активно использует дистанционные формы контроля.
На практике это означает, что проверка может начаться без визита инспектора, на основании анализа открытых источников, включая сайт, мобильные приложения и онлайн-сервисы организации.
Почему риски существуют даже у малого бизнеса
Ошибочно считать, что внимание регулятора сосредоточено только на крупных компаниях.
На практике под проверки попадают:
- индивидуальные предприниматели;
- небольшие компании;
- организации с одним сайтом без активной рекламы;
- онлайн-проекты, собирающие минимальный объём персональных данных.
Ключевым фактором является сам факт обработки персональных данных, а не масштаб деятельности.
К чему это приводит на практике
Если в ходе мониторинга или по жалобе выявляются нарушения, Роскомнадзор вправе:
- выдать предостережение о недопустимости нарушения обязательных требований;
- инициировать контрольное (надзорное) мероприятие;
- по результатам проверки привлечь к административной ответственности, включая штрафы по статье 13.11 КоАП РФ.
Именно поэтому готовность к проверке должна быть постоянной, а не ситуативной — только в момент появления в списке Роскомнадзора.
Профилактический визит Роскомнадзора: правовые последствия
Профилактический визит Роскомнадзора — это форма надзорного взаимодействия, в рамках которой Роскомнадзор оценивает, как оператор персональных данных соблюдает обязательные требования законодательства. Несмотря на «профилактический» характер, такие мероприятия имеют прямые правовые последствия для организации.
Что фактически проверяется в ходе профилактического визита
На практике внимание регулятора сосредоточено не на формальных объяснениях, а на конкретных элементах деятельности оператора персональных данных, в том числе:
- наличии и корректности уведомления об обработке персональных данных;
- содержании политики обработки персональных данных;
- законности сбора персональных данных через сайт и иные цифровые каналы;
- наличии согласий субъектов персональных данных;
- актуальности и полноте внутренней документации по 152-ФЗ;
- соблюдении требований к защите персональных данных.
Проверка может проводиться дистанционно, на основании анализа документов и открытых источников, либо с запросом пояснений у организации.
⚠️ Важно
Профилактический визит не является «консультацией» и не носит рекомендательный характер.
Все выявленные нарушения фиксируются и учитываются при дальнейшем надзорном взаимодействии.
Чем заканчивается выявление нарушений
Если в ходе профилактического визита установлено несоблюдение обязательных требований, Роскомнадзор вправе:
- вынести предостережение о недопустимости нарушения;
- установить срок для устранения выявленных нарушений;
- использовать результаты профилактического визита как основание для проведения контрольных (надзорных) мероприятий;
- по итогам проверки привлечь организацию к административной ответственности, включая штрафы по статье 13.11 КоАП РФ.
Таким образом, профилактический визит нередко становится первым этапом в цепочке надзорных действий, которая завершается применением мер ответственности.
Ответственность и штрафы за нарушения требований Роскомнадзора
Нарушения в сфере обработки персональных данных влекут административную ответственность, предусмотренную статьёй 13.11 КоАП РФ. Размер штрафов зависит от состава нарушения, статуса нарушителя и наличия повторности.
Основные виды нарушений и размеры штрафов
Для юридических лиц и индивидуальных предпринимателей применяются, в частности, следующие санкции:
- Обработка персональных данных без правовых оснований
— штраф до 300 000 рублей; - Отсутствие согласия субъекта персональных данных, когда оно требуется
— штраф до 150 000 рублей; - Нарушение требований к содержанию политики обработки персональных данных
— штраф до 100 000 рублей; - Неподача или некорректная подача уведомления в Роскомнадзор
— штраф до 100 000 рублей; - Повторные нарушения
— штрафы могут достигать 500 000 рублей и выше.
Отдельно о трансграничной передаче и локализации данных
Нарушения требований о хранении персональных данных граждан РФ на территории Российской Федерации (ст. 18.1 Закона № 152-ФЗ) квалифицируются отдельно и влекут существенно более серьёзную ответственность:
- штраф до 6 000 000 рублей за первое нарушение;
- штраф до 18 000 000 рублей при повторном нарушении.
Важно
Размер штрафа определяется по каждому составу нарушения отдельно.
На практике это означает, что при одной проверке организации могут быть вменены несколько нарушений одновременно, с суммированием санкций.
Подготовка к проверке Роскомнадзора
Если ваша организация включена в перечень профилактики или вы понимаете, что обработка персональных данных ведётся с нарушениями, откладывать подготовку нецелесообразно.
Практика показывает, что устранение нарушений до начала контрольных мероприятий позволяет существенно снизить риски штрафов и предписаний, а в ряде случаев — избежать их полностью.
Частые нарушения, которые выявляет Роскомнадзор
Большинство штрафов в сфере персональных данных связано не с редкими или сложными нарушениями, а с типовыми ошибками, которые допускают даже добросовестные организации.
Наиболее распространённые нарушения
- Отсутствие уведомления об обработке персональных данных
либо его подача с ошибками и несоответствием фактической деятельности; - Формальная или некорректная политика обработки персональных данных
(не отражает реальные процессы, не обновлялась, противоречит сайту); - Сбор персональных данных через сайт без правовых оснований
(формы обратной связи, заявки, регистрации, подписки); - Отсутствие корректных согласий субъектов персональных данных
либо использование универсальных, юридически несостоятельных формулировок; - Несоответствие внутренних документов требованиям 152-ФЗ
(приказы, положения, регламенты либо отсутствуют, либо носят формальный характер); - Нарушения требований к защите персональных данных,
включая отсутствие организационных и технических мер.
⚠️ Важно
Даже если нарушения не носят умышленного характера, это не освобождает оператора персональных данных от ответственности. Роскомнадзор оценивает не намерения, а фактическое соблюдение обязательных требований.
Как подготовиться к проверке Роскомнадзора в 2026 году
Подготовка к надзорным мероприятиям должна быть системной и начинаться до получения запросов со стороны регулятора.
Базовая логика подготовки
- Аудит фактических процессов обработки персональных данных.
- Проверка сайта и онлайн-сервисов на соответствие требованиям закона.
- Анализ и корректировка уведомления об обработке персональных данных.
- Приведение документации в соответствие требованиям 152-ФЗ.
- Устранение выявленных нарушений и фиксация принятых мер.
Такой подход позволяет заранее выявить риски и снизить вероятность применения санкций.
Что делать, если организация уже включена в список проверок
Если организация присутствует в перечне профилактики на 2026 год, ключевая ошибка — занять выжидательную позицию.
Практика показывает, что в подобных случаях необходимо:
- провести проверку до начала взаимодействия с регулятором;
- устранить выявленные нарушения в кратчайшие сроки;
- подготовить документы и позицию для ответов на возможные запросы;
- зафиксировать предпринятые меры.
Это позволяет контролировать ситуацию, а не реагировать на неё постфактум.
