С 30 мая 2025 года за отсутствие уведомления в Роскомнадзор — штраф до 300 000 рублей, ужесточились требования, усилились проверки организаций и ИП, работающих с персональными данными граждан.

Услуги регистрации ООО, АО, ИП и самозанятых в Роскомнадзоре
+7 995 123-16-24

info@fedresurs24.ru

Бесплатная консультация

Проверка и предписание от Роскомнадзора: как подготовиться и что делать при нарушениях

Любой интернет-проект, собирающий данные о посетителях, считается «оператором персональных данных» и находится под надзором РКН. Закон №152-ФЗ «О персональных данных» распространяется на все организации, обрабатывающие ПДн – независимо от их размера (даже ИП с учётом зарплаты в 1С). Это означает, что владельцы сайтов, интернет-магазинов, онлайн-сервисов и ИП обязаны соблюдать требования закона, иначе могут привлечь внимание Роскомнадзора.

Проверка и предписание от Роскомнадзора: как подготовиться и что делать при нарушениях

Содержание
  1. Какие сайты и компании могут попасть под проверку
  2. Основания и признаки внеплановых проверок
  3. Форматы проверок Роскомнадзора
  4. Типовое предписание РКН и его содержание
  5. Что делать после получения требования Роскомнадзора
  6. Подготовка к проверке заранее

Какие сайты и компании могут попасть под проверку

Под проверки РКН подпадают все операторы ПДн – коммерческие и некоммерческие организации, госорганы, ИП. Особенно пристальное внимание обращается на тех, кто собирает персональные данные через сайт или приложения: формы регистрации, заявки, рассылки, онлайн-чаты и т.п. Если на вашем сайте есть любые поля с ФИО, телефоном, e‑mail, адресом и т.п., вы уже собираете ПДн посетителей и становитесь оператором (даже если об этом не знали). РКН ведёт единый реестр операторов ПДн, и факт отсутствия записи о вас там расценивается как нарушение (ч.1 ст.22 ФЗ-152).

Малый бизнес и ИП не застрахованы от проверок. Напротив, мелкие компании зачастую попадают в выборку выборочных проверок или жалоб, поскольку думают, что «нас не найдут». На деле регулятор мониторит сайты автоматизированно и может «забраковать» любого оператора – особенно если найдёт типичные нарушения.

Основания и признаки внеплановых проверок

РКН проводит плановые и внеплановые проверки. Плановая проверка заранее входит в годовой график, о ней предупреждают минимум за 3 рабочих дня (уведомление копией приказа). Внеплановая может начаться в любой момент – чаще всего по жалобе пользователя либо при факте невыполнения ранее выданного предписания. Закон прямо перечисляет основания для внеплановых проверок: невыполнение предписания РКН, жалобы субъектов данных, поручения президента или требования прокурора и т.д..

Кроме формальных оснований, Роскомнадзор обращает внимание на типичные нарушения на сайтах. Например, если при сканировании сайта обнаруживаются следующие признаки, это может вызвать внеплановую проверку:

  • Отсутствие или неактуальная «Политика конфиденциальности». Закон требует опубликовать документ, описывающий порядок обработки ПДн, – без него сайт автоматически в зоне риска.
  • Незаявленное использование метрик/аналитики. Установленные на сайте Яндекс.Метрика, Google Analytics и др. собирают данные о посетителях (даже если «анонимно») и считаются обработкой ПДн. По условиям Яндекса, владелец сайта обязан получить согласие на такую обработку и информировать об этом пользователей (обычно с помощью cookie-баннера). Если на сайте стоит счётчик Яндекс.Метрики, а согласия пользователей нет, это нарушение ФЗ-152.
  • Формы сбора данных без явного согласия. Любые поля обратной связи (заявки, регистрацию, подписку) должны сопровождаться объяснением, что введённые данные будут обрабатываться, и активным чекбоксом «Я согласен на обработку ПДн». Предустановленные галочки («галочка проставлена по умолчанию») запрещены. Если этого нет, РКН это квалифицирует как нарушение ч.1 ст.6 ФЗ-152.
  • Несоответствие уведомления реальной практике. Оператор обязан подать в РКН уведомление о начале обработки ПДн, где он описывает свои цели, основания и категории данных. Если сайт собрал уже больше данных, чем заявлено, или уведомление вовсе не подано – это повод для проверки.

В реальном Требовании РКН (предписании) из одного кейса перечислены все эти нарушения: на сайте были формы сбора ФИО, телефона и e-mail без согласий посетителей, не была опубликована политика конфиденциальности, при этом стояла Яндекс.Метрика (то есть происходила неучтённая обработка ПДн), а оператор даже не был зарегистрирован в реестре. Такие «типовые» находки регулярно фигурируют в инспекциях РКН.

Форматы проверок Роскомнадзора

РКН практикует четыре основных формата проверок:

  • Плановая проверка. Включена в официальный план. Оповещение – не менее чем за 3 рабочих дня с указанием даты и списка документов. Перечень плановых проверок публикуется на сайте РКН.
  • Внеплановая проверка. Как правило, инициируется по жалобам или при невыполнении прошлых предписаний. Предупреждают не позднее чем за 24 часа (по любым доступным каналам).
  • Документарная проверка. РКН запрашивает у оператора документы (приказы, журналы, положение о ПДн, уведомления и пр.) и проверяет соответствие нормам дистанционно. Такой «без взаимодействия» формат может перейти в выездной, если понадобятся уточнения.
  • Выездная проверка. Инспекторы приезжают в офис или ИТ-подразделение организации. Проводится доскональная проверка на соответствие требованиям ФЗ-152 в части организационных и технических мер защиты (собеседования с ответственным лицом, осмотр документации, анализ ИСПДн и т.п.). По окончании составляется акт и (если найдены нарушения) выносится предписание.

Типовое предписание РКН и его содержание

Предписание РКН всегда содержит описание выявленных нарушений с указанием норм закона и требование их устранения. Как правило, приводятся ссылки на статьи ФЗ-152 (например, об обязательной публикации «Политики обработки ПДн» – ст.18.1, о согласии субъектов – ст.9–10, об уведомлении – ст.22 и т.д.). В примере выше в предписании ссылаются на ч.2 ст.18.1, ч.1 ст.6, ч.1 ст.9, ч.1 ст.22 ФЗ-152 и ряд нормативных документов.

После констатации нарушений предписание требует «привести деятельность по обработке персональных данных в соответствие с вышеуказанными требованиями закона». Это значит: получить недостающие согласия, разместить политику, подать уведомление или уточнить уже отправленное, удалить запрещённые аналитику и пр. Далее оператору обычно даётся фиксированный срок (по ФЗ-152 – 1 месяц с момента получения требования, см. ч.4 ст.20) на устранение нарушений и предоставление отчёта. Как предписывает уведомление, нужно «принять меры» и проинформировать РКН об этом с приложением подтверждающих документов. Невыполнение или просрочка грозит повторной проверкой и штрафом по КоАП.

Иными словами, типовое предписание – это чёткий план «устранить всё и донести информацию в РКН». В тексте указываются сроки и способы информирования: обычно письменно по эл.почте или через портал. В рассмотренном примере предписание требовало оповестить РКН о принятых мерах «в срок, установленный ч.4 ст.20 Закона» (1 месяц).

Что делать после получения требования Роскомнадзора

Получив предписание или требование РКН, не паникуйте, но реагируйте максимально оперативно. Эксперты рекомендуют сразу же привлечь специалиста по персональным данным или юриста: необходимо внимательно проанализировать указанные нарушения и составить план их устранения. По действующему регламенту после предписания у компании остаётся очень мало времени на исправление. Например, как отмечают консультанты, уже «после получения Предписания у компании есть всего 10 дней на подготовку и утверждение всей документации или исправление ошибок». То есть затягивать с доработкой документов и сайта нельзя.

Типичная последовательность действий:

  1. Изучите предписание. Проверьте, какие конкретно нарушения указаны (отсутствие политик, неучтённые формы, отсутствие уведомления, пр.). Определите круг ответственных.
  2. Устраните нарушения. Срочно опубликуйте недостающие документы (например, разместите на сайте политику конфиденциальности), обновите формы обратной связи (добавьте чекбоксы согласия без галочек по умолчанию), добавьте cookie-баннер, отключите незарегистрированные метрики или добавьте в политику уведомление о них. Если было нарушение уведомления, отправьте новое или скорректированное уведомление (см. ниже). Формально выполните все предписанные пункты.
  3. Подготовьте подтверждающие материалы. Соберите копии новых документов, выдержки из сайта, протоколы внесённых изменений. Внутри компании оформите акт выполненных работ по устранению замечаний.
  4. Отправьте ответ в РКН. В течение срока действия предписания (обычно 1 месяц) направьте в контролирующий орган письмо или сообщение через электронный портал с перечислением принятых мер и приложением подтверждающих документов. Желательно подробно описать каждое изменение. Если по каким-то причинам не успеваете всё сделать – хотя бы написать о принятых мерах, чтобы снять формальное основание для штрафа.

Стоит иметь в виду: устранение замечаний после предписания не снимает ответственности полностью, но может смягчить штраф. Поэтому лучше выполнять все требования в срок. Если сроки слишком сжаты, старайтесь хотя бы оперативно показать ответ РКН, что вы работаете над исправлениями. Важный момент – после ответа РКН регламентированного «акта приёма-передачи» обычно не бывает, инспекторы принимают к сведению представленную информацию и могут переквалифицировать штраф на меньший или вовсе не штрафовать (при отсутствии повторных нарушений).

Подготовка к проверке заранее

Лучше заранее предотвратить внеплановую проверку, а не реагировать на неё. Рекомендуется провести комплексный аудит обработки ПДн уже сейчас:

  • Обновите документы по персональным данным. Разработайте и утвердите «Политику конфиденциальности» (или политику обработки ПДн), а также внутренние локальные акты (приказы, положения, журналы) по защите ПДн. Назначьте ответственного за ПДн (ч.4 ст.22.1 ФЗ-152).
  • Проверьте уведомление и регистрацию. Убедитесь, что вы встали на учёт в реестре операторов РКН (если должны) и подали уведомление о начале обработки (ч.1 ст.22 ФЗ-152). Если у вас уже есть уведомление, проверьте его актуальность: цели и перечень данных должны соответствовать реальной практике. При появлении новых видов обработки отправляйте обновлённое уведомление. На портале РКН есть онлайн-формы для подачи и изменения уведомлений.
  • Проверьте сайт. Установите cookie-баннер с возможностью согласиться/отказаться от трекинга. Разместите политику конфиденциальности и согласия на видном месте (в подвале сайта и рядом с формами). Все формы сбора данных должны содержать активные ссылки на политику и поле для явного согласия (без заранее проставленных галочек).
  • Аудит метрик и скриптов. Проверьте, какие скрипты аналитики стоят на сайте. Если вы используете Яндекс.Метрику, Google Analytics, HotJar и т.п., убедитесь, что об этом прямо говорится в политике конфиденциальности и что пользователь даёт согласие (через баннер или форму). Установите флажки конфиденциальности: без согласия пользователя такие метрики лучше отключить. Напомним, что согласно условиям Яндекса «все данные, собираемые и хранимые сервисом, Яндекс рассматривает как персональные данные и конфиденциальную информацию Пользователя», а без согласия это нарушение закона.
  • Проверьте все документы и процедуры. Удостоверьтесь, что ведётся журнал учёта обработки ПДн, есть регистр приёма/выдачи носителей с ПДн (при необходимости), актуализированы подписанные сотрудниками согласия на обработку ПДн в трудовых договорах (ч.1 ст.9 ФЗ-152). В идеале оформите полный пакет документов: положения об обработке ПДн, инструкции, журналы. Эксперты отмечают, что подготовка полного комплекта локальных актов заранее критична для прохождения проверки.
  • Обновляйте данные о компании. На сайте оператора указывайте актуальные реквизиты, адрес и контактные данные. При смене владельцев сайта или направлений деятельности своевременно обновляйте уведомление в РКН и внутренние документы. Невнимательность к этим формальностям тоже может спровоцировать внеплановую проверку и штраф (особенно с учётом новых штрафов 2025 г. до 300 000–3 000 000 ₽).

Таким образом, подготавливаясь заранее, вы минимизируете риски. Регулярно проверяйте соответствие сайта и документов требованиям: это позволит «засветиться» в списках нарушителей в последнюю очередь. Если у вас несколько сайтов или сервисов – проведите аудит каждого. При необходимости – обратитесь к профессиональным аудиторам, чтобы избежать незаметных огрехов.

Своевременный аудит и корректная документация – лучшая защита от штрафов и блокировок. Даже если вы не вошли в план проверок, РКН мониторит сайты автоматически, поэтому важно быть готовым.

Для полной уверенности в соответствии требований 152‑ФЗ обратитесь в «Роском Эксперт». Наши юристы проведут детальный аудит вашего сайта, подготовят или обновят все необходимые документы (Политику ПДн, согласия, уведомления и пр.) и окажут сопровождение при любых проверках РКН. Мы поможем вам избежать нарушений закона о персональных данных и свести к минимуму риски штрафов и блокировок. Обращайтесь – наши контакты на сайте r-exp.ru.

+7 995 123-16-24

info@fedresurs24.ru

Оставить заявку
Контактная информация:
108801, Россия, г. Москва, п. Коммунарка, ул. Потаповская роща, д. 4, корп.3, пом. 56, офис 16
Заявки принимаются на сайте ежедневно и круглосуточно по всей России
ООО "Онлайн услуги 24"
ИНН 7751227590
ОГРН 1227700423730
Сайт r-exp.ru - коммерческий сервис, который предлагает услуги в подготовке документов и регистрации оператора персональных данных на сайте Роскомнадзора в соответствии с ФЗ 152 «О персональных данных». Данный сайт не является официальным порталом Роскомнадзора
Youtube Vk Telegram
Copyright 2022-2025. Онлайн сервис "Роском.Эксперт", официальный сайт.

Оформить заявку на услуги

Обязательно отметьте поля

Или напишите нам в мессенджер

Whatsapp Telegram
+7 995 123-16-24

info+1628243@fedresurs24.ru

Бесплатная консультация
Благодарим за Вашу заявку, скоро с Вами свяжется наш специалист
 
А пока Вы ждете звонка, мы дарим Вам файл
«Чек лист из 34 обязательных процедур, необходимых для соблюдения законодательства о
персональных данных, согласно ФЗ-152 от 27.07.06 г. и требований Роскомнадзора по состоянию на 2025 г.»
Скачать файл бесплатно
Мы используем Cookies, в том числе с использованием сервиса веб-аналитики "Яндекс.Метрика". Продолжая использовать наш сайт, вы даете согласие обработку данных Cookies, в том числе с использованием сервиса веб-аналитики "Яндекс.Метрика" в соответствии с Политикой .

Это файлы, которые помогают нам сделать ваш опыт взаимодействия с сайтом удобнее.