Пошаговая схема: от выбора объекта проверки до итогового акта — с учётом изменений 2024–2025 годов
10 и более обращений от физических лиц или конкурентов (например, о несанкционированных рассылках)
Выявление баз данных в открытом доступе. Внеплановая проверка — по решению руководства РКН после согласования с прокуратурой
Автоматизированная проверка веб-ресурса без предупреждения владельца. ИИ может обнаружить даже удалённый фрагмент кода
Перечень утверждён приказом Минцифры № 1187 от 15.11.2021. Выявление хотя бы одного индикатора = основание для внеплановой проверки
Нарушения не устранены после прошлой проверки — РКН приходит повторно с усилением санкций
В 2025 году массовых плановых проверок нет. Основная угроза — внеплановые проверки по перечисленным основаниям
Консультирование, предостережение без составления акта о нарушении
РКН запрашивает документы дистанционно — без выезда на объект
Инспектор приезжает в офис. Может проводиться онлайн через приложение «Инспектор»
Автоматический ИИ-анализ сайта без уведомления оператора
| Документ | Где находится | Статус |
|---|---|---|
| Уведомление о начале обработки ПДн (подано в РКН) | Реестр РКН | Обязателен |
| Политика в отношении обработки персональных данных | На сайте | Обязательна |
| Согласия субъектов ПДн (оформленные по ФЗ-152) | Внутри компании | Обязательны |
| Приказ о назначении ответственного за ПДн | Внутри компании | Обязателен |
| Журналы учёта обращений субъектов и проверок | Внутри компании | Обязательны |
| Приказ о хранении и уничтожении носителей | Внутри компании | Обязателен |
| Перечень ИСПДн, модель угроз, акт классификации | Внутри компании | Обязательны |
| NDA, регламент допуска, перечень допущенных лиц | Внутри компании | Обязательны |
| Форма согласия на cookies (отдельный документ) | На сайте | Обязательна |
⚠️ Проверяющие не просто фиксируют наличие документов — они сопоставляют содержание с реальными процессами обработки данных сотрудников, клиентов и подрядчиков.
Сообщить о факте утечки в Роскомнадзор. Указать: что случилось, какие категории ПДн затронуты, предварительный объём пострадавших субъектов.
Установить причины, виновных лиц, масштаб инцидента. Задокументировать все шаги в журнале инцидентов.
Направить в Роскомнадзор результаты расследования: объём утечки, причины, виновные лица, принятые меры. Порядок определяется локальным актом организации.
По ч. 10 ст. 13.11 КоАП — от 1 до 3 миллионов рублей для юридических лиц.
Масштабное ужесточение административной ответственности за нарушения при работе с персональными данными. Основные положения вступили в силу с 30 мая 2025 года.
С 1 сентября 2025 года операторы обязаны передавать обезличенные данные в государственную систему по запросам Минцифры. Параметры определяет Правительство РФ совместно с ФСБ.
РКН обязал операторов, подавших уведомления до конца 2022 года, подать их заново по новой форме (приказ № 180 от 28.10.2022 — добавлен раздел «Цели обработки»). Штраф за неподачу — 100–300 тыс. руб.
Запрет первичного сбора ПДн россиян на зарубежных серверах. Автоматическая ИИ-проверка сайтов на запрещённые виджеты, счётчики и сторонние сервисы.
Запрет включать согласие на обработку ПДн в текст других документов (договоров, Политики и т.д.). Согласие оформляется как самостоятельный документ с подписью субъекта.
Нарушений не выявлено. Акт проверки без предписаний.
Срок на устранение нарушений. Неисполнение — повторная проверка с ужесточением.
По ст. 13.11 КоАП РФ. От 150 тыс. до 20 млн рублей в зависимости от вида нарушения.
При неправомерном доступе к ПДн через ИТ-системы — ст. 272.1 УК РФ, до 8 лет лишения свободы.
По результатам проверки составляется акт. К нему могут прилагаться фотографии, аудио- и видеозаписи, сделанные инспектором.