Внутренний регламент

Алгоритм проверки РКН
соблюдения ФЗ-152

Пошаговая схема: от выбора объекта проверки до итогового акта — с учётом изменений 2024–2025 годов

⚖️

На сайте = только то, что видит субъект ПДн
Внутри компании = всё, что видит проверяющий РКН

1

Поводы для проверки — кого и почему выбирает РКН

📩

Жалобы граждан

10 и более обращений от физических лиц или конкурентов (например, о несанкционированных рассылках)

💧

Утечка ПДн

Выявление баз данных в открытом доступе. Внеплановая проверка — по решению руководства РКН после согласования с прокуратурой

🤖

ИИ-мониторинг сайтов

Автоматизированная проверка веб-ресурса без предупреждения владельца. ИИ может обнаружить даже удалённый фрагмент кода

📊

Индикаторы риска

Перечень утверждён приказом Минцифры № 1187 от 15.11.2021. Выявление хотя бы одного индикатора = основание для внеплановой проверки

🔁

Невыполнение предписаний

Нарушения не устранены после прошлой проверки — РКН приходит повторно с усилением санкций

📋

Плановые проверки

В 2025 году массовых плановых проверок нет. Основная угроза — внеплановые проверки по перечисленным основаниям

2

Виды проверочных мероприятий

🛡️

Профилактическая

Консультирование, предостережение без составления акта о нарушении

📄

Документарная

РКН запрашивает документы дистанционно — без выезда на объект

🏢

Выездная

Инспектор приезжает в офис. Может проводиться онлайн через приложение «Инспектор»

🌐

Мониторинг сайта

Автоматический ИИ-анализ сайта без уведомления оператора

3

Что РКН запрашивает — документы оператора

Документ Где находится Статус
Уведомление о начале обработки ПДн (подано в РКН) Реестр РКН Обязателен
Политика в отношении обработки персональных данных На сайте Обязательна
Согласия субъектов ПДн (оформленные по ФЗ-152) Внутри компании Обязательны
Приказ о назначении ответственного за ПДн Внутри компании Обязателен
Журналы учёта обращений субъектов и проверок Внутри компании Обязательны
Приказ о хранении и уничтожении носителей Внутри компании Обязателен
Перечень ИСПДн, модель угроз, акт классификации Внутри компании Обязательны
NDA, регламент допуска, перечень допущенных лиц Внутри компании Обязательны
Форма согласия на cookies (отдельный документ) На сайте Обязательна

⚠️ Проверяющие не просто фиксируют наличие документов — они сопоставляют содержание с реальными процессами обработки данных сотрудников, клиентов и подрядчиков.

4

Проверка сайта — конкретные точки контроля

Зарубежный хостинг С 1 июля 2025 года первичный сбор ПДн россиян на зарубежных серверах — прямое нарушение ФЗ-152. Штраф и блокировка ресурса.
Запрещённые сторонние скрипты С 1 июля 2025 года автоматически проверяется наличие Google Analytics, Google Maps, reCAPTCHA, виджеты WhatsApp/Telegram, зарубежные SaaS-сервисы.
Согласие встроено в Политику или договор С 1 сентября 2025 года согласие на обработку ПДн — только отдельный самостоятельный документ. «Спрятанное» согласие внутри другого документа незаконно.
Отсутствие или неполнота Политики обработки ПДн Политика должна содержать: цели, правовые основания, категории субъектов, порядок реализации прав, срок хранения, порядок уничтожения.
Корректная форма сбора данных Нельзя требовать персональные данные как условие доступа к информации о товарах и услугах — только если они объективно необходимы для оказания услуги.
Хостинг и локализация Сервер с ПДн граждан РФ — только на российской территории. Трансграничная передача — с соблюдением ст. 12 ФЗ-152 и уведомлением РКН.
5

Алгоритм действий при утечке ПДн

!
⏱ Первые 24 часа

Первичное уведомление РКН

Сообщить о факте утечки в Роскомнадзор. Указать: что случилось, какие категории ПДн затронуты, предварительный объём пострадавших субъектов.

2
⏱ 24–72 часа

Внутреннее расследование

Установить причины, виновных лиц, масштаб инцидента. Задокументировать все шаги в журнале инцидентов.

3
⏱ По итогам 72 часов

Итоговый отчёт в РКН

Направить в Роскомнадзор результаты расследования: объём утечки, причины, виновные лица, принятые меры. Порядок определяется локальным актом организации.

⚠️

Штраф за несвоевременное уведомление об утечке

По ч. 10 ст. 13.11 КоАП — от 1 до 3 миллионов рублей для юридических лиц.

6

Ключевые изменения 2024–2025 годов

ФЗ-420
30.11.2024

Новые штрафы КоАП (ст. 13.11)

Масштабное ужесточение административной ответственности за нарушения при работе с персональными данными. Основные положения вступили в силу с 30 мая 2025 года.

ФЗ-233
08.08.2024

Передача обезличенных данных государству

С 1 сентября 2025 года операторы обязаны передавать обезличенные данные в государственную систему по запросам Минцифры. Параметры определяет Правительство РФ совместно с ФСБ.

30 мая
2025

Повторная подача уведомления в РКН

РКН обязал операторов, подавших уведомления до конца 2022 года, подать их заново по новой форме (приказ № 180 от 28.10.2022 — добавлен раздел «Цели обработки»). Штраф за неподачу — 100–300 тыс. руб.

1 июля
2025

Запрет иностранных скриптов + ИИ-мониторинг

Запрет первичного сбора ПДн россиян на зарубежных серверах. Автоматическая ИИ-проверка сайтов на запрещённые виджеты, счётчики и сторонние сервисы.

1 сент.
2025

Согласие — только отдельный документ

Запрет включать согласие на обработку ПДн в текст других документов (договоров, Политики и т.д.). Согласие оформляется как самостоятельный документ с подписью субъекта.

7

Возможные итоги проверки

Чистый акт

Нарушений не выявлено. Акт проверки без предписаний.

📋

Предписание

Срок на устранение нарушений. Неисполнение — повторная проверка с ужесточением.

💰

Административный штраф

По ст. 13.11 КоАП РФ. От 150 тыс. до 20 млн рублей в зависимости от вида нарушения.

⚖️

Уголовное дело

При неправомерном доступе к ПДн через ИТ-системы — ст. 272.1 УК РФ, до 8 лет лишения свободы.

По результатам проверки составляется акт. К нему могут прилагаться фотографии, аудио- и видеозаписи, сделанные инспектором.