Проверка Роскомнадзора 2025: на что смотрят и как подготовиться

Здравствуйте! С вами Алёна Яковлева, управляющий партнёр компании «РосКо — Консалтинг и Аудит». На что обращает внимание Роскомнадзор? Как бизнесу подготовиться к проверкам, чтобы избежать штрафов? Смотрите, чтобы быть в курсе.

Роскомнадзор активно проверяет компании на предмет соблюдения Федерального закона «О персональных данных». Ключевые точки проверки: документы, сайты, техническая защита информации, онлайн-деятельность и защита прав субъектов персональных данных. Нарушения могут привести к штрафам до сотен тысяч и миллионов рублей для юридических лиц и к блокировке ресурса.

В 2025 году официального плана регулярных проверок по персональным данным нет. Ежегодный график не утверждён. Основная угроза для компаний — внеплановые проверки. РКН сохраняет за собой право на визит в офис или запрос документов для контроля, то есть может проводить выездные и документарные проверки.

Ключевые триггеры для проверки:

• многочисленные жалобы. На организацию поступило 10 и более обращений от физических лиц или конкурентов (например, о несанкционированных рассылках);
• компромат в СМИ или у регулятора. Факт утечки данных, зафиксированный даже в одном источнике, служит прямым поводом для начала проверки;
• игнорирование предписаний. Неустранённые нарушения с прошлого раза приводят к повторному визиту инспекторов, но уже с увеличенными штрафами.

РКН не обязан предупреждать о внеплановой проверке. Инспекторы приходят без предварительных уведомлений, особенно если зафиксирован факт массовой утечки данных, есть угроза жизни и здоровью граждан.

Основные направления проверки Роскомнадзором. Условно все требования можно разделить на несколько блоков.

Что должно быть в наличии по документации:

• политика/положение об обработке персональных данных — публично доступна на сайте (если он есть), с прописанными целями, составом, сроками обработки данных;
• приказ о назначении ответственного за обработку персональных данных — лица, которое координирует работу по соблюдению закона внутри компании;
• согласие на обработку персональных данных от клиентов/сотрудников — конкретное, информативное. Особое внимание обращают на согласие, полученное на сайте (галочка, подпись). С 1 сентября 2025 года согласие должно быть оформлено отдельно от других документов и информации, которую подписывает клиент. Административный штраф для юрлиц за обработку персональных данных без письменного согласия субъекта — от 300 000 до 700 000 рублей;
• перечень обрабатываемых персональных данных — перечисление всех категорий данных (клиентов, сотрудников, партнёров), источников их получения и цели обработки;
• модель угроз безопасности персональных данных, инструкция для сотрудников, журналы учёта обращений (на запросы о доступе, исправлении, удалении их данных);
• обязательная информация для РКН: уведомление об обработке персональных данных и отчёт о локализации (для операторов, ведущих сбор ПДн с помощью российских и/или иностранных интернет-сервисов).

Компании обязаны уведомлять Роскомнадзор об утечке персональных данных. Нарушение влечёт штраф до 3 млн рублей, а за утечку биометрических данных — до 20 млн рублей.

Техническая защита данных включает проверку того, установлены ли средства защиты информации и корректно ли настроены антивирусы, межсетевые экраны и системы обнаружения вторжений. Важно обеспечить разграничение прав доступа, чтобы к персональным данным имели доступ только те сотрудники, которым это необходимо для выполнения рабочих задач. Значимым элементом является шифрование — как при передаче данных (например, наличие SSL-сертификата и работа сайта по HTTPS), так и при хранении чувствительной информации. Кроме того, требуется наличие корректно работающей системы резервного копирования.

Соблюдение прав субъектов персональных данных включает проверку того, насколько доступна необходимая информация: может ли человек без труда найти на сайте контакты компании и Политику конфиденциальности. Также оценивается, как быстро и полно организация отвечает на запросы граждан, поскольку закон устанавливает срок в 30 дней. Важно и наличие простой технической возможности для пользователя отозвать своё согласие на обработку его данных.

Проверяется, насколько корректно оформлены и доступны Пользовательское соглашение и Политика конфиденциальности, а также соответствуют ли они законодательству. Важно, чтобы при регистрации, оформлении заказа или подписке на рассылку пользователь давал явное согласие на обработку данных, без заранее установленных галочек. Если сайт использует аналитические или рекламные cookies, необходимо информировать об этом посетителя и получать его согласие через специальное всплывающее окно.

Персональные данные нельзя использовать в рекламных и маркетинговых рассылках, если нет добровольного согласия адресата.

Шаг 1: собрать документацию по персональным данным. Проверить комплектность и актуальность документов. Проанализировать сайт, формы сбора данных, процессы работы с клиентами и сотрудниками.

Шаг 2: издать приказ о назначении сотрудника, ответственного за организацию обработки персональных данных. Обучить его и других сотрудников, работающих с данными.

Шаг 3: настроить разграничение прав доступа в информационных системах. Проверить, работает ли на сайте HTTPS. Настроить кукис-бар для получения согласия на использование cookies.

Шаг 4: разместить в открытом доступе актуальную Политику конфиденциальности. Добавить на сайт форму для обратной связи и отзыва согласия на обработку персональных данных. Привести в порядок формы сбора данных (добавить галочку для согласия).

Шаг 5: взаимодействие с РКН. Сформировать и подать уведомление о начале обработки персональных данных через официальный портал. Убедиться, что выполнены требования по локализации данных и своевременно подан отчёт.

Компании должны проводить и правовой, и технический аудит. За счёт новых алгоритмов Роскомнадзор видит внутренние несоответствия, поэтому внешнее исправление ошибки не решит проблему. В коде будут утрачены «хвосты», например, Google — это нарушенная трансграничная передача сведений, значит санкции в 18 млн рублей.

Подведём итоги. Превенцией жалоб от Роскомнадзора служит проактивная позиция. Бизнес, который регулярно проводит внутренний правовой и технический аудит системы защиты персональных данных (оптимально — раз в квартал), экономит на потенциальных санкциях и инвестирует в своё надёжное правовое положение.

Спасибо, что досмотрели видео до самого конца! С вами была Алёна Яковлева. Есть вопросы? Не откладывайте — пишите их прямо сейчас в комментариях, и наши юристы из компании «РосКо» ответят вам совершенно бесплатно! И, конечно же, не забудьте подписаться на наш канал. Будь в курсе — будь с «РосКо»!

Полезные материалы от RosCo:

• Сайт компании: https://rosco.su/
• YouTube канал: RosCo | Consulting & audit — YouTube
• ВКонтакте: RosCo | Consulting & audit (vk.com)
• Telegram: Telegram: Contact @roscoaudit
• Дзен: RosCo | Consulting & audit | Дзен (dzen.ru)

Актуальные видео на юридические и налоговые темы в 2025 году. Качественные расшифровки видео-материалов по бухгалтерскому учету:

• Договор с иностранной компанией. Что прописать, чтобы потом не судиться за границей?
• Новое специальное основание для увольнения мигрантов
• До 7 лет тюрьмы за один пост?! Что будет запрещено в социальных сетях в 2026 году?
• Налоговая инициировала проверки скрытых доходов неработающих граждан
• Все статьи колонки "РосКо — Консалтинг и аудит: актуальные видео на юридические, бухгалтерские и налоговые темы"