Наши услуги
Ежедневно C 9:00 до 18:00
E-mail sale@rosco.su
Доверь свой бизнес профессионалам
RU
8 (499) 444 0000
Ежедневно С 9:00 до 18:00
E-mail sale@rosco.su
Проверка Роскомнадзора 2025: на что смотрят и как подготовиться

Проверка Роскомнадзора 2025: на что смотрят и как подготовиться

Алена Яковлева

Управляющий партнер, аудитор, к.э.н.
Услуги по теме
Юридические консультации
от 3 000 руб/час
Абонентское юридическое обслуживание
от 15 000 руб./мес.
Юридические консультации
17.11.2025

На что обращает внимание Роскомнадзор в 2025 году? Как бизнесу подготовиться к проверкам, чтобы избежать штрафов?

Роскомнадзор активно проверяет компании на предмет соблюдения Федерального закона «О персональных данных».  Ключевые точки проверки: документы, сайты, техническая защита информации, онлайн-деятельность и защита прав субъектов ПДн. Нарушения могут привести к штрафам до сотен тысяч и миллионов рублей для юридических лиц и к блокировке ресурса.

Под прицелом Роскомнадзора: виды и основания проверок

В 2025 году официального плана регулярных проверок по персональным данным нет. Ежегодный график не утвержден. Основная угроза для компаний — внеплановые проверки.

РНК сохраняет за собой право на визит в офис или запрос документов для контроля, то есть может проводить выездные и документарные проверки (Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 № 630).

Ключевые триггеры:

  • Многочисленные жалобы. На организацию поступило 10 и более обращений от физических лиц или конкурентов (например, о несанкционированных рассылках).

  • Компромат в СМИ или у регулятора. Факт утечки данных, зафиксированный даже в одном источнике, служит прямым поводом для начала проверки.

  • Игнорирование предписаний. Неустраненные нарушения с прошлого раза приводят к повторному визиту инспекторов, но уже с увеличенными штрафами.

Важно!
РНК не обязан предупреждать о внеплановой проверке. Инспекторы приходят без предварительных уведомлений, особенно если зафиксирован факт массовой утечки данных, есть угроза жизни и здоровью граждан.
 

Основные направления проверки Роскомнадзором

Условно все требования можно разделить на несколько блоков.

Документация (Основа основ)

Что должно быть в наличии:

  • Политика в отношении обработки ПДн — публично доступна сайте (если он есть), с прописанными целями, составом, сроками обработки данных.

  • Приказ о назначении ответственного за обработку ПДн — лица, которое координирует работу по соблюдению закона внутри компании.

  • Согласие на обработку ПДн  от клиентов/сотрудников — конкретное, информативное.  Особое внимание обращают на согласие, полученному на сайте (галочка, подпись).

Важно!
С 1 сентября 2025 года согласие должно быть оформлено отдельно от других документов и информации, которую подписывает клиент (ч. 1 ст. 9 Федерального закона от 27.07.2006 г. № 152).
 

  • Административный штраф для юрлиц за обработку ПНд без письменного согласия субъекта — от 300 000 до 700 000 рублей (ч. 2 ст. 13.11 КоАП РФ).

  • Перечень обрабатываемых ПДн — перечисление всех категорий данных, (клиентов, сотрудников, партнеров), источников их получения и цели обработки.

  • Модель угроз безопасности ПДн, инструкция для сотрудников, журналы учета обращений (на запросы о доступе, исправлении, удалении их данных).

  • Обязательная информация для РНК: уведомление об обработке ПДн  и отчет о локализации (для операторов, ведущих сбор ПДн с помощью российских и/или иностранных интернет-сервисов).

Важно!
Компании обязаны уведомлять Роскомнадзор об утечке персональных данных. Нарушение влечет штраф до 3 млн рублей, а за утечку биометрических данных — до 20 млн. рублей (ч. 10, 17 ст. 13.11 КоАП).
 

ЮРИСТ - Юридическая консультация ЮРИСТ - Юридическая консультация
Техническая защита данных

  • Средства защиты информации: установлены ли и правильно ли настроены антивирусы, межсетевые экраны (файрволы), системы обнаружения вторжений.

  • Разграничение прав доступа: доступ к персональным данным должен быть только у тех сотрудников, которым это нужно по работе.
    Шифрование: используется ли шифрование при передаче данных (например, на сайте должен быть SSL-сертификат - HTTPS) и при хранении особо чувствительной информации.

  • Резервное копирование: наличие рабочей системы бэкапов.

Соблюдение прав субъектов ПДн

  • Доступность информации: может ли человек легко найти на сайте контакты компании, Политику конфиденциальности.

  • Реакция на запросы: проверяют, как быстро и полно субъект отвечает на запросы граждан. По закону — 30 дней.

  • Отзыв согласия: есть ли техническая возможность для человека легко отозвать свое согласие на обработку его данных.

  • Сайт и онлайн-деятельность

  • Пользовательское соглашение и Политика конфиденциальности: их наличие, доступность и соответствие закону.

  • Форма согласия: при регистрации, подписке на рассылку, оформлении заказа обязательно должно быть получено явное согласие пользователя (не предустановленная галочка).

  • Файлы cookies: если используются аналитические (Яндекс.Метрика, Google Analytics) и рекламные cookies, нужно информировать об этом пользователя и получать его согласие (всплывающее окно «кукис-бар»).

Важно!
Персональные данные нельзя использовать в рекламных и маркетинговых рассылках, если нет добровольного согласия адресата (Определение Шестого кассационного суда общей юрисдикции от 26.08.2025 г. № 88-15087/2025).
 

Пошаговый план подготовки к проверке

Шаг 1: Аудит «как есть»

Собрать документацию по ПДн. Проверить комплектность и актуальность документов. Проанализировать сайт, формы сбора данных, процессы работы с клиентами и сотрудниками.

Шаг 2.  Назначение ответственного

Издать приказ о назначении сотрудника, ответственного за организацию обработки ПДн. Обучить его и других сотрудников, работающих с данными.

Шаг 3: Техническая подготовка

Настроить разграничение прав доступа в информационных системах. Проверить, работает ли на сайте HTTPS. Настроить кукис-бар для получить согласия на использование cookies.

Шаг 4: Работа с сайтом

Разместить в открытом доступе актуальную Политику конфиденциальности. Добавить на сайт форму для обратной связи и отзыва согласия на обработку ПДн. Привести в порядок формы сбора данных (добавить галочку для согласия).

Шаг 5: Взаимодействие с РНК

Сформировать и подать уведомление о начале обработки ПДн через официальный портал. Убедиться, что выполнены требования по локализации данных и своевременно подан отчет.

Компании должны проводить и правовой, и технический аудит. За счет новых алгоритмов Роскомнадзор видит внутренние несоответствия, поэтому внешнее исправление ошибки не решит проблему. В коде будут утрачены «хвосты», например, Google — это нарушенная трансграничная передача сведений, значит санкции в 18 млн. рублей.

Вывод
Превенцией жалоб от Роскомнадзора служит проактивная позиция. Бизнес, который регулярно проводит внутренний правовой и технический аудит системы защиты персональных данных (оптимально — раз в квартал), экономит на потенциальных санкциях и инвестирует в свое надежное правовое положение.

 

Следующая статья
Материалы по теме
Договор с иностранной компанией. Что прописать, чтобы потом не судиться за границей?
17.11.2025
Договор с иностранной компанией. Что прописать, чтобы потом не судиться за границей?
Как проверить контрагента из Китая: детальное руководство от RosCo
12.11.2025
Как проверить контрагента из Китая: детальное руководство от RosCo
Волна судебных возвратов: как защититься при покупке квартиры от исков бывших собственников
12.11.2025
Волна судебных возвратов: как защититься при покупке квартиры от исков бывших собственников
По каким причинам иностранец попадает в реестр контролируемых лиц
10.11.2025
По каким причинам иностранец попадает в реестр контролируемых лиц