Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: 8 июня 2026 года. Учтены изменения ФЗ № 420-ФЗ от 30.11.2024 и постановление Правительства РФ № 336 о порядке проверок.

Кто и зачем приходит с проверкой

Роскомнадзор — главный контролёр в сфере персональных данных. Он проверяет, как операторы (компании и ИП, собирающие ПДн) исполняют требования 152-ФЗ: есть ли политика конфиденциальности, получено ли согласие, поданы ли уведомления, ведётся ли внутренняя документация.

Проверка — это не «придут и оштрафуют на месте». Это формализованная процедура с заранее определённым перечнем документов, которые инспектор запрашивает. Если документы в порядке — проверка заканчивается без последствий. Если их нет — выдаётся предписание и возбуждается дело по ст. 13.11 КоАП.

Виды проверок: плановая и внеплановая

Плановая проверка проводится по ежегодному графику, который публикуется на сайте прокуратуры и Роскомнадзора в конце предыдущего года. О ней предупреждают минимум за 24 часа. С 2022 года для большинства малого бизнеса действует мораторий на плановые проверки — но он не распространяется на операторов, отнесённых к категории высокого риска (обработка специальных категорий, биометрии, данных большого числа субъектов).

Внеплановая проверка — самая частая в практике 2025–2026 годов. Поводы:

  • Жалоба субъекта ПДн — клиент пожаловался, что его данные обрабатывают без согласия или не удаляют по запросу
  • Инцидент (утечка) — после уведомления об утечке РКН проверяет, как организована защита
  • Невыполнение ранее выданного предписания
  • Поручение прокуратуры или правительства

Внеплановая проверка по жалобе согласовывается с прокуратурой. Всё чаще РКН проводит её в форме документарной проверки без выезда: запрос документов приходит письмом, оператор обязан предоставить копии в течение 10 рабочих дней.

Что запрашивает инспектор: 6 документов первыми

На любой проверке РКН в первую очередь смотрит наличие пакета документов по ст. 18.1 и 18.2 152-ФЗ:

  1. Политика обработки ПДн — опубликована на сайте, доступна по прямой ссылке (требование приказа РКН № 274)
  2. Согласия субъектов — формы согласия на обработку, образцы галочек на сайте
  3. Уведомление в Роскомнадзор — отметка о подаче и актуальность сведений в реестре операторов
  4. Реестр (журнал) операций обработки ПДн — внутренний учёт процессов
  5. Приказ о назначении ответственного за организацию обработки (ст. 22.1)
  6. Положение об обработке ПДн — внутренний регламент + перечень лиц, допущенных к данным

Дополнительно могут запросить: журнал учёта обращений субъектов, акты уничтожения ПДн, договоры поручения с подрядчиками (ст. 6 ч. 3), модель угроз для ИСПДн.

Что РКН проверяет на сайте

Документарная часть дополняется осмотром сайта. Инспектор фиксирует:

  • Есть ли активная ссылка на политику конфиденциальности на каждой странице со сбором данных
  • Стоит ли галочка согласия под каждой формой (и не проставлена ли она по умолчанию)
  • Работает ли cookie-баннер и описаны ли счётчики аналитики (Метрика, GA)
  • Указаны ли в политике все третьи лица, которым передаются данные
  • Нет ли трансграничной передачи без основания по ст. 12

Типичный «провал» — шаблонная политика конструктора сайтов (Tilda, Bitrix), не отражающая реальные процессы оператора. РКН считает её формальной отпиской.

Сроки, которые надо знать заранее

Проверка часто инициируется именно потому, что оператор нарушил сроки реакции на запрос субъекта. Закон требует:

  • 30 дней — на ответ субъекту о факте и условиях обработки его ПДн (ст. 20 ч. 3)
  • 7 рабочих дней — на уточнение, блокирование или уничтожение данных по требованию субъекта (ст. 21 ч. 1)
  • 24 часа — на уведомление РКН об инциденте (утечке) + 72 часа на результаты внутреннего расследования (https://pd.rkn.gov.ru/incidents/)

Если на проверке выяснится, что вы проигнорировали запрос клиента или не уведомили об утечке — это самостоятельные нарушения с отдельными штрафами.

Чем грозит проваленная проверка

Штрафы по ст. 13.11 КоАП в редакции ФЗ № 420-ФЗ от 30.11.2024:

  • Отсутствие политики / документов (ст. 18.1): до 300 000 ₽ для юрлиц, повторно — до 500 000 ₽
  • Обработка без согласия: до 700 000 ₽ для юрлиц, повторно — до 1,5 млн ₽
  • Неподача уведомления в РКН: до 300 000 ₽
  • Утечка ПДн: оборотный штраф — первично до 15 млн ₽, повторно 1–3% годовой выручки (минимум 20 млн, максимум 500 млн ₽)

Проверка с несколькими нарушениями суммирует санкции по каждой статье — поэтому даже у малого бизнеса итог легко превышает 1 млн ₽.

Чеклист готовности к проверке

  • [ ] Политика обработки ПДн опубликована и доступна по прямой ссылке
  • [ ] Под каждой формой стоит непроставленная галочка согласия
  • [ ] Уведомление в РКН подано, сведения в реестре операторов актуальны
  • [ ] Ведётся реестр (журнал) операций обработки ПДн
  • [ ] Издан приказ о назначении ответственного за обработку
  • [ ] Утверждено положение об обработке и перечень допущенных лиц
  • [ ] Есть журнал учёта обращений субъектов
  • [ ] Описаны все счётчики аналитики и третьи лица в политике
  • [ ] Назначены ответственные за реакцию в сроки 7 / 30 дней и 24 / 72 часа

Сколько стоит подготовка

С юристом по ПДн: аудит готовности к проверке + комплект документов — от 30 000 ₽, сопровождение проверки — от 50 000 ₽.

Через автоматический генератор ПараДок: весь пакет внутренних и публичных документов (политика, согласия, реестр, приказы, положение) персонализируется под ваш бизнес по анкете и входит в тарифы от 4 990 ₽.

Хотите узнать, что найдёт РКН на вашем сайте до того, как придёт проверка? Запустите бесплатный аудит сайта на соответствие 152-ФЗ →

Статья актуальна на 8 июня 2026 года. Нормативные акты: 152-ФЗ «О персональных данных» (ст. 6, 12, 18.1, 18.2, 20, 21, 22.1), приказ Роскомнадзора № 274 от 27.10.2022, постановление Правительства РФ № 336, КоАП ст. 13.11 в редакции ФЗ № 420-ФЗ от 30.11.2024.