Проверка Роскомнадзора по персональным данным

Зависит от вида. При документарной проверке РКН направляет запрос и ждёт документы и пояснения в установленный срок. При внеплановой выездной — может прийти по жалобе или индикатору риска и проверить фактическое состояние: политику на сайте, согласия, запись в реестре операторов, локализацию баз данных, наличие ответственного за обработку. По итогам составляется акт; при выявлении нарушений выдаётся предписание об устранении и может быть возбуждено дело об административном правонарушении.

Мораторий с 2022 года ограничивает в основном плановые проверки бизнеса. Внеплановые проверки по жалобам субъектов, по фактам утечек и по индикаторам риска продолжаются и под мораторий, как правило, не подпадают. Также активно используются профилактические визиты и предостережения. Поэтому «мораторий» не означает, что проверок нет — основной риск сместился в сторону внеплановых.

В первую очередь — опубликована ли по постоянному адресу политика обработки персональных данных (требование статьи 18.1 152-ФЗ), есть ли корректные согласия под формами сбора данных, настроен ли cookie-баннер, не передаются ли данные третьим лицам и за рубеж без оснований. Эти признаки видны напрямую при открытии сайта, поэтому именно сайт чаще всего становится источником претензий.

Чаще всего — жалоба конкретного человека: клиента, действующего или бывшего сотрудника, иногда конкурента. Другие поводы: сообщение об утечке персональных данных, публикация о нарушении в СМИ или соцсетях, срабатывание индикаторов риска, поручение прокуратуры или вышестоящих органов. Жалоба одного субъекта может запустить полноценную проверку всей системы обработки ПДн в компании.

По итогам выдаётся предписание об устранении нарушений в установленный срок и может быть возбуждено дело об административном правонарушении по статье 13.11 КоАП. В 2025 году ответственность за нарушения в сфере персональных данных, в том числе за утечки, существенно ужесточена. Помимо штрафа, нарушение фиксируется, и при повторных нарушениях санкции возрастают, а несоответствие становится проблемой в B2B-договорах и при сделках.

Заранее привести обработку в соответствие: опубликовать корректную политику обработки ПДн на сайте, настроить согласия под формами и cookie-баннер, подать или актуализировать уведомление в реестре операторов, назначить ответственного за организацию обработки, выстроить порядок ответов на обращения субъектов. Подготовку лучше начинать до того, как появится повод для внимания РКН, — задним числом сделать это корректно невозможно.

Зависит от текущего состояния. Если нужно с нуля привести в порядок сайт и документы — обычно от нескольких дней до 1–2 недель. Если запрос РКН уже пришёл и есть жёсткий срок ответа — работаем в этот срок, в приоритетном порядке. Начинаем с аудита, чтобы понять реальный объём расхождений между фактической обработкой и документами.

Не игнорировать срок и не отправлять отписку. На запрос нужно дать содержательный ответ с приложением документов, которые соответствуют реальной деятельности. Мы помогаем подготовить ответ на запрос РКН: анализируем запрос, проверяем документы, собираем материалы и формулируем ответ в установленный срок — подробнее на странице /otvet-na-zapros-rkn.