Проверки Роскомнадзора: что надо знать бизнесу в 2025 году

⏱ Время чтения: 7 минут

Штрафы за нарушения в сфере персональных данных и связи в 2025 году могут достигать 18 миллионов рублей для компаний. Роскомнадзор активно проводит как плановые, так и внеплановые проверки, поэтому бизнесу важно быть готовым к любым сценариям.

Мало просто разместить политику конфиденциальности на сайте. Инспекторы проверяют всю цепочку работы с персональными данными: от сбора и хранения до обработки и уничтожения. В этой статье мы разберем, что именно проверяет Роскомнадзор, какие документы и процессы нужно привести в порядок и что делать, если выписали штраф.

Чтобы  не пропустить новые материалы от MDS, подписывайтесь на наш Телеграм-канал.

Что проверяет Роскомнадзор в 2025 году

Проверки компаний и индивидуальных предпринимателей на соответствие требованиям цифрового законодательства идут в нескольких направлениях.

Соблюдение закона «О персональных данных» (152-ФЗ)

Основное внимание инспекторов сосредоточено на том, насколько корректно и законно компания собирает, хранит и использует персональные данные клиентов, сотрудников и пользователей. 

• Законность обработки ПДн. У компании должно быть правовое основание для сбора данных — согласие пользователя, исполнение договора или иные предусмотренные законом основания.
• Документация и политика конфиденциальности. На сайте и во внутренних регламентах должны быть прописаны правила обработки данных: цель, сроки хранения, порядок передачи третьим лицам.
• Соблюдение прав субъектов ПДн. Компания обязана предоставить человеку доступ к его данным, удалить их по требованию и уведомить об этом.
• Безопасность хранения. Проверяется защита баз данных от утечек, доступ к ПДн ограничен и документирован.
• Согласие на cookies. Если сайт использует файлы cookie, пользователь должен быть проинформирован об этом и дать согласие. Отсутствие простого баннера о cookie может стать основанием для предписания устранить нарушения.

Соблюдение законодательства в сфере связи (для операторов связи) (126-ФЗ)

Для компаний, которые оказывают телематические или иные услуги связи, Роскомнадзор проверяет выполнение специальных требований отраслевого регулирования.

• Наличие лицензии и соблюдение условий ее действия. Оператор связи обязан иметь действующую лицензию на соответствующий вид деятельности.
• Выполнение требований по хранению трафика и передаче данных уполномоченным органам. Операторы обязаны хранить содержание сообщений и информацию о соединениях в установленные сроки.
• Идентификация пользователей. Проверяется выполнение правил идентификации абонентов и обеспечения их учета.
• Меры по устойчивости и безопасности сетей связи, в том числе требования по взаимодействию с СОРМ и обеспечению бесперебойной работы инфраструктуры.

Также Роскомнадзор проверяет:

• Обязательные сведения. На сайте юрлица или ИП должны быть указаны реквизиты: полное наименование, ОГРН, ИНН, контактные данные.
• Возрастная маркировка. Контент, подпадающий под возрастные ограничения, должен быть маркирован в соответствии с законом.

Чек-лист подготовки сайта к проверке

1. Размещение и инфраструктура

• Убедиться, что сайт размещен на территории РФ или обеспечена локализация баз данных.
• Проверить хостинг и используемые сервисы на соответствие требованиям законодательства о персональных данных.
• Исключить несанкционированную передачу данных за рубеж.

2. Формы обратной связи и сбора данных

• Проверить наличие уведомлений и чек-боксов для подтверждения согласия на обработку ПДн.
• Сделать отправку формы невозможной без получения согласия пользователя.
• Разместить рядом с формами кликабельные ссылки на Политику обработки ПДн и иные нормативные документы.
• Проверить корректность визуального оформления и юридическую формулировку уведомлений.
• Исключить предустановленные галочки.

3. Cookie-баннер и механизмы согласия

• Реализовать всплывающее окно с выбором параметров обработки cookie.
• Настроить сбор данных только после получения согласия.
• Разместить подробную информацию о cookie на отдельной странице.
• Отразить использование cookie в Политике и Согласии.

4. Обязательные документы на сайте

• Разместить актуальную Политику обработки персональных данных в соответствии с 152-ФЗ.
• Добавить отдельную страницу с правилами конфиденциальности и целями обработки данных.
• Описать правила использования cookie и предусмотреть возможность отказа от их применения.
• Убедиться, что документы доступны из футера, меню и всех форм обратной связи.
• Проверить содержание Политики на соответствие уведомлению в Роскомнадзор.

5. Проверка внешних подключений и трансграничной передачи

• Проанализировать код сайта на наличие сторонних сервисов (Google Analytics, карты, шрифты и др.).
• Удалить или заменить все не соответствующие требованиям подключения.
• Убедиться, что трансграничная передача данных, если есть, оформлена законно.

6. Регистрация оператора ПДн

• Подготовить пакет документов для уведомления Роскомнадзора.
• Подать сведения о ресурсе в реестр операторов персональных данных.
• Проверить актуальность уведомления и его соответствие реальной обработке данных.

7. Аудит размещенной информации

• Убедиться, что публичная оферта и сведения об организации корректны.
• Добавить все недостающие реквизиты (ИНН, адрес, контакты, условия работы).
• Проверить, не опубликованы ли персональные данные без правового основания.

8. Проверка изображений и мультимедиа

• Убедиться в наличии прав на все используемые изображения, логотипы, видео и баннеры.
• Удалить или заменить потенциально конфликтные визуальные элементы.
• Проверить соответствие контента требованиям авторского права и возрастной маркировки.

9. Документирование и юридическая база

• Подготовить актуальные версии:

1. политики обработки ПДн;
2. согласий пользователей;
3. документов о трансграничной передаче (при необходимости).

• Обеспечить их соответствие фактическим процессам обработки данных.
• Проверить согласованность всех документов между собой.
  

10. Правовой аудит и контроль

• Провести правовой анализ структуры сайта и процессов обработки данных.
• Составить аргументацию и рекомендации на случай запросов Роскомнадзора.
• Определить и устранить зоны риска.
• Подготовить внутренний план действий на случай проверки.
  

11.  Финальная проверка (итоговая сверка)

• Проверить работу всех механизмов согласия и уведомлений.
• Убедиться в доступности всех обязательных документов для пользователя и контролирующих органов.
• Подтвердить актуальность уведомления в Роскомнадзор.

Как проходит проверка: права, обязанности и порядок действий

Основания для проверки

Роскомнадзор действует в рамках нормативных актов:

1. № 247-ФЗ от 31.07.2020 «Об обязательных требованиях в Российской Федерации»;
2. № 248-ФЗ от 31.07.2020 «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации»;
3. Постановление Правительства РФ № 1045 от 29.06.2021 «О федеральном государственном контроле (надзоре) в области связи»;
4. № 294-ФЗ от 26.12.2008 «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Проверки могут быть плановыми и внеплановыми. 

• Плановые включаются в утвержденный Роскомнадзором план, согласованный с прокуратурой. Организация может узнать о включении в план через официальный ресурс надзорного ведомства. Проводится не чаще одного раза в два года.
• Внеплановые проверки могут быть назначены по требованию прокуратуры при наличии соответствующего приказа, но чаще инициируются по конкретным основаниям:

1. необходимость проверить исполнение ранее выданных предписаний;
2. результаты систематического наблюдения или радиоконтроля;
3. жалобы пользователей на нарушения лицензионных условий;
4. информация от других органов власти или СМИ о сбоях и угрозах устойчивости единой сети электросвязи. 

Проверке может подвергнуться любая организация, индивидуальный предприниматель или самозанятый, если они в той или иной форме обрабатывают персональные данные сотрудников, клиентов, пользователей сайта. Даже если у вас только форма обратной связи или база из нескольких адресов, вы уже являетесь оператором персональных данных и попадаете в поле надзора.

Ваши права и что вправе делать инспектор

Порядок действий инспекторов и операторов при проверке регулируется Постановлением Правительства РФ о федеральном государственном контроле (надзоре) за обработкой персональных данных.  

Инспектор имеет право получить доступ на территорию или в помещение, где осуществляется деятельность оператора, и провести установленные законом контрольные действия. Обычно в их состав входят осмотр, опрос сотрудников, истребование документов, получение письменных объяснений, инструментальное обследование и экспертиза. В ходе проверки сотрудники Роскомнадзора вправе вести фото-, аудио- и видеозапись — это не является нарушением.

От оператора могут потребовать, в частности, политику обработки персональных данных, перечень лиц, допущенных к обработке, согласия субъектов, приказ о назначении ответственного за организацию обработки данных. Это не исчерпывающий перечень — инспектор может затребовать и другие документы, относящиеся к предмету проверки.

В свою очередь, у проверяемого лица есть право запросить у инспекторов документы, подтверждающие их полномочия, а также получить всю информацию, касающуюся предмета проверки.

Алгоритм действий

Проверка начинается с распоряжения о ее проведении. Поэтому  после получения распоряжения нужно внимательно ознакомиться с его содержанием. В документе указаны основания, предмет и сроки проведения проверки. Далее необходимо подготовить и предоставить все запрошенные материалы и документы.

По завершении процедуры инспекторы составляют акт проверки. В нем фиксируются выявленные нарушения (если они были), с отсылкой к конкретным нормам законодательства и указанием ответственных лиц. На основании акта выносится предписание об устранении нарушений, которое обязательно содержит: 

• дату и номер предписания;
• данные организации или ИП; 
• реквизиты акта проверки;
• перечень нарушенных норм;
• срок устранения нарушений;
• способ подтверждения их устранения;
• данные инспектора или инспекторов, проводивших проверку.

Исполнение предписания контролируется Роскомнадзором, а невыполнение в срок может повлечь административную ответственность. 

Штрафы и ответственность в 2025 году

В 2025 году Роскомнадзор продолжает усиливать контроль за соблюдением законодательства о персональных данных. Основной акцент на реальное исполнение требований, а не на формальное наличие политики конфиденциальности. За многие нарушения, которые еще несколько лет назад ограничивались предупреждениями, теперь предусмотрены значительные штрафы. Для юридических лиц они могут достигать миллионов рублей. Ниже — наиболее частые нарушения, по которым компании получают предписания и административные взыскания (статья 13.11 КоАП РФ).

Нарушение	Норма закона	Размер штрафа для юрлиц
Незаконная обработка персональных данных (в том числе cookie без согласия пользователя)	ч. 1 ст. 13.11 КоАП РФ	от 150 000 до 300 000 руб.
Обработка персональных данных без согласия субъекта	ч. 2 ст. 13.11 КоАП РФ	от 300 000 до 700 000 руб.
Невыполнение или несвоевременное уведомление Роскомнадзора о намерении обрабатывать ПДн	ч. 10 ст. 13.11 КоАП РФ	от 100 000 до 300 000 руб.
Нарушение требований к опубликованию политики обработки персональных данных	ч. 3 ст. 13.11 КоАП РФ	от 30 000 до 60 000 руб.
Нарушение требований о локализации баз данных	ч. 8 ст. 13.11 КоАП РФ	от 1 000 000 до 6 000 000 руб.
Повторное нарушение требований о локализации	ч. 9 ст. 13.11 КоАП РФ	от 6 000 000 до 18 000 000 руб.

Но штраф не единственная мера воздействия. Роскомнадзор может выдать предписание об устранении нарушений и в случае его неисполнения приостановить обработку данных и вовсе ограничить доступ к сайту, нарушающему законодательство о ПДн.

Что делать, если вынесено предписание или штраф?

В ситуации, когда проверка завершилась предписанием об устранении нарушений либо административным штрафом, важно действовать быстро, четко и без затягивания сроков. Иначе столкнетесь с последствиями вплоть до приостановления и аннулирования лицензии.

Исполнение предписания

Если в ходе проверки Роскомнадзор выявил серьезное нарушение, инспектор может вынести предупреждение о возможной приостановке лицензии и выдать официальное предписание об устранении нарушений.

Срок на выполнение предписания законом ограничен:

• не менее 10 рабочих дней;
• не более 30 рабочих дней с момента получения документа.

За это время организация обязана:

• устранить все указанные в предписании нарушения;
• собрать документальные подтверждения того, что меры были приняты (акты, приказы, скриншоты обновленного сайта, копии уведомлений и др.);
• направить доказательства в территориальное управление Роскомнадзора.

Если предписание не исполнено в установленный срок, запускается процедура приостановления действия лицензии. А при дальнейшем бездействии регулятор вправе обратиться в суд с заявлением об аннулировании лицензии.

Обжалование результатов проверки

Если вы не согласны с выводами инспекторов или считаете, что нарушения не были допущены, результаты проверки можно оспорить.

• Срок подачи возражения — в течение 10 рабочих дней с даты получения предписания.
• Куда направлять — в региональное управление Роскомнадзора.

В возражении следует аргументировать позицию: приложить документы, подтверждающие вашу правоту, либо указывать на процедурные нарушения при проведении проверки.

После рассмотрения жалобы РКН может пересмотреть выводы полностью или частично либо оставить предписание без изменений. 

Если решение регулятора остается неизменным, у компании есть еще один инструмент — обращение в суд. В таких случаях рекомендуется привлекать юриста, специализирующегося на административных спорах с госорганами.

Хотите быть уверены, что компания соблюдает все требования закона о персональных данных? Курс «‎Защита персональных данных» даст вам полную практическую базу:

• Вы изучите работу с персональными данными и 152-ФЗ, разберетесь с трансграничной передачей данных.
• Научитесь работать с нормативно-правовыми и локальными документами.
• Сможете провести аудит компании на соответствие требованиям законодательства и при необходимости — локализовать данные.

С такой подготовкой вы сможете быстро продвинуться до уровня Data Protection Officer и управлять процессами защиты персональных данных профессионально.

Программа обучения:

• Управление рисками
• Проверка регулятора
• Составление документов (Уровень PRO)
• Выстраивание систем защиты и обработки персональных данных (Уровень PRO)
• Аудит работы с персональными данными в организации (Уровень PRO)
• Карьерное развитие до Data Protection Officer (в Оптимальном тарифе).