Проверки Роскомнадзора по защите персональных данных

Проверки операторов персональных данных в 2025 году

Постановлением Правительства РФ от 29.06.2021 № 1046 утвержден порядок проведения федерального госконтроля (надзора) за обработкой персональных данных (как и введено Положение о таком контроле). Указанным документом регулируются вопросы проведения проверок персональных данных Роскомнадзором в части соблюдения требований к их защите со стороны операторов.

А приказом Минцифры от 15.11.2021 № 1187 (в ред. от 01.08.2024) утвержден перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных. Выявление Роскомнадзором у оператора хотя бы одного индикатора является основанием для проведения внеплановой проверки.

ВАЖНО! С 30.05.2025 существенно ужесточается ответственность за нарушения с персональными данными. Подробности здесь.

Предметом проведения проверок является выполнение требований закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Конечной целью проверочных мероприятий РКН, в соответствии с п. 3 Правил, выступает выявление и пресечение нарушений в области защиты персональных данных со стороны операторов. Также эта деятельность надзорного органа направлена на предупреждение совершения подобных правонарушений. 

Виды надзорных мероприятий Роскомнадзора

Нормы законодательства об организации и осуществления государственного контроля и надзора предусматривают проведение контрольно-надзорных мероприятий (пп. 37, 42, 58 Положения по постановлению № 1046):

1. Со взаимодействием с объектом контроля:

• плановых;
• внеплановых.

В обоих форматах могут проводиться следующие контрольно-надзорные мероприятия:

• инспекционный визит;
• документарная проверка;
• выездная проверка.

Подробнее о специфике проведения инспекционного визита читайте в специальном материале.

2. Без взаимодействия (на основании заданий от руководителя контролирующего органа):

• наблюдение за соблюдением требований при размещении информации в интернете;
• наблюдение за соблюдением требований посредством анализа информации о деятельности объекта контроля, которая предоставляется им в контролирующий орган.

Кроме контрольно-надзорных также предусмотрены профилактические мероприятия (п. 13 Положения):

• информирование;
• обобщение правоприменительной практики;
• вынесение предостережения;
• консультации;
• осуществление профилактического визита.

Указанная классификация контрольно-надзорных и прочих мероприятий, проводимых контролирующими ведомствами, соответствует той, что отражена в положениях основополагающего нормативного акта в сфере контрольно-надзорной деятельности — Закона от 31.07.2020 № 248-ФЗ. Эксперты рассказали о специфике применения его положений. Получите пробный доступ к публикации на данную тему бесплатно. Если вы хотите пользоваться системой «КонсультантПлюс» на постоянной основе, уточните ее стоимость.

В отношении плановых мероприятий п. 12 Положения предусмотрено, что они проводятся с периодичностью, зависящей от категории риска, присвоенной объекту контроля. Проводятся, в частности:

• инспекционный визит или выездная проверка — 1 раз в 2 года, если риск высокий;
• инспекционный визит или документарная проверка — 1 раз в 4 года, если риск средний.

Если риск низкий, то плановые мероприятия не проводятся.

Плановые проверки проводятся на основании плана на очередной календарный год, согласованного с органами прокуратуры (п. 38 Положения).

В 2025 году плановые проверки по закону № 248-ФЗ проводятся с особенностями, установленными постановлением Правительства России от 10.03.2022 № 336 (в ред. от 28.12.2024). Об ограничениях государственного и муниципального контроля читайте в обзоре от КонсультантПлюс. Пробный доступ бесплатный.

Мораторий на отдельные внеплановые проверки в рамках федерального госконтроля (надзора) за обработкой персональных данных был отменен с 14.02.2023. В случае установления факта распространения (предоставления) в Интернете баз данных (или их части), содержащих персональные данные, внеплановая проверка в отношении операторов может проводиться по решению руководства Роскомнадзора после согласования с органами прокуратуры (постановление Правительства РФ от 04.02.2023 № 161).

Кстати, визит Роскомнадзора эксперты оценивают, как самый "дорогой" риск для компании. Во-первых, принят закон об оборотных штрафах за утечки персональных данных на десятки миллионов рублей. Во-вторых, проверки Роскомнадзора одни из самых тщательных: проверяющие не просто формально оценивают наличие документов, а сопоставляют написанное в них с реальными процессами по обработке данных сотрудников, клиентов, подрядчиков и т.д. Так что шаблонные документы не уберегут компании от штрафов. Чтобы пройти проверку без нарушений, придется всерьез заняться упорядочиванием процессов и документов по персональным данным. В этом вам поможет Путеводитель от КонсультантПлюс. Какие еще проверки грозят работодателям в 2025 году, узнайте в статье. Изучайте материалы бесплатно, оформив пробный доступ к системе.

Акт проверки

По результатам проверки орган РКН, в соответствии с пп. 53-56 Положения, составляет акт проверки. К нему могут прилагаться фотографии, аудиозаписи, видеозаписи, созданные инспектором при проверке (п. 41 Положения).

Итоги

Подведем итоги:

• Порядок проведения проверок на предмет соблюдения требований по защите персональных данных со стороны операторов утвержден в НПА.
• Периодичность проверок зависит от категории риска, присвоенной объекту проверки.
• Внеплановая проверка может быть осуществлена по основаниям, предусмотренным законом № 248-ФЗ.