Роскомнадзор и контроль соблюдения 152‑ФЗ: проверки, реестры, уведомления

Table of contents

• В роли регулятора: что делает Роскомнадзор по 152‑ФЗ
• Когда и как проходит проверка Роскомнадзора
• Реестр операторов ПДн: зачем он нужен и как в него попасть
• Уведомление об обработке ПДн: кто обязан и как подать
• Что проверяют: принципы, обязанности и безопасность
• Трансграничная передача и локализация данных
• Подготовка к проверке: пошаговый план
• Типичные нарушения и штрафы
• FAQ: частые вопросы операторов
• Полезные инструменты и ссылки

![Схема взаимодействия с Роскомнадзором по 152‑ФЗ: уведомление — реестр — контроль — исполнение предписаний]

В роли регулятора: что делает Роскомнадзор по 152‑ФЗ

Роскомнадзор — уполномоченный регулятор, который контролирует, как операторы персональных данных соблюдают требования Федерального закона «О персональных данных». Если кратко, связка «Роскомнадзор 152‑ФЗ» означает:

• ведение и публикацию Единого реестра операторов ПДн;
• прием и обработку уведомлений об обработке ПДн;
• плановые и внеплановые проверки, мониторинг сайтов и сервисов;
• выдачу предписаний и привлечение к ответственности совместно с иными органами.

Для контекстного понимания норм см. наши материалы: обзор Федерального закона № 152‑ФЗ, предмет и цели закона — в разделе «О персональных данных», а также структура и статьи 152‑ФЗ и история изменений.

Когда и как проходит проверка Роскомнадзора

Регулятор использует как документарные, так и выездные проверки. Основания и формат отличаются:

Тип проверки	Основание	Сроки/периодичность	Формат
Плановая	Включение в ежегодный план	По графику плана	Запрос документов, при необходимости выезд
Внеплановая	Жалоба субъекта ПДн, инцидент утечки, поручение прокуратуры, информация из СМИ/мониторинга	По факту события	Запрос, осмотр, интервью
Тематическая (надзор за сайтами)	Мониторинг публичной части сайта/мобильного приложения	Непрерывно	Скан форм, политик, cookies и согласий

Что запрашивают при проверке Роскомнадзора:

• положение/политику в отношении ПДн, согласия и уведомления субъектов;
• договоры с обработчиками, трансграничными получателями;
• модель угроз, описание ИСПДн, меры защиты и журналы событий;
• реестр процессов обработки, правовые основания, сроки хранения;
• доказательства прав субъектов: порядок приема обращений, сроки ответов.

Подробнее о принципах и условиях см. отдельный раздел «Принципы и условия обработки».

Реестр операторов ПДн: зачем он нужен и как в него попасть

Единый реестр операторов ПДн фиксирует, кто и на каких основаниях обрабатывает персональные данные. Он формируется на базе поданных уведомлений и публичен — любой может проверить, состоит ли организация/ИП в реестре.

Что отображается в реестре операторов ПДн:

• полное наименование и ИНН/ОГРН оператора;
• цели обработки, категории субъектов и данных, правовые основания;
• меры безопасности и сведения о трансграничной передаче;
• дата регистрации уведомления и его номер.

Как попасть в реестр:

1. Подать уведомление об обработке ПДн (см. следующий раздел).
2. Получить регистрационный номер от Роскомнадзора.
3. Проверить корректность опубликованных сведений и при необходимости подать обновление.

Когда обновлять сведения: при изменении целей, состава ПДн, категорий субъектов, мер безопасности, факта трансграничной передачи и иных значимых параметров. Делайте это без промедления, чтобы фактическая обработка соответствовала данным реестра.

Где почитать подробнее: об обязанностях оператора — в разделе «Обязанности оператора», о правах субъектов — здесь.

Уведомление об обработке ПДн: кто обязан и как подать

«Уведомление об обработке ПДн» — базовый юридический шаг, с которого начинается формальный надзор. Обязанность направить уведомление есть у большинства операторов, кроме ряда исключений, прямо предусмотренных 152‑ФЗ (например, обработка в рамках кадрового учета, исполнение договора с субъектом, обработка общедоступных ПДн — при соблюдении условий). Всегда сверяйтесь с текстом закона и разъяснениями: ФЗ‑152 и структура и статьи.

Что указать в уведомлении:

Блок сведений	Примеры/пояснения
Цели обработки	кадровый учет, расчеты с клиентами, маркетинг с согласием
Правовые основания	закон, договор, согласие субъекта (см. согласие)
Категории субъектов	работники, клиенты, пользователи сайта, контрагенты
Состав ПДн	ФИО, контакты, идентификаторы, платежные сведения и т. д.
Операции с ПДн	сбор, запись, хранение, уточнение, обезличивание, удаление
Сроки и условия хранения	сроки хранения, архив, критерии удаления
Передачи третьим лицам	процессоры, партнеры, банки, операторы связи
Трансграничная передача	страны, правовые гарантии (см. трансграничная передача)
Меры безопасности	организационные и технические меры, уровни защищенности
Контакты оператора	ответственный за ПДн, адрес для обращений субъектов

Как подать: через электронный сервис Роскомнадзора (личный кабинет оператора) или иным доступным регулятором способом. Сохраняйте подтверждение отправки и регистрационный номер.

Типичные ошибки в уведомлении:

• копирование «универсальных» целей без привязки к реальным процессам;
• занижение состава данных и передаваемых получателей;
• игнорирование факта трансграничной передачи через облачные сервисы;
• отсутствие актуализации при изменении бизнес‑процессов.

Что проверяют: принципы, обязанности и безопасность

На практике «проверка Роскомнадзора» начинается со сверки фактической обработки с принципами и обязанностями оператора по 152‑ФЗ. К ключевым блокам относятся:

• Принципы обработки: законность, справедливость, минимизация, целевое назначение, ограничение сроков хранения — см. принципы и условия.
• Обязанности оператора: информирование субъектов, предоставление прав на доступ/уточнение/удаление, учет обращений — см. обязанности оператора и права субъектов.
• Безопасность ПДн: оценка угроз, уровни защищенности ИСПДн, разграничение доступа, шифрование, журналирование, обучение персонала — см. безопасность и защита ПД.

Важно: публичные документы (политика обработки ПДн на сайте, пользовательские соглашения, формы согласия) должны отражать реальные процессы и совпадать с уведомлением и реестром.

Трансграничная передача и локализация данных

Роскомнадзор по 152‑ФЗ контролирует соблюдение правил трансграничной передачи и локализации данных граждан РФ.

• Локализация: первичные операции (сбор, запись, систематизация, накопление, хранение, уточнение/извлечение) в отношении ПДн граждан РФ должны осуществляться с использованием баз данных на территории России. Далее допускается передача при соблюдении закона и мер защиты.
• Трансграничная передача: оператор оценивает уровень защиты в стране получателя и правовые гарантии (договорные условия, согласие субъекта, иное основание). В ряде случаев требуется направить уведомление регулятору о намерении такой передачи и дождаться решения. Подробности — в разделе трансграничная передача ПДн.

Практический совет: инвентаризируйте облачные сервисы, CDN, рассылки, аналитику и техподдержку — они часто влекут трансграничную передачу «по умолчанию».

Подготовка к проверке: пошаговый план

• Проведите инвентаризацию процессов: цели, данные, субъекты, ИСПДн, контрагенты.
• Сопоставьте фактическую обработку с уведомлением и реестром операторов — обновите расхождения.
• Актуализируйте публичные документы: политика, формы, текст согласий, баннеры и настройки cookies.
• Проверьте договоры с обработчиками: предмет, поручение на обработку, конфиденциальность, меры безопасности, порядок инцидентов и удаления/возврата данных.
• Подготовьте доказательства безопасности: модель угроз, перечень мер, акты внедрения, журналы доступа.
• Настройте процесс работы с запросами субъектов: каналы приема, шаблоны ответов, сроки, регистрация обращений.
• Обучите персонал: базовые требования 152‑ФЗ, инцидент‑менеджмент, принципы минимизации.

Чек‑лист для самопроверки перед визитом:

Вопрос	Да/Нет
Все процессы описаны и отражены в уведомлении?
Политика на сайте актуальна и понятна пользователю?
Есть реестр обработчиков и подписанные соглашения?
Зафиксированы сроки хранения и порядок удаления?
Проведена оценка рисков и приняты меры защиты?
Назначен и обучен ответственный за ПДн?
Документированы процедуры работы с запросами субъектов?

Типичные нарушения и штрафы

К чему чаще всего приводит проверка Роскомнадзора:

• отсутствие уведомления при наличии обязанностей подать его;
• несоответствие фактической обработки заявленным целям и законным основаниям (например, маркетинг без согласия);
• несоблюдение локализации данных граждан РФ;
• непринятие достаточных мер безопасности, утечки и несанкционированный доступ;
• игнорирование прав субъектов (нет ответов на запросы, нарушение сроков);
• отсутствие или формальность политики и документов на сайте.

Ответственность за нарушение 152‑ФЗ установлена КоАП РФ (ст. 13.11 и др.). Штрафы для юрлиц варьируются от десятков до сотен тысяч рублей, при повторных и грубых нарушениях — до миллионов рублей. Конкретные составы и диапазоны см. в материале «Ответственность и штрафы». Помните, что отдельные эпизоды могут суммироваться по числу субъектов/фактов.

FAQ: частые вопросы операторов

• Нужно ли подавать уведомление, если обрабатываем только данные сотрудников? В ряде случаев уведомление не требуется, когда обработка ведется для целей трудового законодательства и не выходит за его рамки. Но как только появляются иные цели, категории данных или передача третьим лицам — обязанность может возникнуть.
• Как часто обновлять сведения в реестре? При каждом существенном изменении целей, состава ПДн, мер безопасности, трансграничных получателей и т. п. Делайте это незамедлительно, чтобы исключить расхождения.
• Можно ли исключиться из реестра? Да, при прекращении обработки направьте уведомление о прекращении, удалите/обезличьте данные и подтвердите исполнение.
• Что делать, если получено предписание? В указанный срок устраните нарушения, соберите доказательства и направьте отчет об исполнении. При необходимости — запросите продление со сроками и планом исправления.

Полезные инструменты и ссылки

• Текст и система норм: Федеральный закон № 152‑ФЗ, структура и статьи.
• Про основания обработки: принципы и условия, согласие на обработку ПДн.
• Про безопасность: безопасность и защита ПДн.
• Про трансграничные передачи: трансграничная передача ПДн.
• Про ответственность: штрафы за нарушение 152‑ФЗ.

---

Вывод и следующий шаг Роскомнадзор по 152‑ФЗ смотрит на соответствие «от слова к делу»: уведомления и записи в реестре должны подтверждаться процессами, документами и мерами безопасности. Постройте системный комплаенс — инвентаризацию, обновления, обучение, контроль.

Начните с ревизии: сверьте свои процессы с принципами, обязанностями и уведомлениями. Используйте разделы на нашем сайте как дорожную карту — от базовых норм до безопасности и трансграничных передач — и подготовьтесь к проверке без стресса.