Роскомнадзор и контроль соблюдения 152‑ФЗ: проверки, реестры, уведомления
![Схема взаимодействия с Роскомнадзором по 152‑ФЗ: уведомление — реестр — контроль — исполнение предписаний]
В роли регулятора: что делает Роскомнадзор по 152‑ФЗ
Роскомнадзор — уполномоченный регулятор, который контролирует, как операторы персональных данных соблюдают требования Федерального закона «О персональных данных». Если кратко, связка «Роскомнадзор 152‑ФЗ» означает:
- ведение и публикацию Единого реестра операторов ПДн;
- прием и обработку уведомлений об обработке ПДн;
- плановые и внеплановые проверки, мониторинг сайтов и сервисов;
- выдачу предписаний и привлечение к ответственности совместно с иными органами.
Для контекстного понимания норм см. наши материалы: обзор Федерального закона № 152‑ФЗ, предмет и цели закона — в разделе «О персональных данных», а также структура и статьи 152‑ФЗ и история изменений.
Когда и как проходит проверка Роскомнадзора
Регулятор использует как документарные, так и выездные проверки. Основания и формат отличаются:
| Тип проверки |
Основание |
Сроки/периодичность |
Формат |
| Плановая |
Включение в ежегодный план |
По графику плана |
Запрос документов, при необходимости выезд |
| Внеплановая |
Жалоба субъекта ПДн, инцидент утечки, поручение прокуратуры, информация из СМИ/мониторинга |
По факту события |
Запрос, осмотр, интервью |
| Тематическая (надзор за сайтами) |
Мониторинг публичной части сайта/мобильного приложения |
Непрерывно |
Скан форм, политик, cookies и согласий |
Что запрашивают при проверке Роскомнадзора:
- положение/политику в отношении ПДн, согласия и уведомления субъектов;
- договоры с обработчиками, трансграничными получателями;
- модель угроз, описание ИСПДн, меры защиты и журналы событий;
- реестр процессов обработки, правовые основания, сроки хранения;
- доказательства прав субъектов: порядок приема обращений, сроки ответов.
Подробнее о принципах и условиях см. отдельный раздел «Принципы и условия обработки».
Реестр операторов ПДн: зачем он нужен и как в него попасть
Единый реестр операторов ПДн фиксирует, кто и на каких основаниях обрабатывает персональные данные. Он формируется на базе поданных уведомлений и публичен — любой может проверить, состоит ли организация/ИП в реестре.
Что отображается в реестре операторов ПДн:
- полное наименование и ИНН/ОГРН оператора;
- цели обработки, категории субъектов и данных, правовые основания;
- меры безопасности и сведения о трансграничной передаче;
- дата регистрации уведомления и его номер.
Как попасть в реестр:
- Подать уведомление об обработке ПДн (см. следующий раздел).
- Получить регистрационный номер от Роскомнадзора.
- Проверить корректность опубликованных сведений и при необходимости подать обновление.
Когда обновлять сведения: при изменении целей, состава ПДн, категорий субъектов, мер безопасности, факта трансграничной передачи и иных значимых параметров. Делайте это без промедления, чтобы фактическая обработка соответствовала данным реестра.
Где почитать подробнее: об обязанностях оператора — в разделе «Обязанности оператора», о правах субъектов — здесь.
Уведомление об обработке ПДн: кто обязан и как подать
«Уведомление об обработке ПДн» — базовый юридический шаг, с которого начинается формальный надзор. Обязанность направить уведомление есть у большинства операторов, кроме ряда исключений, прямо предусмотренных 152‑ФЗ (например, обработка в рамках кадрового учета, исполнение договора с субъектом, обработка общедоступных ПДн — при соблюдении условий). Всегда сверяйтесь с текстом закона и разъяснениями: ФЗ‑152 и структура и статьи.
Что указать в уведомлении:
| Блок сведений |
Примеры/пояснения |
| Цели обработки |
кадровый учет, расчеты с клиентами, маркетинг с согласием |
| Правовые основания |
закон, договор, согласие субъекта (см. согласие) |
| Категории субъектов |
работники, клиенты, пользователи сайта, контрагенты |
| Состав ПДн |
ФИО, контакты, идентификаторы, платежные сведения и т. д. |
| Операции с ПДн |
сбор, запись, хранение, уточнение, обезличивание, удаление |
| Сроки и условия хранения |
сроки хранения, архив, критерии удаления |
| Передачи третьим лицам |
процессоры, партнеры, банки, операторы связи |
| Трансграничная передача |
страны, правовые гарантии (см. трансграничная передача) |
| Меры безопасности |
организационные и технические меры, уровни защищенности |
| Контакты оператора |
ответственный за ПДн, адрес для обращений субъектов |
Как подать: через электронный сервис Роскомнадзора (личный кабинет оператора) или иным доступным регулятором способом. Сохраняйте подтверждение отправки и регистрационный номер.
Типичные ошибки в уведомлении:
- копирование «универсальных» целей без привязки к реальным процессам;
- занижение состава данных и передаваемых получателей;
- игнорирование факта трансграничной передачи через облачные сервисы;
- отсутствие актуализации при изменении бизнес‑процессов.
Что проверяют: принципы, обязанности и безопасность
На практике «проверка Роскомнадзора» начинается со сверки фактической обработки с принципами и обязанностями оператора по 152‑ФЗ. К ключевым блокам относятся:
- Принципы обработки: законность, справедливость, минимизация, целевое назначение, ограничение сроков хранения — см. принципы и условия.
- Обязанности оператора: информирование субъектов, предоставление прав на доступ/уточнение/удаление, учет обращений — см. обязанности оператора и права субъектов.
- Безопасность ПДн: оценка угроз, уровни защищенности ИСПДн, разграничение доступа, шифрование, журналирование, обучение персонала — см. безопасность и защита ПД.
Важно: публичные документы (политика обработки ПДн на сайте, пользовательские соглашения, формы согласия) должны отражать реальные процессы и совпадать с уведомлением и реестром.
Трансграничная передача и локализация данных
Роскомнадзор по 152‑ФЗ контролирует соблюдение правил трансграничной передачи и локализации данных граждан РФ.
- Локализация: первичные операции (сбор, запись, систематизация, накопление, хранение, уточнение/извлечение) в отношении ПДн граждан РФ должны осуществляться с использованием баз данных на территории России. Далее допускается передача при соблюдении закона и мер защиты.
- Трансграничная передача: оператор оценивает уровень защиты в стране получателя и правовые гарантии (договорные условия, согласие субъекта, иное основание). В ряде случаев требуется направить уведомление регулятору о намерении такой передачи и дождаться решения. Подробности — в разделе трансграничная передача ПДн.
Практический совет: инвентаризируйте облачные сервисы, CDN, рассылки, аналитику и техподдержку — они часто влекут трансграничную передачу «по умолчанию».
Подготовка к проверке: пошаговый план
- Проведите инвентаризацию процессов: цели, данные, субъекты, ИСПДн, контрагенты.
- Сопоставьте фактическую обработку с уведомлением и реестром операторов — обновите расхождения.
- Актуализируйте публичные документы: политика, формы, текст согласий, баннеры и настройки cookies.
- Проверьте договоры с обработчиками: предмет, поручение на обработку, конфиденциальность, меры безопасности, порядок инцидентов и удаления/возврата данных.
- Подготовьте доказательства безопасности: модель угроз, перечень мер, акты внедрения, журналы доступа.
- Настройте процесс работы с запросами субъектов: каналы приема, шаблоны ответов, сроки, регистрация обращений.
- Обучите персонал: базовые требования 152‑ФЗ, инцидент‑менеджмент, принципы минимизации.
Чек‑лист для самопроверки перед визитом:
| Вопрос |
Да/Нет |
| Все процессы описаны и отражены в уведомлении? |
|
| Политика на сайте актуальна и понятна пользователю? |
|
| Есть реестр обработчиков и подписанные соглашения? |
|
| Зафиксированы сроки хранения и порядок удаления? |
|
| Проведена оценка рисков и приняты меры защиты? |
|
| Назначен и обучен ответственный за ПДн? |
|
| Документированы процедуры работы с запросами субъектов? |
|
Типичные нарушения и штрафы
К чему чаще всего приводит проверка Роскомнадзора:
- отсутствие уведомления при наличии обязанностей подать его;
- несоответствие фактической обработки заявленным целям и законным основаниям (например, маркетинг без согласия);
- несоблюдение локализации данных граждан РФ;
- непринятие достаточных мер безопасности, утечки и несанкционированный доступ;
- игнорирование прав субъектов (нет ответов на запросы, нарушение сроков);
- отсутствие или формальность политики и документов на сайте.
Ответственность за нарушение 152‑ФЗ установлена КоАП РФ (ст. 13.11 и др.). Штрафы для юрлиц варьируются от десятков до сотен тысяч рублей, при повторных и грубых нарушениях — до миллионов рублей. Конкретные составы и диапазоны см. в материале «Ответственность и штрафы». Помните, что отдельные эпизоды могут суммироваться по числу субъектов/фактов.
FAQ: частые вопросы операторов
- Нужно ли подавать уведомление, если обрабатываем только данные сотрудников? В ряде случаев уведомление не требуется, когда обработка ведется для целей трудового законодательства и не выходит за его рамки. Но как только появляются иные цели, категории данных или передача третьим лицам — обязанность может возникнуть.
- Как часто обновлять сведения в реестре? При каждом существенном изменении целей, состава ПДн, мер безопасности, трансграничных получателей и т. п. Делайте это незамедлительно, чтобы исключить расхождения.
- Можно ли исключиться из реестра? Да, при прекращении обработки направьте уведомление о прекращении, удалите/обезличьте данные и подтвердите исполнение.
- Что делать, если получено предписание? В указанный срок устраните нарушения, соберите доказательства и направьте отчет об исполнении. При необходимости — запросите продление со сроками и планом исправления.
Полезные инструменты и ссылки
Вывод и следующий шаг
Роскомнадзор по 152‑ФЗ смотрит на соответствие «от слова к делу»: уведомления и записи в реестре должны подтверждаться процессами, документами и мерами безопасности. Постройте системный комплаенс — инвентаризацию, обновления, обучение, контроль.
Начните с ревизии: сверьте свои процессы с принципами, обязанностями и уведомлениями. Используйте разделы на нашем сайте как дорожную карту — от базовых норм до безопасности и трансграничных передач — и подготовьтесь к проверке без стресса.
