Проверка Роскомнадзора: что проверяют и как подготовиться
- Плановые проверки 2026 — только для категорий чрезвычайно высокого и высокого риска. План — в Приказе РКН №390 от 19.12.2025.
- ИИ сканирует сайты 24/7: код, скрытые скрипты, cookie, формы, передачу данных за рубеж. Найденные нарушения становятся основанием для внеплановой проверки.
- За плановую предупреждают за 30 дней, за внеплановую — за 24 часа, за профилактический визит — за 5 рабочих дней.
- Штрафы по итогам — от 100 тыс. до 18 млн ₽ для юрлиц по разным составам ст. 13.11 КоАП РФ.
1. Риск-категории и план проверок 2026
С 2026 года план плановых проверок Роскомнадзора формируется по риск-ориентированному подходу. В список попадают только организации категорий чрезвычайно высокого и высокого риска.
Категория риска складывается из двух параметров:
- Группа тяжести (А, Б, В, Г) — что и в каком объёме обрабатывает компания. Группа А — крупные операторы биометрии и спецкатегорий, группа Г — минимальный объём обычных ПД.
- Группа вероятности (1, 2, 3, 4) — нарушения за последние 2–3 года, жалобы, утечки. Группа 4 — частые нарушения, группа 1 — без замечаний.
В план плановых проверок 2026 попадают компании группы тяжести А (реже Б) и группы вероятности 3 или 4. Кому это касается:
- Банки, страховщики, телеком-операторы, маркетплейсы
- Медицинские организации с базами пациентов
- Сервисы биометрии и идентификации
- HR-tech компании с базами кандидатов
- Компании, у которых в последние 3 года были жалобы или утечки
В декабре 2025 года РКН опубликовал перечень организаций для профилактики 2026 — Приказ №390 от 19.12.2025. Сам план плановых проверок размещён в открытом доступе на сайте РКН.
2. ИИ-сканирование сайтов 24/7
Главное изменение 2026 года — Роскомнадзор запустил автоматическое сканирование сайтов с использованием искусственного интеллекта. Это не плановая проверка, а постоянный мониторинг, который выявляет нарушения для возбуждения внеплановых проверок.
Что проверяет ИИ:
- Наличие политики конфиденциальности и её доступность с любой страницы
- Чекбоксы согласия в формах (регистрация, заказ, подписка)
- Сведения об операторе (наименование, ИНН, контакты)
- Прямую передачу данных в зарубежные сервисы — Google Fonts, Google Analytics, Meta Pixel, reCAPTCHA
- Cookie без информирования пользователя
- Скрытые скрипты, которые собирают данные посетителей
- Совпадение целей обработки на сайте с указанными в уведомлении РКН
Сканирование идёт постоянно. Если ИИ находит нарушение — формируется автоматический акт, который становится основанием для внеплановой проверки. Уведомление о такой проверке приходит за 24 часа.
Подробнее о том, что именно ищет ИИ на сайте — в нашем списке 10 признаков нарушения 152-ФЗ.
3. Виды проверок
| Тип | Основание | Уведомление | Длительность | Штрафы |
|---|---|---|---|---|
| Плановая выездная | План на год (риск-категории) | За 30 дней | До 20 рабочих дней | Возможны |
| Плановая документарная | План на год | За 30 дней | До 20 дней | Возможны |
| Внеплановая | Жалоба, утечка, ИИ-сканирование | За 24 часа | До 20 дней | Возможны |
| Профилактический визит | План профилактики | За 5 рабочих дней | До 1 дня | Без штрафов |
4. Что проверяет Роскомнадзор
Проверка делится на три блока: документы, сайт и реальная обработка ПД в компании.
Документы
- Запись в реестре операторов ПД — её отсутствие отягчающее обстоятельство
- Уведомление в Роскомнадзор и его актуальность (изменения в 15-дневный срок)
- Политика обработки ПД — на сайте, в открытом доступе
- Приказ о назначении ответственного за обработку (ст. 22.1 152-ФЗ)
- Положение об обработке и защите ПД
- Согласия субъектов — для каждой цели свои
- Договоры с третьими лицами на обработку
- Журналы доступа, акты уничтожения
- Документы по защите ИСПДн (модель угроз, технические меры)
Сайт
- Политика конфиденциальности — на каждой странице
- Чекбоксы согласия — в формах регистрации, подписки, заказа
- Цели обработки на сайте совпадают с указанными в уведомлении
- Отсутствие прямой передачи в Google Analytics, Meta Pixel и другие зарубежные сервисы
- Cookie с информированием пользователя
- Сведения об операторе — наименование, ИНН, контакты
Реальная обработка
- Хранение бумажных носителей: сейфы, шкафы с замками, журнал учёта
- Доступ сотрудников к ПД — по принципу минимальных привилегий
- Шифрование баз данных, защита от несанкционированного доступа
- Резервное копирование с защитой
- План реагирования на инциденты — 24 часа на уведомление РКН об утечке
5. Профилактический визит — без штрафов
Это формат, специально созданный для добровольной самоподготовки. Ключевые отличия от обычной проверки:
- РКН не выписывает штрафы по результатам визита
- Не выдаёт обязательных предписаний
- Даёт рекомендации и разъясняет требования
- От визита можно отказаться письменно за 3 рабочих дня до даты — без последствий
- Отказ от профилактики не повышает риск плановой проверки
Профилактический визит — хороший способ узнать слабые места своей системы без риска штрафа. Категория риска не меняется по итогам визита, в отличие от плановых и внеплановых проверок.
6. Внеплановая проверка
Самый неприятный сценарий. Время на подготовку — 24 часа.
Основания для внеплановой проверки:
- Жалоба субъекта ПД (бывший сотрудник, клиент, посетитель сайта)
- Утечка персональных данных, ставшая известной РКН
- Нарушения, выявленные ИИ-сканированием
- Поручение прокуратуры или вышестоящего органа
- Истечение срока выполнения предписания, выданного по результатам предыдущей проверки
Внеплановая проверка формально требует согласования с прокуратурой, но при наличии чётких оснований согласование занимает 1 рабочий день.
7. Чек-лист подготовки к проверке
- Запись в реестре операторов актуальна, сведения соответствуют реальной обработке
- Политика обработки ПД на сайте, доступна с любой страницы, обновлена в последние 12 месяцев
- Приказ о назначении ответственного за обработку ПД оформлен и подписан
- Положение об обработке и защите ПД утверждено приказом руководителя
- На каждую цель обработки — отдельное согласие субъекта (а не одно общее)
- Договоры с третьими лицами на обработку ПД содержат обязательные условия (ст. 6 152-ФЗ)
- Сайт не передаёт данные в Google Analytics, Meta Pixel и другие зарубежные сервисы
- Cookie с информированием и возможностью отказа
- Подготовлен план реагирования на инциденты: 24 часа на уведомление об утечке
- Бумажные носители ПД хранятся в сейфах или закрытых шкафах
- Доступ сотрудников к ПД ограничен по принципу минимальных привилегий
- Базы данных зашифрованы, есть резервное копирование
8. Что делать при получении уведомления о проверке
- Зафиксируйте дату получения и срок проверки — это критичная отправная точка
- Назначьте ответственного за взаимодействие с РКН (обычно — это лицо, ответственное за обработку ПД)
- Соберите полный пакет документов — лучше за неделю до проверки
- Проведите внутренний аудит сайта — устраните явные нарушения до прихода инспектора
- Подготовьте сотрудников: при опросе они должны знать политику, цели обработки, ответственного
- Подготовьте помещение для проверки — стол, доступ к компьютеру с базами, документы под рукой
- На случай вопросов — заранее проконсультируйтесь с юристом, специализирующимся на ПД
Не пытайтесь скрыть выявленные за неделю до проверки нарушения путём массового удаления данных или изменения политики задним числом. Это легко выявляется по логам сайта и архивам, такие действия квалифицируются как противодействие проверке (доп. штраф).
9. Штрафы по итогам проверки
По результатам проверки РКН составляет акт и при выявлении нарушений возбуждает административное дело. Размер штрафа зависит от состава нарушения по ст. 13.11 КоАП РФ.
| Нарушение | Часть | Юрлица |
|---|---|---|
| Обработка ПД без законных оснований | ч. 1 | 150–300 тыс. ₽ |
| Обработка без согласия | ч. 2 | 300–700 тыс. ₽ |
| Нет политики на сайте | ч. 3 | 30–60 тыс. ₽ |
| Нет уведомления в реестре | ч. 10 | 100–300 тыс. ₽ |
| Не уведомил об утечке | ч. 11 | 1–3 млн ₽ |
| Передача данных за рубеж (Google Analytics) | ч. 8 | 1–6 млн ₽ |
| Повторная передача за рубеж | ч. 9 | 6–18 млн ₽ |
| Утечка ПД (10–100 тыс. субъектов) | ч. 13 | 5–10 млн ₽ |
Штрафы по разным составам суммируются — каждое нарушение оплачивается отдельно. Например, отсутствие политики (60 тыс.) + нет уведомления (300 тыс.) + Google Analytics (6 млн) = более 6 млн ₽ за один акт проверки. Полный список — в статье «Штрафы за персональные данные с 30 мая 2025: полная таблица».
Хронология ключевых изменений
10. Частые вопросы
Только организации категорий чрезвычайно высокого и высокого риска. Категория складывается из группы тяжести (объёма и категорий обрабатываемых ПД) и группы вероятности (нарушений за последние 2–3 года). Конкретный список — в Приказе РКН №390 от 19.12.2025 и на rkn.gov.ru/activity/plans.
С 2026 года Роскомнадзор использует системы на базе ИИ для постоянного сканирования сайтов. Алгоритм проверяет наличие политики конфиденциальности, чекбоксы согласия, передачу данных за рубеж (Google Analytics, Meta Pixel), сведения об операторе. По выявленным нарушениям возбуждаются внеплановые проверки.
О плановой проверке РКН уведомляет за 30 календарных дней. О внеплановой — за 24 часа. О профилактическом визите — за 5 рабочих дней. От профилактического визита можно отказаться письменно за 3 дня до визита.
Уведомление в реестре операторов, политика обработки ПД, приказ о назначении ответственного, положение о защите ПД, согласия субъектов, договоры с третьими лицами на обработку, журналы доступа, акты уничтожения данных, документы о технических мерах защиты ИСПДн.
От плановой и внеплановой проверки отказаться нельзя — это административное правонарушение со штрафом 100–300 тыс. ₽ для юрлиц. От профилактического визита можно отказаться письменно за 3 рабочих дня до визита. Отказ от профилактики не повышает риск плановой проверки.