Как подготовиться к проверке Роскомнадзора по персональным данным
Проверки Роскомнадзора, ФСТЭК и ФСБ часто воспринимаются бизнесом как серьезный стресс. Однако основная задача регуляторов — не наказать компанию, а убедиться, что организация понимает правила работы с персональными данными и обеспечивает их защиту.
Сегодня практически любой бизнес обрабатывает персональные данные: это данные сотрудников, клиентов, пользователей сайта, кандидатов на вакансии, участников программ лояльности или CRM-систем. Поэтому большинство компаний автоматически становятся операторами персональных данных и обязаны соблюдать требования законодательства.
Проблемы обычно возникают не из-за самой проверки, а из-за формального отношения к безопасности. Документы могут быть устаревшими, процессы — не описанными, а технические меры защиты — внедренными лишь частично. В такой ситуации проверка почти всегда заканчивается предписанием или штрафом.
Разберемся, какие требования предъявляет законодательство, что именно проверяют регуляторы и как подготовить компанию к проверке.
Содержание:
Сегодня практически любой бизнес обрабатывает персональные данные: это данные сотрудников, клиентов, пользователей сайта, кандидатов на вакансии, участников программ лояльности или CRM-систем. Поэтому большинство компаний автоматически становятся операторами персональных данных и обязаны соблюдать требования законодательства.
Проблемы обычно возникают не из-за самой проверки, а из-за формального отношения к безопасности. Документы могут быть устаревшими, процессы — не описанными, а технические меры защиты — внедренными лишь частично. В такой ситуации проверка почти всегда заканчивается предписанием или штрафом.
Разберемся, какие требования предъявляет законодательство, что именно проверяют регуляторы и как подготовить компанию к проверке.
Содержание:
Команда редакторов "Гладиаторы ИБ"
Дата публикации: 21.03.2026
Время прочтения 8 минут
Время прочтения 8 минут
Что проверяют регуляторы в области обработки и защиты персональных данных
В России контроль за защитой персональных данных распределен между несколькими органами. Каждый из них отвечает за свою область безопасности.
Роскомнадзор контролирует законность обработки персональных данных. Его интересует, на каком основании компания собирает информацию, как она оформляет согласия пользователей, как хранит данные и соблюдает ли права субъектов.
ФСБ России проверяет использование криптографических средств защиты информации — например, систем шифрования и средств электронной подписи.
ФСТЭК России отвечает за техническую защиту информации: системы безопасности, средства защиты, модель угроз и реализацию мер информационной безопасности.
Хотя у каждого регулятора своя зона ответственности, на практике их требования пересекаются. Например, Роскомнадзор может запросить документы по модели угроз или мерам защиты, а ФСТЭК — проверить, как реализованы процессы обработки персональных данных.
Роскомнадзор контролирует законность обработки персональных данных. Его интересует, на каком основании компания собирает информацию, как она оформляет согласия пользователей, как хранит данные и соблюдает ли права субъектов.
ФСБ России проверяет использование криптографических средств защиты информации — например, систем шифрования и средств электронной подписи.
ФСТЭК России отвечает за техническую защиту информации: системы безопасности, средства защиты, модель угроз и реализацию мер информационной безопасности.
Хотя у каждого регулятора своя зона ответственности, на практике их требования пересекаются. Например, Роскомнадзор может запросить документы по модели угроз или мерам защиты, а ФСТЭК — проверить, как реализованы процессы обработки персональных данных.
Законодательство в области персональных данных
Работа с персональными данными регулируется целым набором законов и нормативных актов. Для бизнеса важно понимать, что требования распространяются не только на закон о персональных данных — они также содержатся в трудовом законодательстве, постановлениях правительства и отраслевых нормах.
Федеральный закон № 152-ФЗ «О персональных данных»
Это основной закон, регулирующий обработку персональных данных в России. Он определяет, что относится к персональным данным, кто считается оператором и какие обязанности возникают у компании.
Закон устанавливает ключевой принцип: персональные данные можно обрабатывать только при наличии законного основания и при соблюдении мер защиты информации.
Для бизнеса особенно важны следующие требования:
Нарушения требований закона чаще всего связаны с отсутствием согласий пользователей, неправильно оформленными документами или несоблюдением процедур обработки данных. За такие нарушения предусмотрены административные штрафы по статье 13.11 КоАП РФ (предусматривает дифференциацию ответственности в зависимости от последствий нарушения - для юридического лица это может быть штраф от 30 тысяч до 6 миллионов рублей, а при повторном нарушении — до 18 миллионов рублей, и даже оборотный штраф до 3% выручки, если нарушения происходят повторно. А штраф для должностного лица составляет от десятков тысяч рублей, но при комбинации нарушений может быть более 300 тыс., а при повторном нарушении может достигать даже 2 миллионов рублей).
Закон устанавливает ключевой принцип: персональные данные можно обрабатывать только при наличии законного основания и при соблюдении мер защиты информации.
Для бизнеса особенно важны следующие требования:
- определить цели обработки персональных данных
- получать согласие субъекта данных или иметь другое законное основание обработки
- уведомить Роскомнадзор о начале обработки
- разработать внутренние документы по защите данных
- ограничить доступ сотрудников к персональным данным
- обеспечить безопасность информационных систем
Нарушения требований закона чаще всего связаны с отсутствием согласий пользователей, неправильно оформленными документами или несоблюдением процедур обработки данных. За такие нарушения предусмотрены административные штрафы по статье 13.11 КоАП РФ (предусматривает дифференциацию ответственности в зависимости от последствий нарушения - для юридического лица это может быть штраф от 30 тысяч до 6 миллионов рублей, а при повторном нарушении — до 18 миллионов рублей, и даже оборотный штраф до 3% выручки, если нарушения происходят повторно. А штраф для должностного лица составляет от десятков тысяч рублей, но при комбинации нарушений может быть более 300 тыс., а при повторном нарушении может достигать даже 2 миллионов рублей).
Трудовой кодекс РФ
Трудовой кодекс регулирует обработку персональных данных сотрудников. В нем закреплено, что работодатель обязан защищать персональные данные работников и использовать их только в рамках трудовых отношений.
Для бизнеса это означает необходимость выстроить корректную работу с кадровой информацией. Компания должна определить порядок хранения личных дел сотрудников, ограничить доступ к ним и обеспечить конфиденциальность данных.
На практике нарушения возникают, когда кадровые документы хранятся без ограничений доступа, сотрудники кадровых служб не ознакомлены с правилами обработки данных или организация не разработала положение о защите персональных данных работников.
Для бизнеса это означает необходимость выстроить корректную работу с кадровой информацией. Компания должна определить порядок хранения личных дел сотрудников, ограничить доступ к ним и обеспечить конфиденциальность данных.
На практике нарушения возникают, когда кадровые документы хранятся без ограничений доступа, сотрудники кадровых служб не ознакомлены с правилами обработки данных или организация не разработала положение о защите персональных данных работников.
Постановление Правительства РФ № 687
Этот документ регулирует обработку персональных данных без использования автоматизированных средств, то есть на бумажных носителях.
Многие компании ошибочно считают, что требования безопасности касаются только информационных систем. Однако личные дела сотрудников, анкеты клиентов или договоры также относятся к персональным данным и должны храниться с соблюдением требований безопасности.
Организация обязана определить порядок хранения бумажных документов, ограничить доступ к ним и установить правила уничтожения данных. Если документы с персональными данными лежат в открытом доступе или к ним могут получить доступ посторонние лица, это считается нарушением законодательства.
Многие компании ошибочно считают, что требования безопасности касаются только информационных систем. Однако личные дела сотрудников, анкеты клиентов или договоры также относятся к персональным данным и должны храниться с соблюдением требований безопасности.
Организация обязана определить порядок хранения бумажных документов, ограничить доступ к ним и установить правила уничтожения данных. Если документы с персональными данными лежат в открытом доступе или к ним могут получить доступ посторонние лица, это считается нарушением законодательства.
Постановление Правительства РФ № 1119
Этот нормативный акт определяет требования к защите персональных данных в информационных системах.
Документ вводит понятие уровня защищенности информационной системы и определяет, какие меры безопасности должна реализовать компания в зависимости от типа данных и угроз.
Для бизнеса это означает необходимость провести анализ рисков и определить уровень защищенности системы. После этого организация должна внедрить соответствующие меры защиты — например, контроль доступа, антивирусную защиту, средства обнаружения вторжений и системы журналирования событий безопасности.
Если система обработки персональных данных не защищена должным образом, регуляторы могут потребовать модернизации инфраструктуры или временно ограничить обработку данных.
Документ вводит понятие уровня защищенности информационной системы и определяет, какие меры безопасности должна реализовать компания в зависимости от типа данных и угроз.
Для бизнеса это означает необходимость провести анализ рисков и определить уровень защищенности системы. После этого организация должна внедрить соответствующие меры защиты — например, контроль доступа, антивирусную защиту, средства обнаружения вторжений и системы журналирования событий безопасности.
Если система обработки персональных данных не защищена должным образом, регуляторы могут потребовать модернизации инфраструктуры или временно ограничить обработку данных.
Федеральный закон № 115-ФЗ
Этот закон регулирует противодействие легализации доходов и финансированию терроризма. Он напрямую не относится к защите персональных данных, однако обязывает многие организации собирать и хранить информацию о клиентах.
Особенно актуален он для банков, финансовых организаций, страховых компаний и других компаний финансового сектора.
В рамках закона компании обязаны идентифицировать клиентов, хранить данные о финансовых операциях и обеспечивать безопасность этой информации. Если защита данных организована неправильно, это может привести к санкциям со стороны регуляторов. Кстати, при хранении финансовой информации следует также опираться на нормы безопасности ЦБ РФ (например, ГОСТ 57580).
Особенно актуален он для банков, финансовых организаций, страховых компаний и других компаний финансового сектора.
В рамках закона компании обязаны идентифицировать клиентов, хранить данные о финансовых операциях и обеспечивать безопасность этой информации. Если защита данных организована неправильно, это может привести к санкциям со стороны регуляторов. Кстати, при хранении финансовой информации следует также опираться на нормы безопасности ЦБ РФ (например, ГОСТ 57580).
Приказ ФСТЭК № 117 и 21
Приказ ФСТЭК 117 (вступает в силу с 1 марта 2026г) утверждает новые требования к защите информации в государственных информационных системах (ГИС), системах госорганов, ГУП и госучреждений. Он заменяет старый приказ №17, ужесточая сроки устранения уязвимостей (критические — 24 часа), вводя контроль за системами автоматизации обработки на базе искусственного интеллекта и требуя непрерывного мониторинга безопасности.
Приказ ФСТЭК России № 21 устанавливает обязательные организационные и технические меры по обеспечению безопасности персональных данных (ПДн) при их обработке в информационных системах (ИСПДн). Документ определяет состав мер, необходимых для защиты ПДн в зависимости от установленного уровня защищенности (от 1 до 4).
Приказ ФСТЭК России № 21 устанавливает обязательные организационные и технические меры по обеспечению безопасности персональных данных (ПДн) при их обработке в информационных системах (ИСПДн). Документ определяет состав мер, необходимых для защиты ПДн в зависимости от установленного уровня защищенности (от 1 до 4).
Подзаконные акты Роскомнадзора и Правительства РФ
Кроме федеральных законов, существует большое количество подзаконных актов — приказов Роскомнадзора, методических рекомендаций и постановлений правительства.
Они уточняют требования к:
Регуляторы регулярно обновляют требования, поэтому компаниям важно следить за изменениями законодательства и периодически проводить аудит соответствия требованиям.
Они уточняют требования к:
- уведомлению об обработке персональных данных
- организации работы с субъектами данных
- реализации мер защиты информации
- ведению документации
Регуляторы регулярно обновляют требования, поэтому компаниям важно следить за изменениями законодательства и периодически проводить аудит соответствия требованиям.
Виды проверок
Проверки регуляторов могут отличаться по форме и основаниям.
Наиболее известны плановые и внеплановые проверки. Плановые проверки проводятся по заранее утвержденному графику, однако в последние годы основной акцент сделан на внеплановые проверки. Они могут проводиться при утечке данных, жалобах граждан или подозрении на нарушение законодательства.
Кроме этого, существуют несколько форм проверочных мероприятий.
Профилактический визит проводится для разъяснения требований законодательства. Обычно он не сопровождается санкциями и позволяет компании понять, какие требования необходимо выполнить.
Инспекционный визит — это краткая проверка состояния информационной безопасности компании. Она может проводиться без длительной подготовки и направлена на выявление очевидных нарушений.
Документарная проверка предполагает анализ документов компании без выезда инспекции. Регулятор запрашивает пакет документов и оценивает соответствие законодательству.
Выездная проверка является наиболее масштабной формой контроля. В этом случае инспекторы посещают компанию, анализируют инфраструктуру, проверяют информационные системы и оценивают реальные процессы работы с персональными данными.
Наиболее известны плановые и внеплановые проверки. Плановые проверки проводятся по заранее утвержденному графику, однако в последние годы основной акцент сделан на внеплановые проверки. Они могут проводиться при утечке данных, жалобах граждан или подозрении на нарушение законодательства.
Кроме этого, существуют несколько форм проверочных мероприятий.
Профилактический визит проводится для разъяснения требований законодательства. Обычно он не сопровождается санкциями и позволяет компании понять, какие требования необходимо выполнить.
Инспекционный визит — это краткая проверка состояния информационной безопасности компании. Она может проводиться без длительной подготовки и направлена на выявление очевидных нарушений.
Документарная проверка предполагает анализ документов компании без выезда инспекции. Регулятор запрашивает пакет документов и оценивает соответствие законодательству.
Выездная проверка является наиболее масштабной формой контроля. В этом случае инспекторы посещают компанию, анализируют инфраструктуру, проверяют информационные системы и оценивают реальные процессы работы с персональными данными.
Проверка Роскомнадзора
Проверки Роскомнадзора касаются практически любого бизнеса, поскольку большинство компаний обрабатывают персональные данные сотрудников или клиентов.
Основная задача регулятора — убедиться, что организация законно обрабатывает данные и соблюдает права субъектов персональных данных.
Во время проверки инспекция анализирует несколько направлений.
Прежде всего проверяется уведомление об обработке персональных данных. Компания должна зарегистрироваться в реестре операторов персональных данных и указать, какие категории данных она обрабатывает.
Также регулятор проверяет локальные документы компании. К ним относятся политика обработки персональных данных, положения о защите информации, приказы о назначении ответственных лиц и регламенты обработки данных.
Особое внимание уделяется согласиям субъектов персональных данных. Они должны быть оформлены корректно и содержать обязательные реквизиты, предусмотренные законом.
Отдельный блок проверки касается работы сайта компании. Если на сайте есть формы обратной связи, личные кабинеты или другие сервисы, собирающие данные пользователей, на сайте должна быть опубликована политика обработки персональных данных и механизм получения согласия пользователя.
Регулятор также может проверить, как компания реагирует на запросы пользователей о доступе к их данным или об их удалении.
Основная задача регулятора — убедиться, что организация законно обрабатывает данные и соблюдает права субъектов персональных данных.
Во время проверки инспекция анализирует несколько направлений.
Прежде всего проверяется уведомление об обработке персональных данных. Компания должна зарегистрироваться в реестре операторов персональных данных и указать, какие категории данных она обрабатывает.
Также регулятор проверяет локальные документы компании. К ним относятся политика обработки персональных данных, положения о защите информации, приказы о назначении ответственных лиц и регламенты обработки данных.
Особое внимание уделяется согласиям субъектов персональных данных. Они должны быть оформлены корректно и содержать обязательные реквизиты, предусмотренные законом.
Отдельный блок проверки касается работы сайта компании. Если на сайте есть формы обратной связи, личные кабинеты или другие сервисы, собирающие данные пользователей, на сайте должна быть опубликована политика обработки персональных данных и механизм получения согласия пользователя.
Регулятор также может проверить, как компания реагирует на запросы пользователей о доступе к их данным или об их удалении.
Проверка ФСБ
ФСБ отвечает за контроль использования криптографических средств защиты информации.
Во время проверки инспекция может анализировать используемые средства шифрования, наличие лицензий на использование криптографических средств и порядок их эксплуатации.
Проверяется не только документация, но и фактическое использование средств защиты. Например, если криптографическое средство установлено, но используется неправильно или частично, это может стать основанием для предписания.
Также регулятор обращает внимание на порядок хранения криптографических ключей и доступ к оборудованию, на котором используются средства защиты информации (например, когда флэшка с ЭЦП включена постоянно в компьютер главного бухгалтера, который не просто установлен в общедоступном месте, но и на котором удаленно ИТ-подрядчик что-то настраивает по “программе удаленного управления компьютером”).
Во время проверки инспекция может анализировать используемые средства шифрования, наличие лицензий на использование криптографических средств и порядок их эксплуатации.
Проверяется не только документация, но и фактическое использование средств защиты. Например, если криптографическое средство установлено, но используется неправильно или частично, это может стать основанием для предписания.
Также регулятор обращает внимание на порядок хранения криптографических ключей и доступ к оборудованию, на котором используются средства защиты информации (например, когда флэшка с ЭЦП включена постоянно в компьютер главного бухгалтера, который не просто установлен в общедоступном месте, но и на котором удаленно ИТ-подрядчик что-то настраивает по “программе удаленного управления компьютером”).
Проверка ФСТЭК
ФСТЭК контролирует техническую защиту информации и реализацию мер информационной безопасности.
В ходе проверки регулятор анализирует, как в компании организована система защиты информации. Проверяется наличие модели угроз, классификация информационных систем и реализация мер защиты.
Инспекция оценивает, какие средства защиты используются в инфраструктуре компании, сертифицированы ли они и соответствуют ли требованиям регуляторов.
Также анализируются процессы контроля безопасности: ведение журналов событий, мониторинг инцидентов, управление доступом пользователей и защита сетевой инфраструктуры.
Если меры защиты реализованы формально или не соответствуют требованиям законодательства, компания может получить предписание о модернизации системы безопасности.
В ходе проверки регулятор анализирует, как в компании организована система защиты информации. Проверяется наличие модели угроз, классификация информационных систем и реализация мер защиты.
Инспекция оценивает, какие средства защиты используются в инфраструктуре компании, сертифицированы ли они и соответствуют ли требованиям регуляторов.
Также анализируются процессы контроля безопасности: ведение журналов событий, мониторинг инцидентов, управление доступом пользователей и защита сетевой инфраструктуры.
Если меры защиты реализованы формально или не соответствуют требованиям законодательства, компания может получить предписание о модернизации системы безопасности.
Как подготовиться к проверке регулятора
Подготовка к проверке должна начинаться с анализа того, как в компании организована работа с персональными данными.
Прежде всего необходимо определить, какие данные обрабатываются, где они хранятся и кто имеет к ним доступ. Часто компании обнаруживают, что данные хранятся в нескольких системах, а процессы их обработки нигде не описаны. Поэтому начинать надо с карты потоков данных и местах их хранения.
Следующим шагом является актуализация документации. У компании должны быть разработаны внутренние документы, регламентирующие обработку персональных данных и меры их защиты. Эти документы должны отражать реальные процессы работы с данными. Не надо копировать шаблоны или “рисовать красиво, чтобы было”. Необходимо внедрить и описать минимально необходимый набор мер - это действительно важно.
В этом и заключается проверка технической стороны защиты информации. Информационные системы должны быть защищены с использованием средств контроля доступа, антивирусной защиты, журналирования событий и других механизмов безопасности.
Отдельное внимание следует уделить обучению сотрудников. Даже при наличии всех документов и средств защиты человеческий фактор остается одной из основных причин утечек данных.
Компании, которые регулярно проводят внутренние аудиты и анализируют риски информационной безопасности, обычно проходят проверки регуляторов без серьезных проблем.
Прежде всего необходимо определить, какие данные обрабатываются, где они хранятся и кто имеет к ним доступ. Часто компании обнаруживают, что данные хранятся в нескольких системах, а процессы их обработки нигде не описаны. Поэтому начинать надо с карты потоков данных и местах их хранения.
Следующим шагом является актуализация документации. У компании должны быть разработаны внутренние документы, регламентирующие обработку персональных данных и меры их защиты. Эти документы должны отражать реальные процессы работы с данными. Не надо копировать шаблоны или “рисовать красиво, чтобы было”. Необходимо внедрить и описать минимально необходимый набор мер - это действительно важно.
В этом и заключается проверка технической стороны защиты информации. Информационные системы должны быть защищены с использованием средств контроля доступа, антивирусной защиты, журналирования событий и других механизмов безопасности.
Отдельное внимание следует уделить обучению сотрудников. Даже при наличии всех документов и средств защиты человеческий фактор остается одной из основных причин утечек данных.
Компании, которые регулярно проводят внутренние аудиты и анализируют риски информационной безопасности, обычно проходят проверки регуляторов без серьезных проблем.
Чек-лист подготовки к проверке
Проверка готовности | Что необходимо проверить |
Регистрация оператора | Подано уведомление в Роскомнадзор и данные актуальны |
Документы | Разработана политика обработки персональных данных и внутренние регламенты |
Ответственные лица | Назначен сотрудник, отвечающий за обработку и защиту данных |
Согласия субъектов | Согласия пользователей оформлены корректно |
Работа сайта | На сайте размещена политика конфиденциальности и корректно собираются согласия |
Система защиты | Реализованы меры защиты информации в информационных системах |
Контроль доступа | Ограничен доступ сотрудников к персональным данным |
Журналирование | Ведется учет событий безопасности и действий пользователей |
Реагирование на инциденты | Определены процедуры реагирования на утечки данных |
Внутренний аудит | Периодически проводится проверка соответствия требованиям законодательства |
Заключение
Проверка Роскомнадзора — это не только контроль со стороны государства, но и возможность для компании оценить собственную систему защиты данных. Организации, которые понимают свои процессы обработки информации и регулярно проводят аудит безопасности, обычно проходят такие проверки без последствий.
Эксперты нашей команды помогают компаниям выстроить систему защиты персональных данных и подготовиться к проверкам регуляторов. Мы проводим аудит обработки данных, анализируем инфраструктуру информационной безопасности, разрабатываем комплект документов и помогаем внедрить необходимые меры защиты.
Такая подготовка позволяет не только снизить риски штрафов, но и повысить общий уровень безопасности бизнеса. Поверьте, что системы защиты (в частности для персональных данных) - это не пустая формальность, грамотная их работа действительно важна для устойчивости работы бизнеса.
Эксперты нашей команды помогают компаниям выстроить систему защиты персональных данных и подготовиться к проверкам регуляторов. Мы проводим аудит обработки данных, анализируем инфраструктуру информационной безопасности, разрабатываем комплект документов и помогаем внедрить необходимые меры защиты.
Такая подготовка позволяет не только снизить риски штрафов, но и повысить общий уровень безопасности бизнеса. Поверьте, что системы защиты (в частности для персональных данных) - это не пустая формальность, грамотная их работа действительно важна для устойчивости работы бизнеса.
Хочу составить стратегию безопасности для компании!
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности