Как подготовиться к проверке Роскомнадзора: что проверяют и как пройти без «сюрпризов»

Полное руководство для операторов персональных данных в 2025–2026 году

Почему тема важна прямо сейчас

Персональные данные стали предметом пристального государственного внимания. За первое полугодие 2024 года в России зафиксировано почти 1 млрд утечек персональных данных, страна заняла второе место в мире по этому показателю [1]. В ответ законодатель резко ужесточил регулирование: новые штрафы, новые требования к согласиям, обязательная локализация, автоматический мониторинг.

Роскомнадзор (РКН) — главный регулятор в области персональных данных — получил расширенный арсенал инструментов. Проверка больше не «если», а «когда» [2]. Под её действие подпадают все, кто собирает хотя бы один email, номер телефона или паспортные данные: ИП, малый бизнес, средние и крупные компании, некоммерческие организации.

Эта статья — практическое руководство. Она объясняет, как устроены проверки, что именно смотрят инспекторы, какие типичные ошибки обходятся дорого, и как системно подготовиться, не дожидаясь визита регулятора.

Часть 1. Правовая основа и регуляторная среда

Ключевые нормативные акты

Система регулирования персональных данных в России строится на нескольких уровнях.

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [3] — основа всей системы. Он определяет понятие оператора, права субъектов, обязанности операторов, принципы обработки и уведомительный порядок. Закон регулярно дополняется: только в 2025 году в него вносились изменения в феврале, мае, июне и июле.

Постановление Правительства РФ от 29.06.2021 № 1046 устанавливает порядок проведения федерального государственного контроля (надзора) за обработкой персональных данных. В сентябре 2025 года в него внесены поправки Постановлением Правительства РФ от 27.08.2025 № 1286 [4].

Приказ ФСТЭК России от 18.02.2013 № 21 (с изменениями от 14.05.2020) определяет состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах (ИСПДн). Это базовый технический регламент для всех операторов [5].

Постановление Правительства РФ от 01.11.2012 № 1119 устанавливает уровни защищённости персональных данных (УЗ1–УЗ4) в зависимости от типа обрабатываемых данных и числа субъектов.

Федеральный закон от 30.11.2024 № 420-ФЗ — закон об ужесточении ответственности. Вступил в силу 30 мая 2025 года [6].

Федеральный закон от 24.06.2025 № 156-ФЗ — новые требования к оформлению согласия на обработку персональных данных, вступили в силу 1 сентября 2025 года.

Кто является оператором персональных данных

Оператором является любое юридическое лицо или ИП, которое самостоятельно или совместно с другими лицами организует и/или осуществляет обработку персональных данных, а также определяет цели обработки [3]. На практике это означает: если у вас есть форма заявки на сайте, база сотрудников в Excel, CRM с клиентами или просто адресная книга контрагентов — вы оператор персональных данных и подпадаете под действие 152-ФЗ.

Роль регуляторов: кто что проверяет

Система надзора в области персональных данных разделена между несколькими органами.

Роскомнадзор — основной регулятор, проверяет наличие документов, правильность обработки персональных данных, работу сайтов [4].

ФСТЭК России осуществляет контроль за выполнением технических и организационных мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, прежде всего для государственных и критически важных организаций.

ФСБ России контролирует использование криптографических средств защиты персональных данных.

Прокуратура проводит проверки по жалобам граждан, часто совместно с Роскомнадзором.

Часть 2. Виды проверок и как они проходят

Типы проверочных мероприятий

Роскомнадзор применяет несколько форм надзора [2]:

Профилактические мероприятия — беседы, консультации, предупреждения. Не влекут штрафов, но показывают компании «на карандаш».

Документарные проверки — запрос документов без выезда. Инспектор направляет письмо с перечнем документов, которые необходимо предоставить в установленный срок. Проверяется соответствие документации требованиям закона.

Выездные проверки — инспектор приезжает на место. Длится до 20 рабочих дней [7]. Проверяются не только документы, но и реальные процессы: как хранятся данные, кто имеет к ним доступ, как организован инструктаж сотрудников.

Наблюдательные проверки (дистанционные) — с 2025 года РКН вправе проводить выездные проверки онлайн с помощью приложения «Инспектор» и средств аудио- и видеофиксации [2].

Автоматизированный мониторинг сайтов — Роскомнадзор с 1 июля 2025 года проверяет сайты с использованием ИИ без предупреждения владельцев веб-ресурсов [8].

Основания для проверки

С 1 января 2025 года мораторий на внеплановые проверки по персональным данным отменён [9]. Внеплановые проверки инициируются по трём основным причинам:

Жалобы граждан или конкурентов. Если на компанию поступило достаточное количество обращений о незаконной рассылке, утечке или иных нарушениях — это автоматически становится основанием для проверки [6].

Утечка персональных данных. С 2024 года операторы обязаны самостоятельно уведомлять РКН об инцидентах в течение 24 часов. Утечка, опубликованная в открытых источниках, немедленно попадает в поле зрения регулятора [2].

Индикаторы риска. Приказом Минцифры от 01.08.2024 № 682 перечень индикаторов риска пополнился двумя признаками неуведомления Роскомнадзора о трансграничной передаче персональных данных [10].

Плановые проверки: что изменилось

В 2025 году плановых проверок по персональным данным не проводилось в связи с отсутствием объектов контроля, отнесённых к чрезвычайно высокой и высокой категории риска [4]. Однако с сентября 2025 года Роскомнадзор применяет риск-ориентированную модель, которая автоматически вычисляет кандидатов на проверку. В декабре 2025 года регулятор опубликовал перечень организаций для профилактических мероприятий на 2026 год [11].

Часть 3. Что проверяет Роскомнадзор: детальный разбор

Роскомнадзор оценивает два ключевых блока: документы и техническую реализацию. Оба должны быть в порядке [2]. Важный нюанс, который эксперты подчёркивают постоянно: инспекторы не просто формально оценивают наличие документов, а сопоставляют написанное в них с реальными процессами компании [10]. Шаблонные документы больше не работают.

Блок 1. Реестр и уведомление

Первое, что проверяет инспектор — включена ли компания в реестр операторов персональных данных Роскомнадзора [7]. Уведомление о начале обработки персональных данных должно быть подано до начала любой работы с данными (ст. 22 Федерального закона № 152-ФЗ). Исключения из этого требования строго ограничены.

Типичная ошибка: компания расширила виды обрабатываемых данных, сменила адрес или начала передавать данные новым подрядчикам, но не обновила уведомление в РКН. Инспектор сверяет реестр с фактическим положением дел [12].

Штраф за неуведомление или несвоевременное уведомление с 30 мая 2025 года: для организаций и ИП — от 100 000 до 300 000 рублей [6].

Блок 2. Обязательный пакет документов

По данным экспертов, полный комплект документации оператора персональных данных по 152-ФЗ включает более 60 документов [13]. Ниже — минимум, который инспектор проверяет в первую очередь:

Политика обработки персональных данных — главный документ, который запрашивается при любой проверке. Должна быть в открытом доступе (на сайте) и описывать реальные процессы компании, а не скопированный шаблон с реквизитами другой организации [12]. С 1 сентября 2025 года — обязательные обновления в соответствии с Федеральным законом от 24.06.2025 № 156-ФЗ.

Уведомление об обработке персональных данных — должно быть актуальным и соответствовать форме, утверждённой Приказом Роскомнадзора от 28.10.2022 № 180.

Приказ о назначении ответственного за обработку персональных данных — пофамильный, с конкретными полномочиями (ст. 22.1 Федерального закона № 152-ФЗ).

Согласия субъектов персональных данных на обработку. С 1 сентября 2025 года согласие на обработку ПДн оформляется как отдельный документ, не совмещённый с иными документами, которые подтверждает или подписывает человек [14].

Журналы учёта: обращений субъектов персональных данных, журнал учёта носителей информации, журналы инструктажей по мерам безопасности.

Инструкции для сотрудников, работающих с данными.

Положение об ответственности за разглашение персональных данных.

Соглашения о неразглашении персональных данных.

Модель угроз безопасности персональных данных при их обработке в ИСПДн (п. 1 ч. 2 ст. 19 Федерального закона № 152-ФЗ) [15].

Акт об уничтожении персональных данных (по требованиям Приказа Роскомнадзора от 28.10.2022 № 179).

Блок 3. Сайт и онлайн-присутствие

С 1 июля 2025 года Роскомнадзор автоматически проверяет сайты на наличие запрещённых виджетов, форм, чат-ботов, скриптов. Под удар попадают Google Analytics, Google Карты, reCAPTCHA, виджеты заблокированных мессенджеров, SaaS-сервисы и другие зарубежные IT-решения, нарушающие правила трансграничной передачи [8].

Инспектор проверяет сайт на предмет следующего:

Наличие политики конфиденциальности в открытом доступе — обязательное требование, нарушение которого видно без выезда [2].

Корректность форм сбора данных: наличие чекбокса с согласием на обработку персональных данных, ссылки на политику конфиденциальности. Отсутствие этих элементов — самая частая причина штрафов по итогам автоматического сканирования.

Cookie-баннер с возможностью отказа от использования файлов cookie.

Хостинг на российских серверах. С 1 июля 2025 года первичный сбор данных россиян должен происходить на сервере в России. Использование иностранных серверов и облаков приравнивается к трансграничной передаче [16].

Отсутствие запрещённых сторонних скриптов, которые передают данные за рубеж без надлежащего уведомления.

Статистика сканирования впечатляет: к началу сентября 2024 года за шесть месяцев автоматической работы было проверено около 70 000 сайтов, составлено около 10 000 протоколов о нарушениях — каждый седьмой сайт нарушал требования 152-ФЗ [17].

Блок 4. Трансграничная передача данных

Использование иностранных сервисов — аналитики, CRM, email-рассылок — без надлежащего уведомления о трансграничной передаче персональных данных регулярно становится поводом для проверки [2].

Трансграничная передача — это не только явная отправка в зарубежную CRM, но и автоматическая передача через формы, скрипты, пиксели, email-сервисы, платёжные шлюзы или cookie [18]. Даже Google Forms с сохранением данных в Google Sheets считается трансграничной передачей.

Процедура уведомления: до начала передачи данных за рубеж необходимо подать уведомление в Роскомнадзор онлайн через официальный сайт. Если страна назначения не включена в перечень стран, обеспечивающих адекватную защиту, нужно дождаться ответа регулятора (до 10 рабочих дней) [16].

Штрафы за нарушение правил трансграничной передачи: для организаций и ИП от 1 до 6 млн рублей, при повторном нарушении до 18 млн рублей [8].

Блок 5. Технические меры защиты

Технические требования к защите персональных данных определяются уровнем защищённости (УЗ1–УЗ4), который устанавливается оператором исходя из типа данных и числа субъектов (Постановление Правительства РФ от 01.11.2012 № 1119). Приказ ФСТЭК России № 21 устанавливает конкретный набор мер для каждого уровня [5].

К обязательным техническим мерам для большинства операторов относятся:

Разграничение доступа к персональным данным по принципу минимально необходимых привилегий.

Шифрование передаваемых данных (HTTPS на всех формах сбора).

Антивирусная защита.

Регистрация событий безопасности (логирование).

Резервное копирование.

Управление конфигурацией информационных систем.

Оценка эффективности реализованных мер по обеспечению безопасности персональных данных не реже одного раза в три года [5].

Блок 6. Уведомление об утечках

С 2024 года операторы обязаны уведомлять Роскомнадзор об утечке персональных данных в течение 24 часов с момента обнаружения. При утечке Роскомнадзор проверяет: были ли приняты меры защиты, уведомил ли оператор РКН в установленный срок, уведомил ли пострадавших субъектов [6].

Штраф за неуведомление об утечке с 30 мая 2025 года: для организаций и ИП от 1 до 3 млн рублей [6].

Часть 4. Новая шкала штрафов с 30 мая 2025 года

Федеральный закон от 30.11.2024 № 420-ФЗ кардинально изменил систему санкций [6]. Ниже — ключевые параметры для юридических лиц и ИП (по состоянию на 2025 год):

Неуведомление РКН о начале обработки персональных данных: от 100 000 до 300 000 рублей (ч. 10 ст. 13.11 КоАП РФ).

Неуведомление об утечке: от 1 до 3 млн рублей (ч. 11 ст. 13.11 КоАП РФ).

Утечка данных от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов: от 3 до 5 млн рублей (ч. 12 ст. 13.11 КоАП РФ).

Утечка данных от 10 000 до 100 000 субъектов: от 5 до 10 млн рублей (ч. 13 ст. 13.11 КоАП РФ).

Утечка данных свыше 100 000 субъектов: от 10 до 15 млн рублей (ч. 14 ст. 13.11 КоАП РФ).

Повторная утечка (оборотный штраф): от 1% до 3% годовой выручки, не менее 20–25 млн рублей, но не более 500 млн рублей.

Утечка биометрических данных: от 15 до 20 млн рублей, при повторном нарушении — оборотный штраф [6].

Нарушение правил трансграничной передачи: от 1 до 6 млн рублей, при повторном нарушении до 18 млн рублей.

Важный момент: штрафы суммируются. Если инспектор нашёл три нарушения — назначают три отдельных штрафа. Для среднего бизнеса итоговая сумма легко перевалит за миллион рублей [2].

Часть 5. Как подготовиться: пошаговый план

Шаг 1. Проверьте статус в реестре операторов

Войдите на сайт Роскомнадзора и проверьте наличие вашей организации в реестре по ИНН. Если компании нет — немедленно подайте уведомление. Если данные устарели (изменился адрес, появились новые виды обработки, новые ИСПДн) — обновите уведомление [1].

Шаг 2. Проведите инвентаризацию персональных данных

Ответьте на вопросы: какие персональные данные и где обрабатываются в организации? Это данные сотрудников (HR), клиентов (CRM, 1С), подрядчиков (договоры), посетителей сайта (формы заявок)? Какие информационные системы задействованы? Кто имеет доступ к каким данным?

Инвентаризация — фундамент для всего остального. Без неё невозможно составить корректное уведомление в РКН, разработать актуальную политику или оценить уровень защищённости ИСПДн. Именно здесь компании чаще всего делают ошибку: документы описывают устаревшую картину, а реальные процессы давно изменились.

Шаг 3. Приведите документацию в порядок

Разработайте или обновите полный комплект документов. Политика конфиденциальности и политика обработки персональных данных должны отражать реальную деятельность компании, а не быть шаблоном. Инспектор внимательно читает эти документы [12].

Особое внимание — согласиям на обработку персональных данных. С 1 сентября 2025 года согласие оформляется строго как отдельный документ. Несоблюдение формы — самостоятельное нарушение [14].

Шаг 4. Проверьте и «почистите» сайт

Проведите технический аудит сайта до того, как это сделает Роскомнадзор:

Убедитесь, что все формы сбора данных сопровождаются корректным согласием.

Проверьте, какие внешние скрипты и сервисы подключены — не передают ли они данные за рубеж.

Убедитесь, что хостинг находится на российских серверах.

Если используете зарубежные сервисы — подайте уведомление о трансграничной передаче или замените на российские аналоги.

Проверьте корректность cookie-баннера.

Убедитесь, что политика конфиденциальности доступна по прямой ссылке с любой страницы, где собираются данные [16].

Шаг 5. Оцените технические меры защиты

Определите уровень защищённости ваших ИСПДн по Постановлению Правительства № 1119. Реализуйте соответствующий набор мер по Приказу ФСТЭК № 21. Проведите оценку эффективности реализованных мер (самостоятельно или с привлечением лицензиата ФСТЭК) [5].

Шаг 6. Подготовьте персонал

Инспектор вправе провести опрос сотрудников. Если персонал не проходил инструктаж — это явный признак отсутствия системы защиты данных в компании [12]. Проведите обязательный инструктаж всех сотрудников, работающих с персональными данными, задокументируйте его в журнале.

Шаг 7. Настройте процедуру реагирования на инциденты

Утвердите регламент действий при утечке персональных данных. Сотрудники должны знать: кому сообщить, что зафиксировать, как уведомить Роскомнадзор в течение 24 часов. Протестируйте процедуру [6].

Шаг 8. Организуйте регулярный внутренний контроль

Эксперты рекомендуют проводить внутренний правовой и технический аудит системы защиты персональных данных не реже одного раза в квартал [19]. Это позволяет замечать новые риски (появление новых полей в базах, новые интеграции с подрядчиками, смена ИТ-инфраструктуры) до того, как они превратятся в нарушение.

Часть 6. Типичные ошибки и как их избежать

Ошибка 1. Шаблонная документация

Одна из самых частых и дорогих ошибок — скачать шаблон политики конфиденциальности из интернета и опубликовать «как есть», с реквизитами другой компании, устаревшими ссылками или несоответствующими целями обработки [12]. Инспектор такое замечает сразу. Документы должны описывать реальные процессы конкретной организации.

Ошибка 2. Согласие «встроено» в другой документ

Нередкая практика — встраивать форму согласия в текст Политики или Пользовательского соглашения. С 1 сентября 2025 года это прямое нарушение закона: согласие оформляется отдельно [14].

Ошибка 3. Избыточный сбор данных

Форма заявки собирает паспортные данные, хотя для обратной связи достаточно телефона. Закон требует собирать только то, что нужно для конкретной цели (принцип минимизации данных, ст. 5 Федерального закона № 152-ФЗ) [3].

Ошибка 4. Игнорирование трансграничной передачи

Google Analytics, AmoCRM, Mailchimp, Notion, Dropbox — всё это зарубежные сервисы, использование которых без уведомления РКН является нарушением. Особенно опасен «серый» трафик: данные могут уходить за рубеж через фоновые скрипты, о которых веб-разработчик давно забыл, а владелец бизнеса не знает [18].

Ошибка 5. Устаревшее уведомление в РКН

Компания давно сменила адрес, добавила новые виды данных или начала пользоваться новыми ИСПДн, но не обновила уведомление. Это создаёт разрыв между реестром и реальностью, который инспектор сразу заметит [12].

Ошибка 6. Передача данных третьим лицам без согласия

В 2025 году Арбитражный суд Нижегородской области подтвердил предписание Роскомнадзора компании ПАО «ТНС энерго Н. Новгород»: передача данных клиентов контрагентам без прямого согласия субъекта незаконна, даже если такая передача продиктована договорными отношениями [20].

Ошибка 7. Необученный персонал

Если сотрудники не знают, что такое персональные данные, как реагировать на запрос субъекта или инцидент, — это системный провал в глазах инспектора. Опрос персонала входит в стандартную программу выездной проверки.

Часть 7. Как проходит проверка: сценарий изнутри

Понимание сценария помогает не паниковать и правильно себя вести.

При документарной проверке компания получает запрос РКН с перечнем документов и срок на их предоставление. Необходимо собрать документы, проверить их актуальность и направить в установленный срок. Противодействие проверке само по себе является нарушением.

При выездной проверке инспектор прибывает по юридическому адресу или фактическому месту деятельности. Он вправе: осматривать помещения, где обрабатываются данные, запрашивать любые документы, опрашивать сотрудников, изучать информационные системы. Срок проверки — до 20 рабочих дней [7].

При дистанционной (онлайн) проверке инспектор использует приложение «Инспектор» и средства видеофиксации. Оператор предоставляет доступ к документам и системам в режиме реального времени.

По итогам проверки составляется акт. При выявлении нарушений — предписание об их устранении и/или протокол об административном правонарушении. Штрафы назначаются в судебном порядке.

Важная практическая рекомендация: не препятствуйте проверкам, предоставляйте документы по запросу инспекторов и ведите себя открыто. Практика показывает, что регулятор не ставит целью массово штрафовать всех — цель в выявлении системных нарушений и их устранении [10].

Часть 8. Особенности для разных типов организаций

Малый бизнес и ИП

Малый бизнес нередко считает себя «незаметным» для регулятора. Это заблуждение. Роскомнадзор ведёт автоматический мониторинг сайтов, и любой интернет-магазин, фитнес-центр или стоматология попадают в поле зрения, как только на их сайте появляется форма заявки [1]. Минимальный пакет для малого бизнеса включает уведомление в РКН, политику конфиденциальности, согласие на обработку данных и приказ об ответственном.

Компании с иностранными корнями или сервисами

Особый риск — использование иностранных IT-решений. С 1 июля 2025 года требование о первичном сборе данных на российских серверах стало жёстким. Необходимо провести полный аудит всех используемых сервисов, заменить недопустимые или оформить уведомление о трансграничной передаче [16].

Крупные компании и корпорации

Для крупного бизнеса с разветвлённой ИТ-инфраструктурой основная проблема — масштаб и динамика изменений. Новые поля в базах данных, новые ИТ-сервисы, смена подрядчиков, интеграции — всё это постоянно создаёт новые риски, которые не успевают отразиться в документации. Здесь критически важен непрерывный мониторинг ИТ-ландшафта.

Часть 9. Будущие тренды и направления усиления надзора

На основе анализа нормативной базы и практики 2024–2025 годов можно выделить несколько направлений, которые будут усиливаться.

Автоматизация надзора продолжит развиваться. ИИ-сканирование сайтов — только начало. Следует ожидать расширения автоматических проверок на другие аспекты деятельности операторов.

Биометрические данные стали отдельным приоритетом. Закон ввёл специальные состав нарушений и повышенные штрафы за нарушения при работе с биометрией. Компании, использующие системы распознавания лиц, биометрическую аутентификацию и т.п., находятся под особым вниманием.

Трансграничная передача данных остаётся самой «горячей» темой. Практика ещё формируется, но давление на операторов, использующих зарубежные сервисы, будет нарастать [10].

Оборотные штрафы за повторные утечки создают качественно новый уровень риска для крупного бизнеса. Штраф в 1–3% от годовой выручки способен серьёзно ударить по финансовым результатам.

Требования к обезличиванию данных. С 1 сентября 2025 года введена обязанность операторов передавать обезличенные персональные данные в государственную информационную систему (ГИС) по запросу Минцифры [14]. Это создаёт новые требования к техническим процессам.

Часть 10. Инструменты автоматизации: как не утонуть в ручном учёте

Одна из главных проблем операторов, особенно средних и крупных компаний, — постоянное изменение ИТ-ландшафта. Каждая новая система, интеграция, новое поле в базе данных потенциально является новым риском нарушения 152-ФЗ. При этом аудит вручную занимает недели, а документация устаревает быстрее, чем обновляется.

Именно здесь помогают специализированные решения для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах.

Платформа «Пятый фактор» решает эту задачу через on-prem подход с принципом privacy-by-design: платформа автоматически обнаруживает и инвентаризирует персональные данные в базах данных, хранилищах, почте, AD/LDAP, CRM, 1С и API — без передачи и хранения «сырых» данных. Работа ведётся только с метаданными, структурой и агрегатами, поэтому само решение не становится новым источником риска.

Что это даёт на практике для подготовки к проверке РКН:

Живая «карта ПДн» — всегда актуальная картина того, где и какие данные обрабатываются, кто их владелец, что изменилось с прошлой недели. Именно такая актуальная карта нужна для корректного заполнения уведомления в Роскомнадзор и для выявления отклонений от документации.

Раннее обнаружение новых рисков — новые поля с персональными данными, новые интеграции, подключение сторонних сервисов видны сразу, до того как они превратились в нарушение.

Сокращение времени аудита — вместо ручного обхода всех систем в течение недель платформа даёт актуальную карту данных в постоянном режиме, что кратно ускоряет подготовку к проверке.

Непрерывный контроль как процесс — понятные нарушения, владельцы, статусы и согласования вместо разрозненных ручных проверок раз в квартал.

В условиях, когда инспекторы сверяют документы с реальными процессами, актуальная «карта ПДн» — это не опция, а необходимость.

Что делать прямо сейчас

Подготовка к проверке Роскомнадзора — это не разовое мероприятие перед приходом инспектора. Это процесс, который должен быть встроен в операционную деятельность компании.

Три главных вывода:

Первый: нарушения чаще всего не злонамеренные, а системные. Устаревшая документация, незамеченный зарубежный скрипт на сайте, не обновлённое уведомление в РКН — всё это накапливается незаметно и выходит на поверхность именно в момент проверки.

Второй: шаблонные решения перестали работать. Инспекторы читают документы внимательно и сверяют их с реальными процессами. Дешевле и надёжнее вложиться в актуальную систему управления персональными данными, чем платить штрафы.

Третий: автоматизация контроля — это уже не привилегия крупного бизнеса, а необходимость для любого оператора с развитой ИТ-инфраструктурой.

Минимальный план действий прямо сейчас:

1. Проверьте наличие организации в реестре РКН по ИНН — это занимает две минуты.
2. Откройте собственный сайт и убедитесь, что на всех формах есть корректное согласие и ссылка на политику конфиденциальности.
3. Проверьте, нет ли на сайте зарубежных скриптов аналитики или виджетов, передающих данные за рубеж.
4. Назначьте ответственного за персональные данные, если его ещё нет.
5. Запланируйте полный аудит документации и ИТ-систем — желательно с привлечением специалиста.

Источники

[1] Bitrix24 — Закон о персональных данных 2025: изменения с мая, штрафы до 20 млн рублей — https://www.bitrix24.ru/journal/zakon-o-personalnyh-dannyh/

[2] SaitScan — Проверка защиты обработки персональных данных Роскомнадзора — https://saitscan.ru/kb/proverka-zashhity-i-obrabotki-personalnyx-dannyx

[3] КонсультантПлюс — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — https://www.consultant.ru/document/cons_doc_LAW_61801/

[4] Kontur — Проверка Роскомнадзора по защите персональных данных: как подготовиться и избежать штрафов — https://kontur.ru/articles/1775

[5] ФСТЭК России — Приказ от 18.02.2013 № 21 об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных — https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21

[6] Habr / МойСклад — Роскомнадзор ужесточил штрафы за персданные: 300 тысяч за неуведомление, миллион за утечку — https://habr.com/ru/companies/moysklad/articles/994568/

[7] Assistentus — Проверка Роскомнадзора 2025–2026. План. Что проверяют — https://assistentus.ru/proverki/roskomnadzora/

[8] Klerk / FedResurs — Обработка персональных данных: новые требования с 01.07.2025 и 01.09.2025 — https://www.klerk.ru/blogs/fedresurs/658225/

[9] Roskom.online — Проверки Роскомнадзора в 2025 году: как подготовиться и избежать штрафов — https://roskom.online/articles/proverki-roskomnadzora-na-chto-nuzhno-obratit-vnimanie/

[10] Nalog-nalog.ru — Проверка персональных данных Роскомнадзором в 2025 году — https://nalog-nalog.ru/personalnye_dannye/proverki-roskomnadzora-po-zashite-personalnyh-dannyh/

[11] Главбух — Проверки Роскомнадзора в 2026: список организаций и подготовка — https://www.glavbukh.ru/art/393242-proverki-roskomnadzora

[12] Klerk / data-sec — Проверка Роскомнадзора по персональным данным: что проверяют и как подготовиться — https://www.klerk.ru/blogs/data-sec/676555/

[13] IC-Tech — Перечень документов по 152-ФЗ для организации в 2025 году — https://ic-tech.ru/blog/knowledge-base/pdn-152fz-2025/

[14] Klerk / FedResurs — Изменения в законе о персональных данных, которые вступят в силу с 1 сентября — https://www.klerk.ru/blogs/fedresurs/655839/

[15] Legal-box — Документы по персональным данным в 2026 году — https://legal-box.ru/152fz-docs

[16] VC.ru — Новые требования РКН в 2025: как пройти проверку и избежать штрафов за локализацию? — https://vc.ru/legal/2149867-novye-trebovaniya-rkn-2025-kak-izbezhat-shtrafov-za-lokalizatsiyu-dannyh

[17] ABP2B — 152-ФЗ «О персональных данных»: как выполнить требования закона и не получить большие штрафы — https://abp2b.com/tpost/zscnfky6y1-152-fz-o-personalnih-dannih-kak-vipolnit

[18] Callibri — Штрафы за персональные данные 2025: новые правила Роскомнадзора с 30 мая — https://callibri.ru/blog/shtrafy-za-personalnye-dannye-2025

[19] PPT.ru / РосКо — Проверка Роскомнадзора 2025: на что смотрят и как подготовиться — https://ppt.ru/columns/rosco/proverka-roskomnadzora-na-chto-smotryat-i-kak-podgotovitsya

[20] Konsu — Обзор практики споров в сфере обработки персональных данных за 2025 год — https://konsugroup.com/news/review-disputes-personal-data-2025-russia/

[21] КонсультантПлюс — КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных — https://www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/

[22] КонсультантПлюс — Персональные данные: новые штрафы с 30 мая 2025 года — https://www.consultant.ru/legalnews/28492/

[23] Comply.ru — Локализация и трансграничная передача персональных данных. Что изменилось с 1 июля 2025 года? — https://comply.ru/tpost/c43ezsout1-lokalizatsiya-i-transgranichnaya-peredac