Взаимодействие с Роскомнадзором при плановых и внеплановых проверках операторов персональных данных: актуально на март 2026 года

В 2026 году защита персональных данных остаётся одной из самых актуальных тем для российского бизнеса. С мая 2025 года существенно выросли штрафы по статье 13.11 КоАП РФ, появились новые составы нарушений, а Роскомнадзор значительно усилил автоматизированный мониторинг, контроль уведомлений в реестре операторов и скорость реагирования на утечки и жалобы граждан. Хотя мораторий на плановые проверки продлён до 2030 года (Постановление Правительства РФ № 336), это не отменяет внеплановые проверки, профилактические визиты и инспекционные мероприятия — именно они сейчас являются основным инструментом контроля.

Текущая ситуация с проверками в 2026 году:

• Плановые проверки проводятся только в отношении объектов чрезвычайно высокого и высокого риска (по обновлённой риск-ориентированной модели Постановления Правительства РФ № 1046 в редакции № 1286 от 2025 года). Большинство компаний среднего и малого бизнеса планово не проверяются.
• Внеплановые проверки — главный риск. Основания перечислены в ст. 57 Федерального закона № 248-ФЗ: жалоба субъекта ПДн, утечка данных, неисполнение предписания, несоответствие уведомления реальной деятельности, поручение Президента, Правительства или прокурора.
• Профилактические визиты и инспекционные мероприятия проводятся без предварительного предупреждения или с минимальным сроком уведомления и направлены на быстрое выявление нарушений.
• Сводный план проверок на 2026 год утверждён прокуратурой и опубликован на сайтах Генпрокуратуры и Роскомнадзора. Проверить, включена ли ваша компания, можно по ИНН.

Как проходит проверка: основные этапы

1. Уведомление о проверке (не менее 24 часов для выездной, 3 дня для документарной; при угрозе правам субъектов возможно без предупреждения).
2. Запрос документов: политика обработки ПДн, приказы о назначении ответственного, регламенты, модели угроз, акты классификации, реестры согласий, журналы обращений, договоры поручения, меры защиты, уведомление в Роскомнадзор.
3. Анализ сайта и онлайн-сервисов: политика конфиденциальности, формы согласий (отдельные чекбоксы с конкретными целями), cookie-баннер, логи обработки.
4. Выездная проверка (при необходимости): осмотр помещений, опрос сотрудников, проверка доступа к носителям, журналов, средств криптографической защиты.
5. Составление акта и предписания. У оператора есть 10 дней на подачу возражений.
6. Контроль исполнения предписания: предоставление отчёта с доказательствами (скриншоты, обновлённые документы). При неисполнении возможна повторная внеплановая проверка.

Ключевые зоны риска в 2026 году:

• Избыточные или некорректные согласия (общая галочка «согласен со всем» больше не считается законной).
• Несоответствие сведений в уведомлении реальной обработке ПДн.
• Нарушения требований по локализации баз данных граждан РФ.
• Недостаточная фиксация мер защиты и порядка реагирования на инциденты.
• Передача ПДн третьим лицам без договоров поручения обработки и согласий субъектов.
• Отсутствие регулярного обучения сотрудников и журналов обращений субъектов ПДн.
• Проблемы с трансграничной передачей и шифрованием (с учётом уточнений законодательства 2025–2026 годов).

Практические рекомендации по подготовке к проверкам:

• Актуализируйте уведомление в реестре операторов на портале pd.rkn.gov.ru.
• Назначьте ответственного за обработку ПДн (приказ + должностная инструкция + обучение с документальным подтверждением).
• Приведите в порядок всю документацию: политику, модели угроз, акты классификации, журналы, планы реагирования на инциденты.
• Проведите аудит сайта и форм согласий.
• Обеспечьте полную локализацию баз данных на территории РФ и отразите это в уведомлении.
• Пройдите внутреннюю самопроверку по проверочному листу Приказа Роскомнадзора № 253 от 24.12.2021 (актуален и в 2026 году).
• Ведите полный учёт: логи согласий, журналы обращений, кейсы удаления/исправления данных, процедуры уведомления об утечках.
• Подготовьте доказательную базу заранее: шаблоны ответов субъектам, договоры с подрядчиками, сертификаты средств защиты.

Оператор имеет право подавать возражения на акт и предписание в течение 10 дней. Основные обязанности — своевременно предоставлять документы, обеспечивать локализацию, фиксировать меры защиты и обучать сотрудников.

У нас есть комплексная услуга "Аудит ИТ-инфраструктуры". Это решение позволяет получить комплексную оценку состояния IT-системы, выявить потенциальные проблемы и риски, а также разработать стратегию оптимизации. Услуга актуальна для компаний, планирующих модернизацию IT-инфраструктуры. Свяжитесь с нами для консультации!