Проверки Роскомнадзора в 2025 году: какие риски для бизнеса и как избежать штрафов до 18 млн рублей

В 2025 году Роскомнадзор усиливает контроль над тем, как компании обращаются с персональными данными и соблюдают требования цифрового законодательства. Штрафы за нарушения достигают 18 млн рублей, а проверки проходят как по плану, так и внезапно. Поэтому бизнесу важно заранее подготовить процессы, документы и инфраструктуру, чтобы не получить предписание или блокировку ресурса.

Одна политика конфиденциальности на сайте давно не спасает. Инспекторы анализируют весь цикл работы с персональными данными: от момента сбора и получения согласия до хранения, передачи и удаления. Разберем, на что именно смотрит Роскомнадзор, как подготовить компанию и что делать, если вынесено предписание или штраф.

На что обращает внимание Роскомнадзор в 2025 году?

Проверки идут сразу по нескольким направлениям. Основные требования связаны с персональными данными и отраслевым регулированием в сфере связи.

1. Соблюдение закона о персональных данных (152-ФЗ)

Инспекторов интересует, насколько законно и безопасно компания работает с данными клиентов, сотрудников и пользователей.

Главные точки внимания:

Законность обработки: должно быть основание для сбора данных, например согласие или договор.

Документация: политика обработки данных, внутренние регламенты, цели и сроки хранения.

Права субъектов: доступ к данным, удаление по запросу, подтверждение выполнения требований.

Безопасность: защита баз, регламентация доступа, предотвращение утечек.

Cookie: уведомление пользователя и получение согласия. Даже простой баннер с кнопкой согласия относится к обязательным элементам.

2. Соблюдение закона в сфере связи (126-ФЗ)

Если бизнес предоставляет телематические услуги или иные услуги связи, проверка включает:

Наличие лицензии и соблюдение условий

Хранение трафика и передача данных уполномоченным органам

Идентификация абонентов и порядок учета

Безопасность сетей, работа с СОРМ, устойчивость инфраструктуры

3. Дополнительные обязательные требования

Роскомнадзор также оценивает:

Обязательные данные на сайте: ОГРН, ИНН, контакты, полное наименование.

Возрастная маркировка: корректные знаки 18+, 16+, 12+, 6+.

Актуальность публичных оферт, условий, реквизитов.

Чек-лист подготовки сайта к проверке

Ниже собран полный перечень того, что нужно привести в порядок, чтобы пройти проверку спокойно.

1. Размещение и инфраструктура

• Проверить, что серверы и базы данных находятся в РФ.
• Изучить подключенные сервисы на предмет передачи данных за рубеж.
• Убедиться в законности работы сторонних платформ.

2. Формы на сайте и сбор данных

• Установить чекбоксы согласия.
• Запретить отправку без отметки согласия.
• Разместить ссылки на Политику и иные документы возле каждой формы.
• Исключить предустановленные галочки.

3. Cookie и механизмы согласия

• Реализовать всплывающее окно для выбора видов cookie.
• Начинать сбор данных только после подтверждения.
• Разместить полные сведения о cookie на отдельной странице.
• Указать использование cookie в Политике.

4. Обязательные документы

• Обновленная Политика обработки данных.
• Страница с правилами конфиденциальности.
• Документ о cookie и порядке отказа.
• Доступность всех документов из футера, меню и форм.
• Соответствие Политики уведомлению в Роскомнадзор.

5. Внешние подключения

• Проверить код сайта на внешние сервисы: статистика, карты, шрифты.
• Удалить все, что нарушает законодательство.
• Законно оформить трансграничную передачу данных, если она есть.

6. Регистрация оператора ПДн

• Подать уведомление в Роскомнадзор.
• Проверить актуальность сведений.
• Сверить фактическую обработку с уведомлением.

7. Аудит информации на сайте

• Проверить корректность реквизитов и публичной оферты.
• Добавить недостающие данные.
• Убедиться, что персональные данные не опубликованы без основания.

8. Проверка изображений и медиафайлов

• Проверить права на изображения, логотипы, видео.
• Удалить спорные материалы.
• Соблюсти возрастную маркировку.

9. Документирование

Подготовить актуальные версии:

• политики обработки ПДн
• согласий
• документов о трансграничной передаче (при наличии)

Все документы должны быть согласованы между собой и соответствовать реальным процессам.

10. Правовой аудит

• Проверить структуру сайта и процессы.
• Подготовить аргументацию на случай запросов регулятора.
• Определить зоны риска.
• Прописать план действий при проверке.

11. Итоговая сверка

• Проверить работу всех форм, баннеров и уведомлений.
• Убедиться в доступности всех документов.
• Сверить актуальность уведомления в Роскомнадзор.

Как проходят проверки?

Проверки регулируются несколькими нормативными актами:

• 247-ФЗ
• 248-ФЗ
• Постановление Правительства РФ 1045
• 294-ФЗ

Проверки бывают двух видов:

Плановые

• Входят в официальный план, согласованный с прокуратурой.
• Проводятся не чаще одного раза в два года.
• Информация о включении есть на ресурсе Роскомнадзора.

Внеплановые

Назначаются при:

• жалобах пользователей
• невыполнении предписаний
• данных от других органов или СМИ
• результатах наблюдения или радиоконтроля

Проверить могут любую организацию, ИП или самозанятого, даже если на сайте всего одна форма обратной связи.

Права инспекторов и проверяемых

Инспектор может:

• посещать помещения
• требовать документы
• проводить осмотр, опрос, экспертизу
• фиксировать проверку на видео, фото, аудио

Проверяемая сторона вправе:

• запросить документы инспектора
• получить полную информацию о проверке
• предоставлять объяснения и материалы

Как выносится предписание

После проверки составляется акт с конкретными нарушениями и ссылками на нормы. На его основании выдается предписание, которое содержит:

• дату и номер
• реквизиты организации
• перечень нарушений
• сроки устранения (от 10 до 30 рабочих дней)
• способ подтверждения
• данные инспектора

Если предписание не выполнить, возможны приостановка лицензии и даже ее аннулирование.

Штрафы в 2025 году: до 18 млн рублей

Статья 13.11 КоАП РФ предусматривает значительные штрафы:

Незаконная обработка персональных данных (в том числе cookie без согласия пользователя) ч. 1 ст. 13.11 КоАП РФ : от 150 000 до 300 000 руб.

Обработка персональных данных без согласия субъекта ч. 2 ст. 13.11 КоАП РФот : 300 000 до 700 000 руб.

Невыполнение или несвоевременное уведомление Роскомнадзора о намерении обрабатывать ПДн ч. 10 ст. 13.11 КоАП РФот : 100 000 до 300 000 руб.

Нарушение требований к опубликованию политики обработки персональных данных ч. 3 ст. 13.11 КоАП РФ : от 30 000 до 60 000 руб.

Нарушение требований о локализации баз данных ч. 8 ст. 13.11 КоАП РФ : от 1 000 000 до 6 000 000 руб.

Повторное нарушение требований о локализациич. 9 ст. 13.11 КоАП РФ : от 6 000 000 до 18 000 000 руб.

Кроме штрафа Роскомнадзор может:

• выдать предписание
• ограничить доступ к сайту
• приостановить обработку данных

Что делать, если получили предписание или штраф?

Исполнение предписания

Срок: от 10 до 30 рабочих дней.

Нужно:

• устранить все нарушения
• собрать доказательства: приказы, акты, скриншоты, документы
• направить подтверждение в Роскомнадзор

При невыполнении: приостановка лицензии, затем аннулирование.

Обжалование

Если вы не согласны:

• подать возражение в течение 10 рабочих дней
• направить его в региональное управление
• приложить документы и аргументы

Если решение не изменено, можно подать в суд.

Как подготовиться профессионально

Курс «Защита персональных данных» даст практическую базу для полноценной работы с ПДн:

• разбор 152-ФЗ и трансграничного взаимодействия
• настройка документов и процессов
• аудит компании и локализация данных
• подготовка к проверкам
• навыки DPO

Программа включает:

1. Управление рисками
2. Проверка регулятора
3. Составление документов (Уровень PRO)
4. Построение систем защиты данных (Уровень PRO)
5. Аудит обработки ПДн (Уровень PRO)
6. Развитие до Data Protection Officer