Недавно мне прилетела мысль из серии “а давай проверим, нет ли нашей компании в списках Роскомнадзора”.
Речь про операторов персональных данных. То есть почти про любой бизнес, где есть сотрудники, клиенты, формы записи, CRM, телефония, мессенджеры, рассылки и вся эта прекрасная цифровая жизнь.
Если у вас клиника, онлайн-школа, сервисная компания, магазин, агентство или SaaS - персональные данные у вас, скорее всего, есть. Даже если вы стараетесь делать вид, что это просто “табличка с клиентами” :)
Что оказалось интересным: на сайте Роскомнадзора действительно есть открытые документы, где публикуются перечни организаций, которые могут попасть в профилактические мероприятия по теме персональных данных.
Важно: профилактический визит - это не то же самое, что классическая проверка с “всем стоять, документы на стол”. Но для бизнеса это все равно сигнал: регулятор смотрит в вашу сторону, а значит лучше заранее понимать, что у вас с персональными данными.
Я бы начинал с трех мест:
- Сайт Роскомнадзора - раздел про профилактику нарушений обязательных требований.
- Приказы и приложения к ним на текущий год.
- Открытые публикации и правовые базы, если официальный PDF весит как чугунный мост и открывается через раз.
Например, по 2026 году на сайте РКН опубликован приказ от 19.12.2025 N390. В нем есть большой PDF с программами профилактики и перечнями операторов. Документ крупный, поэтому вручную листать его - так себе идея. Проще открыть поиск по документу и вбить ИНН компании.
Дополнительно можно проверить компанию через поиск по связкам:
- `ИНН + Роскомнадзор`
- `ИНН + профилактический визит`
- `ИНН + персональные данные`
- `название компании + Роскомнадзор`
Если есть совпадение, нужно внимательно сверить ИНН, ОГРН, регион и название. Иногда похожие названия легко сбивают с толку.
Что делать, если компанию нашли
Я бы не начинал с нервов и хаотичного “срочно все переписать”.
Лучше собрать базовую картину:
- Есть ли компания в реестре операторов персональных данных.
- Есть ли актуальная политика обработки ПДн на сайте.
- Есть ли согласия на обработку данных в формах записи и заявок.
- Кто и где хранит клиентские данные: МИС, CRM, телефония, мессенджеры, таблицы, рассылки.
- Какие внешние сервисы получают доступ к данным.
- Есть ли договоры или поручения обработки с подрядчиками, если они нужны.
- Кто внутри компании отвечает за эту историю.
Самое неприятное обычно не в отсутствии красивого документа. Проблема начинается, когда данные расползлись по десяти местам, и никто уже не понимает, кто куда что отправляет.
В клиниках это особенно заметно. Данные есть в МИС, формах записи, телефонии, WhatsApp/Telegram, CRM, рассылках, отзывах, иногда еще в AI-инструментах. Если это не описано, то при любом вопросе регулятора начинается археология.
Мой практический вывод
Проверять себя по открытым спискам стоит хотя бы раз в квартал. Это занимает 10-15 минут, если знать ИНН и не пытаться героически читать PDF на 200 страниц глазами.
Но еще важнее - не ждать, пока компания появится в таком списке.
Нормальная гигиена по персональным данным должна быть как бухгалтерия: регулярно, понятно и без героизма. Документы, согласия, политика, карта сервисов, ответственный человек.
Потому что когда Роскомнадзор уже пришел в гости, внезапное “мы потом разберемся” превращается в “почему мы не сделали это раньше”.
В общем, я бы добавил проверку по ИНН в регулярный чеклист бизнеса. Это быстрый способ понять, смотрит ли регулятор в вашу сторону, и заодно повод привести в порядок карту персональных данных до того, как вопросы начнут задавать извне.
Ну и сама ссылка в Роскомнадзоре: https://rkn.gov.ru/activity/prevention-violations/