РОСКОМНАДЗОР В ДЕЙСТВИИ
контроль обработки персональных данных

07.05.2026

РОСКОМНАДЗОР В ДЕЙСТВИИ
контроль обработки персональных данных

07.05.2026

В мае 2025 Роскомнадзор[1] предупредил бизнес о грядущем усилении борьбы с нарушениями в сфере обработки персональных данных. Последствия ужесточающих ответственность за нарушения в сфере обработки персональных данных (ОПД[2]) изменений в КоАП РФ[3] начали проявляться в апреле-мае текущего года. Роскомнадзор реализовал «автоматизированный мониторинг» нарушений законодательства об ОПД, организовав проверку, в первую очередь, сайтов в сети Интернет и Telegram-каналов с аудиторией свыше десяти тысяч пользователей.

В сети стали появляться сведения о выдаче Роскомнадзором предписаний и публикации о «новых» требованиях к ОПД. Наша компания также предупреждает своих клиентов о рисках ответственности за нарушения, одновременно предоставляя рекомендации по недопущению такой ответственности.

“

Принимая во внимание пределы ответственности за действия/бездействие оператора повлекшие, в частности, неправомерную утечку ПДн[4] или иное нарушение прав субъектов ПДн, а также размеры «оборотных штрафов»[5], полагаем, повторить наши рекомендации публично будет уместным.

САМОКОНТРОЛЬ – залог спокойствия

Перечень обрабатываемых ПДн и действия с ними индивидуальны для каждого хозяйствующего субъекта, разработка применимого алгоритма требует, в частности, учёта видов деятельности компании, количества и квалификации персонала, специфики внутреннего взаимодействия и коммуникаций с внешним миром (контрагенты, клиенты, контролирующие органы и т.д.).

Вместе с тем, неизменны три базовых принципа любого хозяйствующего субъекта, не желающего попадать в составляемый «ботом» Роскомнадзора список получивших предписание «счастливчиков», – основные маркеры контроля (нарушения), пределы ответственности (восемь основных рисков) и самоконтроль, обязательные действия оператора обработки персональных данных для двухшаговой самопроверки; начинаем с последнего.

ПЕРВЫЙ ШАГ САМОПРОВЕРКИ – САМОИДЕНТИФИКАЦИЯ, У ВАС ЕСТЬ положительный ответ на любой из перечисленных ниже пунктов или часть:

работники, специалисты, контрагенты/клиенты, вы контактируете с ними, записываете данные, храните их – обрабатываете, возможно ведете базу CRM...
канал в соцсетях, подписчики/клиенты, обратная связь и заявки от них...
сайт, форма обратной связи, Яндекс.Метрика, Google Analytics или любое аналогичное программное обеспечение...
фото ключевых работников, которые вы, вместе с VS размещаете на своем сайте...

“

ПОЗДРАВЛЯЕМ!

вы вступили в «клуб» операторов обработки персональных данных

ОСНОВНЫЕ НАРУШЕНИЯ, которые может выявить «бот» Роскомнадзора (маркеры контроля):

владелец сайта отсутствует в реестре Роскомнадзора[6] или не разместил на своем сайте политику ОПД, алгоритмы получения согласия пользователей (посетителей) на ОПД, в алгоритмах есть предустановленные «галочки» о согласии и т.д.;
веб-аналитика осуществляется с использованием, например, сервисов Google или иных, не одобренных Роскомнадзором;
хозяйствующим субъектом используются запрещенные или «ограниченные» для использования ресурсы;
на сайте хозяйствующего субъекта в сети Интернет публикуются фотографии его работников/специалистов без надлежащего оформления соответствующих согласий.

ДОПУСКАЕМ – увы, могут быть и иные маркеры, Роскомнадзор совершенствуется...

Руководствуясь своими полномочиями Роскомнадзор вправе (обязан) привлекать к административной ответственности лиц, допустивших нарушения в сфере обработки персональных данных.

Действующая редакция КоАП РФ предусматривает следующие виды административной ответственности для граждан, индивидуальных предпринимателей (ИП) и юридических лиц.

ВОСЕМЬ ОСНОВНЫХ РИСКОВ административной ответственности:

Обработка ПДн в случаях, не предусмотренных законодательством РФ, либо обработка ПДн несовместимая с целями их сбора (ч. 1 и ч. 1.1. ст. 13.11 КоАП РФ), за исключением предусмотренных ч. 2 ст. 13.11 и ст. 17.13 КоАП РФ случаев, влечет наложение штрафа для:

граждан – от 10 до 15 т.руб. (повторно от 15 до 30 т.руб.);
должностных лиц – от 50 до 100 т.руб. (повторно от 100 до 200 т.руб.);
юридических лиц – от 150 до 300 т.руб. (повторно от 300 до 500 т.руб.).

Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн (ч. 3 ст. 13.11 КоАП РФ), влечет наложение штрафа для:

граждан – от 1,5 до 3 т. руб.;
должностных лиц – от 6 до 12 т. руб.;
ИП – от 10 до 20 т. руб.;
юридических лиц – от 30 до 60 т. руб.

Невыполнение оператором требования субъекта ПДн или Роскомнадзора, в сроки установленные законом или контролирующим органом, об уточнении ПДн, их блокировании или уничтожении (если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки – ч. 5 и ч. 5.1. ст. 13.11 КоАП РФ), влечет наложение штрафа для:

граждан – от 2 до 4 т. руб. (повторно от 20 до 30 т. руб.);
должностных лиц – от 8 до 20 т. руб. (повторно от 30 до 50 т. руб.);
ИП – от 20 до 40 т.руб. (повторно от 50 до 100 т.руб.);
юридических лиц – от 50 до 90 т. руб. (повторно от 300 до 500 т. руб.).

Невыполнение оператором при сборе ПДн посредством сети Интернет обязанности, предусмотренной законом по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения ПДн граждан РФ с использованием баз данных, находящихся на территории РФ (ч. 8 и 9 ст. 13.11 КоАП РФ), влечет наложение штрафа для:

граждан – от 30 до 50 т. руб. (повторно от 50 до 100 т. руб.);
должностных лиц – от 100 до 200 т. руб. (повторно от 500 до 800 т. руб.);
юридических лиц – от 1 до 6 млн руб. (повторно от 6 до 18 млн руб.).

Действия (бездействие) оператора, повлекшие неправомерную «утечку» сведений с ПДн от 1 000 до 10 000 субъектов персональных данных и/или более 1 000 000 идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния (ч. 12, 13 и 14 ст. 13.11 КоАП РФ), влечет наложение штрафа для:

граждан – от 100 до 400 т. руб. (повторно от 400 до 600 т. руб.);
должностных лиц – от 200 до 600 т. руб. (повторно от 800 т. руб. до 1,2 млн руб.);
юридических лиц – от 3 до 15 млн руб. (повторно «оборотный штраф»).

Действия (бездействие) оператора, повлекшие неправомерную «утечку» информации, включающей специальную категорию ПДн (ч. 16 ст. 13.11 КоАП РФ), влечет наложение штрафа для:

граждан – от 300 до 400 т. руб. (повторно от 500 до 800 т. руб.);
должностных лиц – от 1 до 1,3 млн руб. (повторно от 1,5 до 2 млн руб.);
юридических лиц – от 10 до 15 млн руб. (повторно «оборотный штраф»).

Действия (бездействие) оператора, повлекшие неправомерную «утечку» информации, включающей биометрические ПДн (ч. 17 ст. 13.11 КоАП РФ), за исключением случаев нарушений размещения ПДн в «Единой системе идентификации и аутентификации физических лиц с использованием биометрических ПДн – ст. 13.11.3 КоАП РФ, влечет наложение штрафа для:

граждан – от 400 до 500 т. руб. (повторно от 500 до 800 т. руб.);
должностных лиц – от 1,3 до 1,5 млн руб. (повторно от 1,5 до 2 млн руб.);
юридических лиц – от 15 до 20 млн руб. (повторно «оборотный штраф»).

Незаконное использование, в предусмотренных законом случаях[7], принадлежащих иностранным юридическим лицам и/или иностранным гражданам информационных систем и/или программ для электронных вычислительных машин (ст. 13.11.2 КоАП РФ), влечет наложение штрафа для:

должностных лиц – от 30 до 50 т. руб.;
юридических лиц – от 100 до 700 т. руб.

Подводя итог описанного выше, учитывая сильно выросшие штрафы, невольно вспоминаешь извечный вопрос русской интеллигенции – ЧТО ДЕЛАТЬ?

ВТОРОЙ И САМЫЙ ВАЖНЫЙ ШАГ САМОПРОВЕРКИ – вне зависимости от того, намерен хозяйствующий субъект подать уведомление в Роскомнадзор или осуществляется актуализация процессов по обработке ПДн, можно использовать разработанные нами «шпаргалки», – КОНТРОЛЬНЫЕ ЛИСТЫ[8] – ПРИЛОЖЕНИЯ № 1 и № 2.

УДАЧИ НАМ ВСЕМ!

[1] Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – уполномоченный орган по защите прав субъектов персональных данных.

[2] Здесь и далее, также – «ОПД» означает обработка персональных данных.

[3] Кодекс Российской Федерации об административных правонарушениях.

[4] Здесь и далее, также – «ПДн» означает персональные данные.

[5] Здесь и далее в публикации «ОБОРОТНЫЙ ШТРАФ» это взыскание с нарушителя от 1 до 3% совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено адм. правонарушение, либо за предшествующую дате выявления адм. правонарушения часть календарного года, в котором было выявлено адм. правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, либо размера собственных средств (капитала) кредитной организации на дату совершения адм. правонарушения, но не менее 20 млн руб. и не более 500 млн руб.

[6] Реестр операторов, осуществляющих ОПД https://pd.rkn.gov.ru/operators-registry/operators-list/
[7] Имеется в виду законодательство РФ об информации, информационных технологиях и о защите информации, принадлежащих иностранным юридическим лицам и/или иностранным гражданам информационных систем и/или программ для электронных вычислительных машин, которые предназначены и/или используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем и/или программ для ЭВМ, предмет нарушения, НАПРИМЕР, – использование не «одобренных» Роскомнадзором «счетчиков», сайтов с встроенным мессенджером, ДАТА-центров за пределами РФ; использование запрещенных или ограниченных для использования мессенджеров и т.д. и т.п.

[8] Представлены «идеальные», заполненные контрольные листы, они могут использоваться только в качестве «шпаргалки» или «примерного образца», целесообразно разработать свои – важно ничего не упустить и не забыть проставить «плюсики».

ПРИЛОЖЕНИЕ № 1

КОНТРОЛЬНЫЙ ЛИСТ для самопроверки

(готовность оператора ОПД к корректировке процедур обработки ПДн)

1.;ЛНА (документы, приказы, распоряжения); ; Правовые основания ОПД и законность обработки ПДн ПДн получены ...; +; Регламентирующие ОПД ЛНА обновлены / подготовлены, проект уведомления в Роскомнадзор согласован / направлен ; 2.; ... от субъекта ПДн лично; +; Согласие субъекта ПДн получено / имеется иное основание получения ПДн; 3.; ... от уполномоченного лица; +; Оператором заключено соглашение, включающее заверения: о правовых основаниях на передачу ПДн, об осведомленности субъекта ПДн о передаче оператору ПДн, о соблюдении иных требований в сфере ОПД; 4.; ... из открытых источников; +; Пределы ограничений при ОПД не нарушены и не нарушаются; 5.; ... ранее и «легализованы»; +; Актуальная цель ОПД соответствует ЛНА оператора ОПД; 6.; ... правовые основания ОПД; +; Проверены и соответствуют требованиям в сфере ОПД; 7.; Локализация; +; ОПД полученных у граждан РФ ПДн осуществляется в базах данных, расположенных на территории РФ; 8.; Трансграничная передача ПДн (проверка осуществляется до начала трансграничной передачи); ; ; +; Не осуществляется; ; ; -; Осуществляется, уведомление в Роскомнадзор подготовлено / согласовано / направлено; 9.; Хранение и уничтожение ПДн; ; ; +; Сроки использования ПДн соответствуют ЛНА оператора ОПД и требованиям закона; ; ; +; Факты уничтожения ПДн фиксируются согласно ЛНА оператора ОПД и требованиям закона ; ... ПДн уничтожаются ; ; +; По достижении заявленной цели обработки ПДн ; ; +; По истечении срока разрешенного использования ПДн

ПРИЛОЖЕНИЕ № 2

КОНТРОЛЬНЫЙ ЛИСТ для самопроверки

(готовность оператора ОПД к работе сайта или приложения с ПДн)

1.;ЛНА (политика о конфиденциальности; ; Актуальна, не противоречит требованиям закона, утверждена и хранится надлежащим образом; +; Опубликована надлежащим образом, доступна всем посетителям сайта / приложения; ; СОГЛАСИЯ 2.; ... информированное согласие фиксируется (логи в привязке к идентификаторам); +; В формах согласий нет «предпроставленных» знаков, каждый пользователь имеет возможность ознакомиться с ЛНА оператора в сфере ОПД; ; ... оформляется в виде отдельного документа (не включено в пользовательское соглашение); +; Согласие есть на каждую форму сбора ПДн; ; ... в формах согласий нет «предпроставленных» знаков; +; Проверено, контролируется ответственным за ОПД; ; ЛОКАЛИЗАЦИЯ 3.;... собираемые ПДн первоначально обрабатываются в базах данных на территории РФ; +; Проверено, контролируется ответственным за ОПД, трансграничная передача ПДн осуществляется в порядке, установленном ЛНА оператора ОПД и в соответствии с законом; 4.; ... метрические системы не одобренные Роскомнадзором не используются; +; Проверено, контролируется ответственным за ОПД; ; COOKIES 5.; ... предусмотрена «кнопка» для активного (информированного) выражения согласия на сбор cookies; +; Проверено, контролируется ответственным за ОПД; 6.; предусмотрена ссылка на ЛНА оператора ОПД и политику конфиденциальности; +; Проверено, контролируется ответственным за ОПД; 7.; Распространение ПДн; +; Не осуществляется;