Top.Mail.Ru
Пришёл Роскомнадзор: как пройти проверку по 152-ФЗ и не собирать документы месяц
В 2026-м проверки по персональным данным копают глубже — теперь смотрят не только сайт, но и то, как и где вы храните базу клиентов. Разбираю на реальном опыте, какие документы нужны и почему облачная система снимает половину головной боли.
Формат: полный лонгрид
Основа: реальная проверка РКН
Время чтения: 9 минут
Когда к вам приходит Роскомнадзор, он проверяет соответствие 152-му федеральному закону — «О персональных данных». Раньше это была довольно поверхностная история. В 2026-м проверки стали глубже, а к РКН подключилась прокуратура. Расскажу, что именно теперь смотрят и как мы это прошли.
Базовый уровень: то, что проверяют давно
1
С этого начинается любая проверка, и это было ещё год назад:
Есть ли у вас политика обработки персональных данных — в принципе, как документ.
Формы на сайте. Каждая форма сбора заявок должна содержать ссылку на политику и отдельный чекбокс согласия.
Если этого нет — вопросы начнутся сразу. Но в 2026-м базой уже не ограничиваются.
Глубокий уровень 2026: смотрят на вашу базу данных
2
Теперь проверка идёт дальше — вглубь того, как вы устроены как оператор персональных данных.
Реестр операторов ПДн. Вы как компания должны быть в нём зарегистрированы — это очевидно. Но теперь проверяют, чтобы запись соответствовала действительности: с какими типами данных вы реально работаете. Потенциальные клиенты, действующие клиенты, сотрудники (кадровый учёт вы ведёте так или иначе — это тоже должно быть отражено).
Защищённость информационной системы. Вот здесь начинается самое неочевидное. По 152-ФЗ система, где вы храните персональные данные (ИСПДн), должна быть защищённой. Постановлением Правительства Р Ф № 1119 установлено четыре уровня защищённости:
УЗ-4 · базовый
УЗ-3
УЗ-2
УЗ-1 · высший
Нужный уровень зависит не только от «сколько данных», но и от их категории (специальные / биометрические / общедоступные / иные), типа актуальных угроз и того, чьи это данные и сколько субъектов (больше или меньше 100 000). У медицинских центров, где обрабатываются данные о здоровье, уровень выше. У фитнеса, как правило, ниже — это услуги населению. Но с оговоркой: если студия хранит данные о здоровье (медсправки, противопоказания), это уже специальные категории ПДн, и требования поднимаются.
Не путать термины: сертифицируются средства защиты (СЗИ), а не «система целиком». Для бизнеса (не государственной ИС) обязательной аттестации по закону нет — оператор проводит оценку эффективности мер защиты (приказ ФСТЭК № 21) не реже раза в 3 года; аттестат соответствия или заключение можно получить и добровольно. Именно такой документ-заключение от организации с лицензией ФСТЭК и просят на проверке.
Политика обработки ПДн — та, что опубликована на сайте.
Выгрузка из реестра операторов Роскомнадзора.
Заключение о защищённости информационной системы.
Приказ о назначении ответственного за соблюдение 152-ФЗ и сохранность ПДн — как правило, директор.
Акты об уничтожении ПДн. После первого запроса пришли вопросы именно про это: как удаляете бумажные договоры и копии, есть ли акты. Прямо не приходили, но спрашивали настойчиво.
Реестр СКЗИ и журнал УКЭП. УКЭП выпускают для доступа на Госуслуги, в налоговую, в личный кабинет ИП или ООО; на неё должен быть журнал с ответственным. Перевыпустили подпись — внесите запись.
База у вас
Excel / локальная система
Файл с клиентами лежит у вас, доступ у нескольких админов. На проверке спросят: как обеспечиваете сохранность и где заключение о защищённости? Ответить нечем. Оценка защищённости — ваша забота.
Пришёл Роскомнадзор: как пройти проверку по 152-ФЗ и не собирать документы месяц
В 2026-м проверки по персональным данным копают глубже — теперь смотрят не только сайт, но и то, как и где вы храните базу клиентов. Разбираю на реальном опыте, какие документы нужны и почему облачная система снимает половину головной боли.
20
лет опыта работы
Формат: полный лонгрид
Основа: реальная проверка РКН
Время чтения: 9 минут