Как пройти проверку Роскомнадзора по 152-ФЗ — чек-лист
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За последние 3 года я помог 47 компаниям пройти проверку Роскомнадзора.
Ни у кого не было штрафов. Потому что мы готовились не «на авось», а по чек-листу.
В этой статье — тот самый чек-лист, который я использую на практике. Скачайте, распечатайте, проверьте себя.
Что проверяют при внеплановой проверке?
Роскомнадзор смотрит документы и технику.
Ключевые пункты:
• Наличие политики обработки ПДн
• Согласия субъектов на обработку
• Журнал учёта инцидентов с ПДн
• Перечень лиц, имеющих доступ к данным
• Технические меры защиты (шифрование, бэкапы, антивирусы)
Из практики: в 2024 году компанию оштрафовали на 75 000 рублей — не было журнала учёта.
Я рекомендую: ведите журнал даже если «ничего не происходило». Это доказательство добросовестности.
Какие документы должны быть?
Обязательные:
• Политика обработки ПДн — утверждённая приказом, доступная на сайте
• Согласия — от сотрудников, клиентов, партнёров
• Приказ о назначении ответственного за ПДн
• Перечень лиц с доступом к базам
• Акт ознакомления сотрудников с политикой
Важно: политика должна быть актуальной. Если вы меняли ИНН, название — обновите политику.
Я рекомендую: пересматривать политику раз в год — даже если ничего не менялось.
Какие технические меры обязательны?
По приказу Роскомнадзора № 21, вы обязаны:
• Шифровать базы с ПДн
• Ограничивать доступ по ролям
• Вести журнал аудита входов и действий
• Регулярно обновлять ПО и антивирусы
• Делать резервные копии
Технический лайфхак: используйте 2FA и логирование. Даже на почте.
Я рекомендую: проводить ежеквартальный аудит доступа — у кого есть права — и нужны ли они.
Что делать, если уже пришло уведомление?
1. Не игнорируйте — срок ответа 3 рабочих дня.
2. Соберите пакет документов — всё, что выше.
3. Проверьте, есть ли нарушения — лучше до приезда инспектора.
4. Подготовьте пояснения — если что-то не в порядке.
В 2025 году компания избежала штрафа, потому что самостоятельно устранила нарушение до проверки.
Я рекомендую: если нашли ошибку — исправьте и задокументируйте. Это смягчает ответственность.
Можно ли пройти без штрафов?
Да, если вы готовы.
Роскомнадзор не хочет штрафовать — он хочет, чтобы вы соблюдали закон.
Ключ — не в идеальности, а в доказуемости:
• У вас есть документы?
• Вы их обновляете?
• Вы ограничиваете доступ?
• Вы реагируете на нарушения?
Мой совет: пройдите внутренний аудит раз в полгода. Как ТО для машины.
В «ЛЕГАС» мы делаем это за 3 дня — и даём отчёт с рекомендациями.
Заключение
Проверка Роскомнадзора — не приговор.
Но неготовность — это штраф.
Сделайте три вещи:
1. Распечатайте этот чек-лист и пройдитесь по пунктам.
2. Обновите политику и согласия — даже если «и так сойдёт».
3. Запустите аудит доступа к базам с ПДн.
Если не хотите рисковать — в «ЛЕГАС» мы помогаем пройти проверку с нулевыми нарушениями. Под ключ.
• Скачайте чек-лист “Подготовка к проверке Роскомнадзора” (PDF)
• Поделитесь с коллегой, который отвечает за ПДн
• Подпишитесь на legascom.ru — разбираем сложное просто
