Внутренний аудит ПДн: чек-лист для компании 2026
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». Каждый месяц ко мне обращаются компании, которых вызвали в Роскомнадзор.
Причина? Простая: не провели внутренний аудит ПДн.
За 25 лет я провёл более 200 аудитов — и знаю, где прячутся риски.
В этой статье — чек-лист из 12 пунктов, который поможет вашей компании пройти проверку без штрафов.
1. Есть ли у вас политика обработки персональных данных?
Да, это обязательно.
Согласно п. 1 ст. 18.1 152-ФЗ, у компании должна быть утверждённая политика.
Она должна содержать:
• Цели обработки
• Категории субъектов и данных
• Меры защиты
• Права субъектов
Я проверяю: есть ли подпись директора, дата утверждения, актуальность.
В 2025 году ИП в Новосибирске оштрафовали на 75 000 руб. — политика была, но не подписана.
Рекомендую: обновляйте политику раз в год — даже если ничего не менялось.
2. Все ли сотрудники ознакомлены с политикой?
Ознакомление — под роспись.
Храните подписи в личных делах или в электронном документообороте.
Я всегда спрашиваю: «Где подтверждение?» — и 7 из 10 компаний не могут показать.
Роскомнадзор требует документальное подтверждение.
Рекомендую: сделайте ежегодное ознакомление — как часть вводного инструктажа.
3. Есть ли согласия на обработку ПДн у всех сотрудников?
Да, и они должны быть на бумажном носителе или в электронной форме с ЭЦП.
Форма — по Приказу Минкомсвязи № 112.
Я видел случаи, когда согласие было написано от руки на листке А4 — и его признали недействительным.
Рекомендую: используйте шаблон из методички Роскомнадзора. Храните 50 лет.
4. Обрабатываются ли ПДн третьими лицами (IT-компании, банки, курьеры)?
Если да — заключите договор с оператором.
По ст. 6 152-ФЗ, вы несёте ответственность за действия подрядчика.
В договоре должны быть:
• Перечень данных
• Цели обработки
• Меры защиты
• Условия уничтожения
Я однажды участвовал в деле, где штрафовали компанию за утечку в IT-службе — хотя вина была у подрядчика.
Рекомендую: проверяйте подрядчиков раз в год.
5. Есть ли локальные акты по защите ПДн?
Да.
Должны быть:
• Приказ о назначении ответственного
• Положение об обработке ПДн
• Инструкция по работе с ПДн
Я всегда проверяю: есть ли приказ, кто назначен, когда утверждён.
Часто — ответственный указан, но приказа нет.
Рекомендую: назначьте одного человека. Даже в маленькой компании.
6. Проводится ли обучение по ПДн?
Да, и с подтверждением.
Роскомнадзор требует, чтобы сотрудники знали основы.
Обучение — раз в год.
Можно внутреннее, можно с сертификатом.
Рекомендую: сделайте короткий тест после обучения — это усилит доказательную базу.
7. Есть ли журнал учёта инцидентов с ПДн?
Да.
Даже если инцидентов не было — журнал должен быть.
Фиксируйте:
• Попытки несанкционированного доступа
• Утери носителей
• Ошибки сотрудников
Я видел, как компанию спасло то, что они зафиксировали попытку фишинга — и показали это проверяющим.
Рекомендую: ведите журнал в электронной форме с контролем доступа.
8. Проверяется ли доступ к ПДн?
Да.
Доступ должен быть по принципу минимальных привилегий.
Не все сотрудники должны видеть все данные.
Я всегда спрашиваю: «Кто имеет доступ к базе клиентов?» — и часто слышу: «Вся бухгалтерия».
Рекомендую: настройте роли в CRM, ERP, 1С. Проверяйте раз в квартал.
9. Есть ли технические меры защиты?
Да.
Обязательно:
• Антивирус
• Межсетевой экран
• Шифрование носителей
• Резервное копирование
Я проверяю: установлено ли ПО, есть ли логи, обновляется ли.
В 2024 году компанию оштрафовали — потому что ноутбук с ПДн украден, а шифрования не было.
Рекомендую: используйте BitLocker или VeraCrypt.
10. Есть ли порядок уничтожения ПДн?
Да.
Должен быть регламент: как, когда, кем уничтожаются данные.
На бумажных носителях — шредер.
На электронных — программа уничтожения.
Я видел, как на помойке нашли диск с базой клиентов — компания заплатила штраф и компенсацию.
Рекомендую: ведите журнал уничтожения.
11. Есть ли порядок передачи ПДн по запросу?
Да.
Должен быть регламент: кто, кому, на каком основании передаёт данные.
Например: в суд, в полицию, в банк.
Я проверяю: есть ли приказ, есть ли образцы запросов.
Часто — передают без проверки подлинности запроса.
Рекомендую: создайте шаблон проверки запроса.
12. Проводится ли внутренний аудит хотя бы раз в год?
Да.
Это требование Роскомнадзора.
Аудит — не формальность. Это шанс найти риски до проверки.
Я провожу аудит за 2–3 дня: документы, доступы, техника, персонал.
Рекомендую: не ждите вызова. Проверьте себя сами.
Вывод:
Внутренний аудит ПДн — это не бюрократия.
Это защита от штрафов, утечек, репутационных потерь.
Пройдите чек-лист — и вы будете готовы к любой проверке.
Не дожидайтесь Роскомнадзора. Проверьте себя сейчас.
Если в вашей компании нет юриста по информационной безопасности — команда «ЛЕГАС» готова провести аудит «под ключ»: от документации до технической проверки.
• Скачайте PDF-версию чек-листа “Внутренний аудит ПДн”
• Поделитесь с коллегой из отдела кадров или IT — он может не знать о рисках
• Подпишитесь на legascom.ru — не дадим вам попасть под штраф
