В 2026 году защита персональных данных (ПДн) остаётся одной из самых «горячих» тем для бизнеса. С мая 2025 года значительно выросли штрафы по ст. 13.11 КоАП РФ, введены новые составы нарушений, а Роскомнадзор усилил автоматизированный мониторинг, контроль уведомлений в реестр операторов и оперативность реагирования на утечки и жалобы. Мораторий на плановые проверки (продлён до 2030 года постановлением № 336) не отменяет внеплановые визиты, профилактические мероприятия и инспекционные визиты — именно они сейчас основной инструмент контроля.
Текущая ситуация с проверками в 2026 году:
- Плановые проверки — проводятся только для объектов чрезвычайно высокого и высокого риска (по обновлённой риск-ориентированной модели из Постановления Правительства РФ № 1046 в ред. № 1286 от 2025 г.). Большинство операторов ПДн (особенно средний и малый бизнес) планово не проверяются.
- Внеплановые проверки — основной риск. Основания (ст. 57 № 248-ФЗ): жалоба субъекта ПДн, утечка данных, неисполнение предписания, несоответствие уведомления реальной деятельности, поручение Президента/Правительства/прокурора.
- Профилактические визиты и инспекционные мероприятия — проводятся без предупреждения или с минимальным сроком, фокус на быстром выявлении нарушений.
- План проверок — сводный план на 2026 год утверждён прокуратурой и доступен на сайте Генпрокуратуры и Роскомнадзора. Проверить включение своей компании можно по ИНН.
Как проходит проверка: этапы и фокус внимания
- Уведомление — не менее 24 часов для выездной, 3 дня для документарной (может быть без предупреждения при угрозе правам субъектов).
- Запрос документов — политика обработки ПДн, приказы о назначении ответственного, регламенты, модели угроз, акты классификации, реестры согласий, журналы учёта обращений, договоры поручения, меры защиты, уведомление в Роскомнадзор.
- Анализ сайта и сервисов — политика, формы согласий (отдельные чекбоксы, конкретные цели), cookie-баннер, логи, соответствие заявленных целей реальным процессам.
- Выезд (при необходимости) — осмотр помещений, опрос сотрудников, проверка доступа, носителей, логов, СКЗИ.
- Акт и предписание — фиксируются нарушения; оператор вправе подать возражения в 10 дней.
- Контроль исполнения — отчёт с доказательствами (скриншоты, приказы, обновлённые документы); возможна повторная внеплановая проверка.
Ключевые зоны риска в 2026 году:
- Избыточные или некорректные согласия (галочка «согласен со всем» больше не проходит).
- Несоответствие уведомления в реестр реальной обработке.
- Нарушения локализации баз данных граждан РФ.
- Отсутствие/слабая фиксация мер защиты и реагирования на инциденты.
- Передача ПДн третьим лицам без договоров поручения и согласий.
- Отсутствие обучения сотрудников и журналов обращений субъектов.
- Проблемы с трансграничной передачей и шифрованием (особенно после уточнений 2025–2026 гг.).
Практические рекомендации по подготовке:
- Проверьте реестр операторов — актуализируйте уведомление в Роскомнадзор (электронная форма на pd.rkn.gov.ru).
- Назначьте ответственного — приказ, должностная инструкция, обучение (с фиксацией).
- Актуализируйте документацию — политика, регламенты, модели угроз, акты классификации, журналы, планы реагирования на инциденты.
- Проведите аудит сайта — отдельные чекбоксы, конкретные цели, cookie-баннер, логи, формы.
- Обеспечьте локализацию — базы в РФ, отражение в уведомлении, резервные копии.
- Пройдите самопроверку — по проверочному листу Приказа Роскомнадзора № 253 от 24.12.2021 (актуален в 2026 г.).
- Фиксируйте всё — логи согласий, журнал обращений, кейсы удаления/исправления ПДн, процедуры уведомления об утечках.
- Подготовьте доказательства — шаблоны ответов субъектам, договоры с подрядчиками, сертификаты СКЗИ.
У нас есть комплексная услуга "Изменение систем ИБ в соответствии с нормами законодательства РФ". Предоставим рекомендации по устранению любых несоответствий, а ещё разработаем методологию и внутренние нормативные документы в области ИБ.
