Роскомнадзор осуществляет контроль за соблюдением требований в сфере персональных данных различными способами, включая контрольные (надзорные) мероприятия, проводимые в соответствии с Законом N 248-ФЗ, которые предполагают взаимодействие с контролируемым лицом. Однако контроль также может осуществляться посредством мероприятий без взаимодействия и профилактических мероприятий.

Важно отметить, что положения Закона N 248-ФЗ не распространяются на контрольные (надзорные) мероприятия, осуществляемые без взаимодействия с контролируемым лицом.

Кроме того, взаимодействие с Роскомнадзором может потребоваться и вне рамок контрольных мероприятий. Например, Роскомнадзор может запросить информацию, необходимую для реализации его полномочий, такую как рассмотрение жалоб граждан. В этом случае необходимо предоставить информацию в течение 10 рабочих дней с даты получения запроса, если срок не был продлен (ч. 4 ст. 20, п. 1 ч. 3 ст. 23 Закона о персональных данных). Несоблюдение этого требования может повлечь за собой административную ответственность по ст. 19.7 КоАП РФ.

Для избежания негативных последствий при взаимодействии с Роскомнадзором важно своевременно получать корреспонденцию, которая может быть направлена любым доступным способом, включая электронную почту.

Роскомнадзор контролирует соблюдение требований независимо от уведомления об обработке персональных данных. Для Роскомнадзора не имеет значения, подавали вы уведомление о начале обработки персональных данных или нет. Они могут контролировать соблюдение вами требований в любом случае. Оператором персональных данных признается любое лицо, организующее и/или осуществляющее обработку данных, определяющее цели и содержание обработки, состав данных и действия с ними (п. 2 ст. 3 Закона о персональных данных).

Контрольные (надзорные) мероприятия Роскомнадзора:

Роскомнадзор проводит плановые и внеплановые контрольные (надзорные) мероприятия (ч. 1 ст. 61, ч. 1 ст. 66 Закона N 248-ФЗ, п. 37 Положения о госконтроле (надзоре) за обработкой персональных данных).

Плановые мероприятия проводятся в отношении объектов контроля, отнесенных к категории высокого риска, согласно ежегодному плану, но не чаще одного раза в два года (п. 2 ч. 2 ст. 25, ч. 1 ст. 61 Закона N 248-ФЗ, п. п. 11, 12 Положения о госконтроле (надзоре) за обработкой персональных данных).

Нарушение периодичности плановых мероприятий является грубым нарушением, влекущим отмену принятых решений (ч. 1, п. 4 ч. 2 ст. 91 Закона N 248-ФЗ).

До 2030 года плановые мероприятия назначаются в особом порядке, и для некоторых организаций могут быть заменены обязательными профилактическими визитами (п. 11(4) Постановления Правительства РФ от 10.03.2022 N 336).

Формы взаимодействия с контролируемым лицом:

Инспекционный визит (осмотр, опрос, письменные объяснения).

Документарная проверка (истребование документов, письменные объяснения).

Выездная проверка (экспертиза, осмотр и др.).

Осмотр, опрос и экспертиза могут проводиться дистанционно, в том числе с использованием видео-конференц-связи и мобильного приложения "Инспектор" (п. 42(1) Положения о госконтроле (надзоре) за обработкой персональных данных).

О плановых мероприятиях можно узнать на сайте Роскомнадзора (п. 7 ч. 3 ст. 46 Закона N 248-ФЗ). Информация о внеплановых мероприятиях не раскрывается заранее.

Роскомнадзор информирует контролируемых лиц по вопросам соблюдения требований через свой сайт и личный кабинет в информационной системе (ч. 2 ст. 46 Закона N 248-ФЗ, п. 14 Положения о госконтроле (надзоре) за обработкой персональных данных).

Информация о контрольных мероприятиях с взаимодействием включается в единый реестр контрольных (надзорных) мероприятий (п. 1 ч. 1 ст. 19 Закона N 248-ФЗ), доступ к которому можно получить через Единый портал госуслуг или личный кабинет (ч. 4 ст. 21 Закона N 248-ФЗ, п. 23 Правил формирования и ведения единого реестра контрольных (надзорных) мероприятий).

Проведение мероприятий, не включенных в реестр, не допускается (ч. 4 ст. 19 Закона N 248-ФЗ).

Предмет контроля Роскомнадзора:

Соблюдение операторами обязательных требований в области персональных данных, установленных Законом о персональных данных и иными нормативными актами РФ (ч. 2 ст. 23.1 Закона о персональных данных, п. 1 Положения о госконтроле (надзоре) за обработкой персональных данных).

Роскомнадзор ведет перечень нормативных актов, содержащих обязательные требования, размещенный на его сайте.

Проверяемые аспекты зависят от типа контрольного мероприятия. Например, при документарной проверке рассматриваются имеющиеся документы и могут запрашиваться дополнительные (ч. 2, 3 ст. 72 Закона N 248-ФЗ, п. 46 Положения о госконтроле (надзоре) за обработкой персональных данных), а при выездной проверке проводятся осмотры и опросы (ч. 2, 2.1, 8 ст. 73 Закона N 248-ФЗ, п. 51 указанного Положения).

Продолжительность контрольных мероприятий:

Документарная проверка: до 10 рабочих дней (ч. 7 ст. 72 Закона N 248-ФЗ, п. 46 Положения о госконтроле (надзоре) за обработкой персональных данных), с возможностью приостановки на время предоставления документов или объяснений (ч. 7 ст. 72 Закона N 248-ФЗ).

Выездная проверка: до 10 рабочих дней (ч. 7 ст. 73 Закона N 248-ФЗ, п. 51 Положения о госконтроле (надзоре) за обработкой персональных данных), с ограничением общего времени взаимодействия для малого и микропредпринимательства (ч. 7 ст. 73 Закона N 248-ФЗ).

Инспекционный визит: не более одного рабочего дня (п. 45 Положения о госконтроле (надзоре) за обработкой персональных данных).

Результаты контрольных мероприятий:

При выявлении нарушений выдается предписание об их устранении (п. п. 45(1), 49(1), 52(1) Положения о госконтроле (надзоре) за обработкой персональных данных). По итогам мероприятия составляется акт (ч. 2 ст. 87 Закона N 248-ФЗ, п. 53 Положения о госконтроле (надзоре) за обработкой персональных данных).

Мероприятия без взаимодействия:

Проводятся на основании заданий, утвержденных руководством Роскомнадзора (п. п. 58, 60 Положения о госконтроле (надзоре) за обработкой персональных данных), и включают наблюдение за соблюдением требований в интернете и анализ информации об организациях и ИП (п. п. 58, 59 Положения о госконтроле (надзоре) за обработкой персональных данных).

При выявлении нарушений направляется требование о прекращении обработки, уничтожении или уточнении данных, а также может быть объявлено предостережение (п. 61 Положения о госконтроле (надзоре) за обработкой персональных данных).

Выявление угрозы причинения вреда является основанием для проведения контрольного мероприятия (ч. 4 ст. 23.1 Закона о персональных данных).

Положения Закона N 248-ФЗ не распространяются на контрольные мероприятия без взаимодействия.

Профилактические мероприятия:

Роскомнадзор ежегодно утверждает программу профилактики рисков (ч. 2, 3 ст. 44 Закона 248-ФЗ), включающую информирование, обобщение практики, объявление предостережений, консультирование и профилактические визиты (п. 13 Положения о госконтроле (надзоре) за обработкой персональных данных).

Взаимодействие в рамках профилактических мероприятий осуществляется с согласия контролируемых лиц, за исключением обязательного профилактического визита (ч. 3 ст. 45, ч. 3 ст. 52.1 Закона 248-ФЗ).

Обязательный профилактический визит:

Проводится по поручению Президента РФ, в случаях, установленных Правительством РФ, или при отнесении объекта контроля к определенной категории риска (п. 1, пп. "а" п. 4 ч. 1, ч. 2 ст. 52.1 Закона N 248-ФЗ, п. 30 Положения о госконтроле (надзоре) за обработкой персональных данных).

Периодичность зависит от категории риска (п. 3 ч. 2 ст. 25 Закона N 248-ФЗ, п. 12 Положения о госконтроле (надзоре) за обработкой персональных данных, Приложение к Постановлению Правительства РФ от 01.10.2025 N 1511).

Срок проведения не должен превышать 10 рабочих дней (ч. 4, 8 ст. 52.1 Закона N 248-ФЗ, п. 33 Положения о госконтроле (надзоре) за обработкой персональных данных), и может быть продлен при необходимости проведения экспертизы.

Осмотр может проводиться дистанционно с использованием видео-конференц-связи и мобильного приложения "Инспектор" (п. 30 Положения о госконтроле (надзоре) за обработкой персональных данных).

По итогам визита составляется акт, и при выявлении нарушений выдается предписание об их устранении (ч. 9, 13 ст. 52.1 Закона N 248-ФЗ, п. 34 Положения о госконтроле (надзоре) за обработкой персональных данных).

Если визит невозможен, составляется акт, и может быть принято решение о повторном визите (ч. 11, 12 ст. 52.1 Закона N 248-ФЗ).

При установлении явной угрозы причинения вреда принимаются меры по проведению контрольного мероприятия (ч. 3, 4 ст. 45 Закона 248-ФЗ).

Ответственность за нарушения:

За нарушения в сфере персональных данных предусмотрена административная ответственность, например, за обработку данных в случаях, не предусмотренных законом, или неуведомление Роскомнадзора (ч. 1, 1.1, 10, 11 ст. 13.11 КоАП РФ).

Также предусмотрена ответственность за неисполнение запросов Роскомнадзора и возможность блокировки интернет-ресурсов (п. 3.1 ч. 3 ст. 23 Закона о персональных данных).

При наличии оснований материалы могут быть переданы в органы прокуратуры или правоохранительные органы (п. 7 ч. 3 ст. 23 Закона о персональных данных).

Обжалование решений и действий Роскомнадзора:

Решения и действия (бездействие) должностных лиц Роскомнадзора могут быть оспорены в досудебном порядке и в суде (п. 5 ст. 36, ч. 1 ст. 39, ч. 4 ст. 40 Закона N 248-ФЗ, ч. 6 ст. 23 Закона о персональных данных).

Обращение в суд возможно только после досудебного обжалования, за исключением случаев обжалования гражданами, не осуществляющими предпринимательскую деятельность (ч. 2 ст. 39 Закона N 248-ФЗ).

Решения, принятые с грубым нарушением требований к организации и осуществлению контроля, подлежат отмене (ч. 1 ст. 91 Закона N 248-ФЗ).