Роскомнадзор утвердил список операторов и профилактических визитов по 152-ФЗ на 2026 год

Роскомнадзор опубликовал приказ от 19.12.2025 № 390 с перечнем операторов персональных данных, в отношении которых в 2026 году запланированы профилактические визиты.

Перечень во многом отражает практику предыдущих лет: наибольшее количество визитов запланировано в отношении медицинских, образовательных и туристических организаций, компаний сферы ЖКХ, а также организаций, оказывающих бухгалтерские и юридические услуги.

Программа профилактики по тематике персональных данных начинается на стр. 54, сам перечень операторов – на стр. 67-240. На каждое региональное управление приходится порядка 30 операторов, на окружное – 50-60.

В списке указана категория риска оператора и период запланированного визита. Рекомендуем проверить, включена ли ваша компания в перечень.

Ранее оператор мог отказаться от профилактического визита. Однако после вступления в силу ФЗ № 540 для обязательных профилактических визитов отказ стал невозможен (ст. 52.1 ФЗ № 248). Подробнее об изменениях в правилах проведения визитов мы писали здесь.

Что такое профилактический визит

Профилактический визит – профилактическое мероприятие, в рамках которого:

• оператор информируется об обязательных требованиях и критериях риска;
• инспектор оценивает уровень соблюдения оператором обязательных требований.

В ходе визита оператору разъясняются:

• обязательные требования к деятельности по обработке персональных данных;
• соответствие установленной категории риска;
• рекомендуемые способы снижения категории риска;
• виды и интенсивность контрольных мероприятий с учетом категории риска.

Инспектор, в свою очередь:

• знакомится с деятельностью оператора;
• собирает сведения для подтверждения или изменения категории риска;
• оценивает уровень соблюдения обязательных требований.

С учетом изменений, внесённых в 2024 году, обязательные профилактические визиты по своему содержанию стали значительно ближе к полноценным проверкам.

Как проходит профилактический визит

Профилактический визит проводится территориальным управлением Роскомнадзора:

• очно по месту осуществления деятельности оператора;
• с использованием видео-конференц-связи;
• через мобильное приложение «Инспектор».

Срок проведения визита – не более 10 рабочих дней.

В рамках визита инспектор вправе запрашивать документы и сведения об обработке персональных данных. Ранее типовой запрос включал, в частности:

• цели обработки персональных данных по каждому виду деятельности;
• правовые основания обработки со ссылками на ч. 1 ст. 6 152-ФЗ с подтверждающими документами (согласия, договоры, нормы закона);
• документы о назначении ответственного за организацию обработки персональных данных;
• политику оператора и локальные акты по вопросам обработки;
• подтверждение локализации баз данных на территории РФ;
• типовые формы документов, содержащих персональные данные (анкеты, журналы, реестры);
• URL-адреса сайтов, с использованием которых осуществляется обработка персональных данных.

Пример типового запроса см. здесь.

Ранее в рамках визита оценивалось «состояние деятельности оператора по обработке персональных данных». Сейчас в правилах проведения профилактических визитов прямо указано, что инспектор оценивает уровень соблюдения оператором обязательных требований.

На практике это может означать использование проверочного листа (приказ Роскомнадзора от 24.12.2021 № 253), который предусматривает более широкий перечень вопросов. С учетом этого есть риск, что в ходе визита может быть запрошена более детальная информация по каждому направлению обработки, фактически как в процессе выездной проверки. Подходы станут понятны после того, как будут проведены первые визиты по новым правилам.

Кроме запроса документов в ходе визита инспектор вправе проводить:

• осмотр (например, могут быть осмотрены информационные системы, используемые оператором для обработки персональных данных);
• инструментальное обследование;
• испытания;
• экспертизу.

Чем может завершиться профилактический визит

По итогам визита составляется акт обязательного профилактического визита.

Если в ходе визита выявлены нарушения обязательных требований, и они не устранены до завершения визита, то оператору может быть выдано предписание об их устранении.

Если в ходе визита будет установлено, что деятельность оператора создаёт явную непосредственную угрозу причинения вреда либо вред уже причинён, может быть принято решение о проведении контрольного (надзорного) мероприятия.

Также по результатам визита может быть скорректирована категория риска оператора.

Что делать, если вы в списке

Оператору в первую очередь необходимо обеспечить наличие документов:

1. Реестр процессов обработки с указанием целей, категорий субъектов, правовых оснований, перечня данных, способов и сроков обработки, а также порядка уничтожения персональных данных. Подробнее о нем можно прочитать здесь.
2. Локальные нормативные акты и иные документы, подтверждающие выполнение требований 152-ФЗ и подзаконных актов (прежде всего постановлений Правительства РФ № 687 и 1119)
3. Политика обработки персональных данных и иные документы, размещаемые на сайтах и других электронных ресурсах компании (баннеры, согласия).
4. Актуальные уведомления о намерении осуществлять обработку, а также о трансграничной передаче
5. Формы согласий на обработку персональных данных
   
   Документы под пунктами 2-5 должны соответствовать реестру процессов обработки (п. 1)
   
6. Документы, подтверждающие размещение баз данных на территории РФ
7. Документы, подтверждающие ознакомление работников оператора с требованиями законодательства и документов оператора по вопросам персональных данных

Минимальный набор необходимой документации см. здесь.

Как может помочь PrivacyLine

Подготовка к визиту существенно упрощается, если учет процессов ведётся централизованно, а документы автоматически создаются на его основе.

В PrivacyLine можно:

• вести реестр процессов обработки со всеми необходимыми параметрами – макроцелями, целями, правовыми основаниями, категориями данных и субъектов, сроками хранения и др.;
• формировать согласия, поручения и локальные акты на основе данных учета;
• выгружать сводную информацию для подготовки ответов на запрос инспектора;
• подготовиться к вопросам инспектора на основе материалов базы знаний.

С использованием сервиса оператор может продемонстрировать системный подход к соблюдению требований законодательства.

Попробовать бесплатно: