Как изменилась функция контроля обработки и защиты персональных данных в организации?

апр
09
2026
redaktor
В журнале «Information Security / Информационная безопасность» №1, 2026 опубликована статья заместителя генерального директора по методической работе Людмилы Астаховой, д.п.н., профессора«Эволюция контроля ПДн в организациях». Публикация посвящена актуальным вопросам развития подходов к контролю персональных данных в организациях и представляет практический интерес для специалистов в области информационной безопасности.  
 
 
За последние годы функция контроля обработки персональных данных в организациях Российской Федерации претерпела системную трансформацию, перейдя от формального документального соответствия к интегрированной бизнес-функции. В настоящей статье анализируются ключевые изменения в нормативно-правовом регулировании, организационных подходах, технологическом обеспечении и роли ответственных лиц.
           
Цифровая трансформация российской экономики, ускоренная реализацией программы «Цифровая экономика Российской Федерации», сопровождается экспоненциальным ростом объёма обрабатываемых персональных данных (ПДн). Данные тенденции обусловили необходимость трансформации подходов к контролю обработки ПДн, перехода от реактивной модели к проактивной системе управления рисками. Цель настоящей статьи — проанализировать ключевые изменения в функции контроля обработки ПДн в российских организациях за последние несколько лет и сформулировать практико-ориентированные выводы для руководителей.
  1. Нормативная база и её эволюция
Функция контроля опирается прежде всего на Федеральный закон от 27 июля 2006 г. № 152‑ФЗ «О персональных данных»[1] в актуальной редакции, который задаёт требования к обработке, защите и контролю соблюдения прав субъектов. В последние годы внесены крупные пакеты поправок[2], резко ужесточившие ответственность и расширившие обязанности операторов.
Помимо 152‑ФЗ, контроль обработки ПДн увязан с положениями о государственном контроле (надзоре) и подзаконными актами Правительства РФ, регламентирующими федеральный госнадзор за обработкой ПДн. Постановление Правительства РФ от 27 августа 2025 г. № 1286 утвердило «Изменения, которые вносятся в Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных»[3]. Эти изменения касаются периодичности проверок в зависимости от категории риска; использования дистанционного формата и цифровизации контроля; процедуры проведения обязательного профилактического визита; сокращения сроков рассмотрения жалоб субъектов, применения индикаторов риска в области персональных данных и др.
  1. Традиционное содержание функции контроля
На ранних этапах регулирования контроль внутри организаций сводился преимущественно к проверке формального наличия локальных актов, согласий, а также бумажного подтверждения выполнения базовых технических мер защиты. Важным считалось документирование и описание общих процедур обработки, состав и сроки хранения ПДн. Однако практики регулярного аудита и анализа рисков носили эпизодический характер, при этом качественный анализ этих составляющих практически отсутствовал даже в итоговых документах по проверкам операторов Управлениями Роскомнадзора. С момента введения моратория на плановые проверки в 2022 году контакты с уполномоченными органами ограничивались, как правило: адресными профилактическими мероприятиями (хотя, как сказано в Приказе Роскомнадзора №390 от 19.12.2025 года,[4]  даже обязательные профилактические визиты в 2025 году не проводились); контрольными мероприятиями в сети Интернет (их проведено в 2025 году 3163); реагированием регулятора на отдельные обращения либо инциденты.
  1. Современные требования к внутреннему контролю
Изменения внешней и внутренней среды ужесточили и требования к контролю. С 2025 года оператор обязан организовывать систематический внутренний контроль и аудит соответствия обработки ПДн требованиям законодательства и локальных актов с учетом дополнений в ст.4.1 КоАП РФ. Для этого в организациях закрепляются процедуры регулярных внутренних проверок, ведётся документация, позволяющая оценить законность, обоснованность и безопасность обработки данных.
Контроль включает проверку соблюдения принципов минимизации данных, разумного ограничения целей и четкого определения сроков хранения, актуальности и точности ПДн, а также анализа рисков причинения вреда субъектам при компьютерных инцидентах. Операторы ПДн используют внутренние регламенты, чек‑листы, планы проверок и отчётность по итогам внутреннего контроля.
  1. Роль оператора и ответственных лиц в организации контроля
Оператор ПДн в России сегодня рассматривается как центральное звено в системе защиты: на него возложены как обязанности по организации обработки и защиты, так и по контролю соблюдения законодательства и прав субъектов. Ранее в организации модель контроля за обработкой ПДн предполагала фрагментацию ответственности между юридическим, клиентским, информационно-техническим и кадровым подразделениями, что приводило к несогласованности и повышению операционных рисков. Сегодня наблюдается переход к интегрированной модели: в штатном расписании оператора могут выделяться ответственный за организацию обработки ПДн (152-ФЗ ст.22.1.) и ответственный за защиту ПДн (см. Рекомендацию РКН от 08.08.2023 года[5]). Ответственный за организацию обработки ПДн обязан осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о ПДн; доводить до сведения работников оператора положения законодательства РФ о ПДн, локальных актов по вопросам обработки ПДн, обучать их требованиям к защите ПДн; анализировать инциденты с ПДн, взаимодействовать с надзорными органами, отвечать на обращения и запросы субъектов ПДн. Периодическое проведение инвентаризации бизнес-процессов(целей) обработки персональных данных позволяет ответственным повысить не только прозрачность, но и внутренний контроль.
Организационно усиливается внимание к кадровым процедурам: порядку доступа сотрудников к ПДн, подписанию обязательств о неразглашении, листов ознакомления с внутренними процедурами, обучению и периодической проверке знаний требований по обработке и защите ПДн.
  1. Локальные акты и документирование контроля
Требования к наличию и содержанию некоторых локальных документов также ужесточились: организации обязаны разрабатывать политику в отношении обработки и защиты ПДн, политики конфиденциальности и политики cookies, регламенты доступа, инструкции сотрудников и порядок реагирования на инциденты; детализировать функционал пользователей в трудовых договорах, должностных инструкциях. Функция контроля включает проверку наличия и актуальности этих документов, их соответствия действующему законодательству и реальной практике обработки.
            Документирование контроля стало практическим атрибутом, самостоятельным элементом: ведутся журналы проверок, протоколы аудитов, отчёты о несоответствиях и планах корректирующих мероприятий, а также записи об обучении работников.
  1. Изменения в регулировании согласия и обработки
С 1 сентября 2025 года согласие на обработку ПДн физически и смыслово должно быть оформлено как отдельный документ, а не «спрятано» внутри договора или пользовательского соглашения. Это радикально повышает требования к прозрачности и проверке корректности согласий. Функция контроля теперь включает анализ форм согласия, их содержания и процесса получения, а также проверку наличия конкретного, информированного и недвусмысленного волеизъявления субъекта.
Уточнены и расширены правила работы с биометрическими и обезличенными данными, включая передачу в государственные информационные системы и запрет передачи ряда категорий данных иностранным субъектам, что усложняет контроль за соблюдением маршрутов обработки и передачи.
  1. Усиление ответственности и риск‑ориентированность
Федеральный закон № 420‑ФЗ и его последующие изменения с 30 мая 2025 года ввели градуированные штрафы за утечки и нарушения обработки ПД. Это превратило внутренний контроль в ключевую меру управления комплаенс‑рисками: руководству выгоднее инвестировать в проверку процессов и защиту, чем нести последствия крупных инцидентов.  Не заставила себя ждать и судебная практика. Так, 16 февраля 2026 года было отменено решение о взыскании с ОАО «РЖД» штрафа за утечку ПДн, поскольку не было доказано, что в ОАО не были приняты все зависящие от него меры по соблюдению правил и норм действующего законодательства  по ПДн[6].
Помимо административной, усиливается и уголовная ответственность за грубые нарушения и незаконное использование ПДн, что дополнительно повышает значимость внутреннего и внешнего контроля для руководителей и должностных лиц.
  1. Взаимодействие внутреннего и внешнего контроля
Функция контроля в организациях меняется под влиянием реформ государственного надзора: обновлён регламент федерального госконтроля за обработкой ПДн, уточнены подходы к плановым и внеплановым проверкам, перечень проверяемых документов и критерии оценки соблюдения требований. Внутренний контроль теперь фактически ориентируется на подготовку к таким проверкам, объявления предостережения, обеспечивая наличие доказательств соблюдения законодательства и исполнения предписаний. Важным подспорьем при проведении внутреннего контроля становится форма проверочного листа, утвержденная Приказом РКН № 253 от 24.12.2021[7] и дополненная изменениями от 10.01.2023 г.
Особую роль играет и технический контроль ФСТЭК России, которая запрашивает отчёты по защищённости и соблюдению условий лицензий, что стимулирует компании системно выстраивать внутренний контроль за обработкой и защитой ПДн.
  1. Техническая и организационная составляющие контроля
Обязанность оператора «принимать необходимые организационные и технические меры» к защите ПДн теперь наполняется более конкретным содержанием: контроль охватывает и использование криптографических средств, систем разграничения доступа, средств защиты от утечек и мониторинга инцидентов. Проверяется корректность классификации информационных систем, наличие моделей угроз и соответствие принятых мер установленным требованиям по уровням защищённости.
Демонстрирует рост рынок решений для автоматизации контроля обработки ПДн. Наиболее востребованными стали внутренние платформы управления согласиями, обеспечивающие автоматизированный сбор, хранение, обновление и отзыв согласий субъектов ПДн с интеграцией в цифровые каналы взаимодействия.
  1. Контроль инцидентов и уведомление Роскомнадзора
Существенно изменилось содержание контроля за реагированием на инциденты с ПДн: организации обязаны иметь процедуры выявления утечек, фиксации инцидентов и немедленного уведомления Роскомнадзора и иных уполномоченных органов в установленные сроки. Несвоевременное или неполное уведомление теперь само по себе является отдельным правонарушением с существенно более строгими санкциями.
Контроль предусматривает анализ причин инцидентов, оценку ущерба субъектам, оперативное информирование субъектов ПДн, разработку и реализацию корректирующих мероприятий, что сближает функцию контроля с практиками управленческого и ИБ‑аудита.
  1. Специфика работы с биометрическими и обезличенными данными
Отдельным направлением стало регулирование биометрических и обезличенных данных: предусмотрена централизация биометрии в Единой биометрической системе и обязанность операторов удалять локальные копии данных в установленные сроки. Контроль в организациях должен обеспечивать, чтобы биометрические данные не хранились неоправданно долго и не передавались неуполномоченным лицам, в том числе иностранным субъектам.
      Для обезличенных данных вводится обязательная передача определённых массивов в государственные информационные системы и ужесточаются требования к их защите, что требует дополнительного мониторинга каналов передачи и применяемых методов обезличивания.
  1. Практические последствия для организаций
Организации вынуждены проводить неформальный и регулярный аудит процессов обработки ПДн, приводить локальные документы в соответствие с изменяющимся законодательством и повышать уровень технической защиты ПДн. Существенно выросла потребность в обучении персонала, создании или усилении подразделений по комплаенсу и информационной безопасности, а также во внедрении специализированных решений для мониторинга и предотвращения утечек.
Наш практический опыт показывает, что для успешной адаптации к новым требованиям контроля обработки ПДн необходимо:
Во-первых, пересмотреть вовлеченность первых лиц компании в процессы защиты информационных ресурсов, когда их решения значимы как для бизнеса в целом, так и репутации компании, а личное действие или бездействие могут привести к инцидентам.
Во-вторых, назначить ответственного за обработку ПДн, обучить его по программе профессиональной переподготовки (см., например, программу[8]), провести аудит текущих процессов обработки ПДн с фокусом на выявлении точек, где требования законодательства замедляют бизнес-процессы.
В-третьих, обеспечить вовлечение ответственного за организацию обработки персональных данных и ответственного за защиту ПДн в проектные группы на ранних этапах использования и (или) разработки цифровых продуктов. Даже минимальное участие на стадии формирования технического задания позволяет избежать значительных затрат на переделку решений впоследствии.
В-четвертых, рассмотреть возможности поэтапной автоматизации наиболее трудоёмких контрольных процедур, начиная с управления согласиями или обработки запросов субъектов данных. Современные решения российских вендоров доступны организациям различного масштаба и позволяют получить ощутимый эффект уже на начальных этапах внедрения.
В-пятых, принять все разумные меры по защите ПДн согласно действующему законодательству: обучение сотрудников, тесты защищенности, аудиты, минимизация сбора данных и др. Это – то, что демонстрирует добросовестность оператора ПДн и служит смягчающим обстоятельством по ч.15,18 ст. 13.11 КоАП РФ при утечках данных. Документальное подтверждение мер защиты ПДн как смягчающее обстоятельство закрепляет Федеральный закон от 30.11.2024 № 420-ФЗ.[9] Статья 4.1 КоАП, дополненная частью 3.4-2, вступила в силу с 30 мая 2025 года.
Таким образом, за последние годы функция внутреннего контроля обработки ПДн в организациях в России стала более формализованной, риск‑ориентированной и юридически значимой. Из формальной обязанности она превратилась в комплексную многоуровневую систему внутреннего и внешнего комплаенса с усиленной ответственностью, жесткими требованиями к локальным документам, процедурам и обучению персонала, с управлением юридическими и репутационными рисками. Рост штрафов и автоматизация мониторинга со стороны государства сделали контроль непрерывным и технически сложным процессом, неразрывно связанным с кибербезопасностью и требующим профессиональной переподготовки и постоянного повышения квалификации в области организации обработки и защиты ПДн.
 
Людмила Астахова, д.п.н., профессор, заместитель генерального директора по методической и научной работе ООО "Институт мониторинга и оценки информационной безопасности"

 

 

[1] Федеральный закон от 27 июля 2006 г. № 152‑ФЗ «О персональных данных»

[2] Федеральный закон от 8 августа 2024 г. N 233-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и Федеральный закон "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных ";

Федеральный закон от 28 февраля 2025 г. N 23-ФЗ "О внесении изменений в Федеральный закон "О персональных данных " и отдельные законодательные акты Российской Федерации";

Федеральный закон от 24 июня 2025 г. N 156-ФЗ "О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации";

Федеральный закон от 23 мая 2025 г. N 121-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации и о проведении эксперимента по внедрению дополнительных механизмов учета иностранных граждан";

Федеральный закон от 28 декабря 2024 г. N 519-ФЗ "О внесении изменений в статьи 10 и 11 Федерального закона "О персональных данных " и отдельные законодательные акты Российской Федерации";

Федеральный закон от 30 ноября 2024 г. N 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" и др.

[3] Постановление Правительства Российской Федерации от 27 августа 2025 г. N 1286 "О внесении изменений в постановление Правительства Российской Федерации от 29 июня 2021 г. N 1046".

[4] Приказ Роскомнадзора от 19.12.2025 № 390 «Об утверждении Программ профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям на 2026 год».

[5] Рекомендации Роскомнадзора операторам персональных данных от 08.08.2023 года

[6] Электронное правосудие. Об административных правонарушениях. – URL: https://kad.arbitr.ru/Card/9be32091-3795-49af-8469-e0b016c8f271

7] Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. N 253 "Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами"

[8] Организация и управление обработкой ПДн в организации: Программа профессиональной переподготовки / Институт мониторинга и оценки информационной безопасности. – URL: https://imoib.ru/training/course/pp-PDN-320

[9] Федеральный закон от 30 ноября 2024 г. N 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"

Ключевые слова: 
исследование