ГрамотаИБ ГрамотаИБ

Проверочный лист Роскомнадзора (приказ №253): по чему проверяют операторов ПДн

22.06.2026

Что такое проверочный лист Роскомнадзора, утверждённый приказом №253 от 24.12.2021: список контрольных вопросов, по которым инспектор проверяет соблюдение 152-ФЗ. Почему по 248-ФЗ проверка ограничена этим листом, какие темы он охватывает и как использовать его для самопроверки до прихода регулятора.

Приказ Роскомнадзора от 24 декабря 2021 г. №253 утверждает форму проверочного листа — списка контрольных вопросов, по которым инспектор оценивает, соблюдает ли оператор обязательные требования законодательства о персональных данных. Фактически это официальная шпаргалка проверки: документ опубликован, и любой оператор может заранее пройтись по нему и закрыть пробелы до прихода регулятора.

Что утверждает приказ №253

Приказ утверждает форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении обязательных требований), применяемого при федеральном государственном контроле (надзоре) за обработкой ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн).. Приказ зарегистрирован Минюстом в феврале 2022 года и действует с последующими изменениями (актуальная редакция — 2023 года). Лист публикуется на сайте Роскомнадзора и его территориальных органов.

Почему это важно: инспектор не выходит за рамки листа

С 2021 года государственный контроль регулируется Федеральным законом №248-ФЗ. По нему при плановых контрольных (надзорных) мероприятиях инспектор обязан использовать проверочный лист, а предмет проверки ограничен вопросами из этого листа — спрашивать сверх него нельзя. Поэтому проверочный лист №253 — это исчерпывающий перечень того, что у вас проверят: закрыв все его пункты, вы закрываете проверку по существу.

Из чего состоит лист

Проверочный лист — это таблица из нескольких десятков контрольных вопросов. У каждого вопроса указан реквизит нормы, на которой он основан. Нормативная основа — обязательные требования:

  • 152-ФЗ «О персональных данных» — основной массив вопросов (основания обработки, согласия, права субъектов, меры защиты, уничтожение и др.).
  • ПП РФ №687 — особенности обработки ПДн без средств автоматизации (бумажная обработка).
  • ПП РФ №211 — перечень мер для операторов, являющихся государственными и муниципальными органами.
  • иные подзаконные акты по обработке и защите ПДн.

Какие темы охватывает

Вопросы листа сгруппированы вокруг обязанностей оператора по 152-ФЗ. Основные темы:

  • назначение лица, ответственного за организацию обработки ПДн, и его полномочия;
  • политика в отношении обработки ПДн, локальные акты и перечень обрабатываемых данных;
  • правовые основания обработки и получение согласий субъектов, отзыв согласия;
  • уведомление Роскомнадзора об обработке ПДн и поддержание сведений в актуальном состоянии;
  • реализация прав субъектов: предоставление сведений, уточнение, блокирование, удаление данных и прекращение обработки;
  • сроки хранения и своевременное уничтожение ПДн по достижении целей обработки;
  • трансграничная передача персональных данных;
  • поручение обработки третьим лицам (обработчикам) и контроль их соответствия требованиям;
  • конфиденциальность и организационные меры по обеспечению безопасности ПДн (статьи 18.1 и 19 152-ФЗ).

Как использовать для самопроверки

Алгоритм простой: скачайте актуальный проверочный лист с сайта территориального управления Роскомнадзора, пройдите по каждому вопросу и честно отметьте, выполнено требование или нет. По каждому невыполненному пункту лист сам указывает норму — её и нужно закрыть документом, реестром или фактической мерой. Это и есть готовность к проверке: не угадывать, что спросят, а ответить на конкретный официальный список. Как устроена сама проверка — в статье «Как подготовиться к проверке Роскомнадзора».

На что обратить внимание

  • Журналы учёта. Часть вопросов закрывается не только документом, но и фактическим ведением учёта (обращения субъектов, передача данных, ознакомление работников). Подробнее — какие журналы проверяет РКН.
  • Бумажная обработка. Если есть обработка без средств автоматизации, проверят и требования ПП-687 — см. обработку ПДн без средств автоматизации.
  • Государственные и муниципальные операторы. Для них добавляются вопросы по ПП-211.
  • Своевременное уничтожение. Хранение дольше, чем нужно для цели, — частое нарушение; следите за сроками и оформляйте уничтожение актом. Что ещё изменилось — в статье «Что изменилось в работе с ПДн в 2025–2026».

Главное

Проверочный лист №253 — это не угроза, а подарок: регулятор сам опубликовал, по каким вопросам будет проверять, и по 248-ФЗ не вправе выходить за их рамки. Пройдите лист заранее как самопроверку — и проверка перестаёт быть лотереей. ГрамотаИБ помогает закрыть требования 152-ФЗ под профиль оператора: документы, реестры, журналы и отчёт готовности к проверке — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Утечка персональных данных: пошаговый алгоритм действий

Что делать оператору при утечке персональных данных: как зафиксировать инцидент, уведомить Роскомнадзор в течение 24 часов и о результатах расследования за 72 часа (статья 21 152-ФЗ), провести внутреннее расследование, устранить последствия и зафиксировать всё в журнале. Пошаговый план, чтобы не получить отдельный штраф за молчание.

Штрафы за персональные данные в 2025 году: новые суммы и за что

Что изменилось в ответственности за персональные данные с 30 мая 2025 года (Федеральный закон №420-ФЗ): новые размеры штрафов по статье 13.11 КоАП, отдельная ответственность за утечки по числу субъектов, оборотные штрафы за повтор, штраф за неуведомление Роскомнадзора, уголовная ответственность за незаконный оборот ПДн и что снижает риск.

Персональные данные для интернет-магазина: что нужно оператору

Как интернет-магазину законно работать с персональными данными покупателей: какие данные собираются и на каких основаниях, нужно ли согласие на оформление заказа, cookies и аналитика, уведомление Роскомнадзора, поручение обработки CRM и службам доставки, трансграничная передача и типичные ошибки, которые ведут к штрафу.

Обработка персональных данных без средств автоматизации: требования ПП-687

Как законно вести обработку ПДн без средств автоматизации (на бумаге и иных материальных носителях) по Положению, утверждённому Постановлением Правительства РФ №687, и статье 18.1 152-ФЗ: что считается неавтоматизированной обработкой, принципы обособления и хранения, требования к формам и бланкам, какие учёты и журналы вести и на что смотрит Роскомнадзор.