Журнал "Information Security/ Информационная безопасность" #1, 2026

Функция контроля опирается прежде всего на Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных" в актуальной редакции, который задает требования к обработке, защите и контролю соблюдения прав субъектов. В последние годы внесены крупные пакеты поправок, резко ужесточившие ответственность и расширившие обя- занности операторов. Помимо 152-ФЗ, контроль обработки ПДн увязан с положениями о госу- дарственном контроле (надзоре) и под- законными актами Правительства РФ, регламентирующими федеральный гос- надзор за обработкой ПДн. Постанов- ление Правительства РФ от 27 августа 2025 г. № 1286 утвердило "Изменения, которые вносятся в Положение о феде- ральном государственном контроле (надзоре) за обработкой персональных данных". Эти изменения касаются периодичности проверок в зависимости от категории риска; использования дис- танционного формата и цифровизации контроля; процедуры проведения обя- зательного профилактического визита; сокращения сроков рассмотрения жалоб субъектов, применения индика- торов риска в области персональных данных и др. На ранних этапах регулирования конт- роль внутри организаций сводился к проверке наличия локальных актов, согласий и бумажного подтверждения базовых технических мер, упор делался на документирование процедур, состав и сроки хранения ПДн, тогда как аудит и анализ рисков носили эпизодический характер, а их качественная оценка практически отсутствовала даже в актах Роскомнадзора. С введением морато- рия на плановые проверки в 2022 г. контакты с уполномоченными органами ограничивались профилактическими мероприятиями (согласно приказу № 390 от 19.12.2025, обязательные профвизиты в 2025 г. не проводились), контрольными мероприятиями в Интер- нете (3163 в 2025 г.) и реагированием на обращения или инциденты. Требования к внутреннему контролю Изменения внешней и внутренней среды ужесточили и требования к конт- ролю. С 2025 г. оператор обязан орга- низовывать систематический внутрен- ний контроль и аудит соответствия обработки ПДн требованиям законода- тельства и локальных актов с учетом дополнений в ст. 4.1 КоАП РФ. Для этого в организациях закрепляются про- цедуры регулярных внутренних прове- рок, ведется документация, позволяю- щая оценить законность, обоснован- ность и безопасность обработки дан- ных. Контроль включает проверку соблю- дения принципов минимизации данных, разумного ограничения целей и четкого определения сроков хранения, актуаль- ности и точности ПДн, а также анализа рисков причинения вреда субъектам при компьютерных инцидентах. Опера- торы ПДн используют внутренние рег- ламенты, чек-листы, планы проверок и отчетность по итогам внутреннего контроля. Оператор ПДн в России рассматри- вается как центральное звено в системе защиты: на него возложены обязанно- сти как по организации обработки и защиты, так и по контролю соблюдения законодательства и прав субъектов. Ранее в организации модель контроля за обработкой ПДн предполагала фраг- ментацию ответственности между юри- дическим, клиентским, информацион- но-техническим и кадровым подразде- лениями, что приводило к несогласо- ванности и повышению операционных рисков. Сегодня наблюдается переход к интегрированной модели: в штатном расписании оператора могут выделяться ответственный за организацию обра- ботки ПДн (152-ФЗ ст. 22.1) и ответ- ственный за защиту ПДн (см. рекомен- дацию РКН от 08.08.2023). Ответствен- ный за организацию обработки ПДн обязан осуществлять внутренний конт- роль за соблюдением оператором и его работниками законодательства РФ о ПДн; доводить до сведения работни- ков оператора положения законода- тельства РФ о ПДн, локальных актов по вопросам обработки ПДн, обучать их требованиям к защите ПДн; анали- зировать инциденты с ПДн, взаимодей- ствовать с надзорными органами, отве- чать на обращения и запросы субъектов ПДн. Периодическое проведение инвен- таризации бизнес-процессов (целей) обработки персональных данных поз- воляет ответственным повысить не толь- ко прозрачность, но и внутренний конт- роль. Организационно усиливается внима- ние к кадровым процедурам: порядку доступа сотрудников к ПДн, подписанию обязательств о неразглашении, листов ознакомления с внутренними процеду- рами, обучению и периодической про- верке знаний требований по обработке и защите ПДн. Локальные акты Требования к наличию и содержанию некоторых локальных документов также ужесточились: организации обя- заны разрабатывать политику в отно- шении обработки и защиты ПДн, поли- тики конфиденциальности и политики cookies, регламенты доступа, инструк- ции сотрудников и порядок реагирова- ния на инциденты; детализировать функционал пользователей в трудовых договорах, должностных инструкциях. Функция контроля включает проверку наличия и актуальности этих докумен- тов, их соответствия действующему законодательству и реальной практике обработки. Документирование контроля стало практическим атрибутом, самостоятель- ным элементом: ведутся журналы про- верок, протоколы аудитов, отчеты о несоответствиях и планах корректи- рующих мероприятий, а также записи об обучении работников. 66 • УПРАВЛЕНИЕ Эволюция контроля ПДн в организациях ункция контроля обработки персональных данных в орга- низациях Российской Федерации претерпевает системную трансформацию, переходя от формального документально- го соответствия к интегрированной бизнес-функции. Давай- те проанализируем ключевые изменения в нормативно-пра- вовом регулировании, организационных подходах, техноло- гическом обеспечении и роли ответственных лиц. Ф Людмила Астахова, д.п.н., профессор, заместитель генерального директора по методической и научной работе ООО “Институт мониторинга и оценки информа- ционной безопасности” Фото: Л. Астахова