Роскомнадзор утвердил Приказ № 390 от 19.12.2025 — документ, который определяет, кто попадёт под обязательные профилактические визиты в 2026 году. На сайте ведомства приказ и список операторов появились в феврале 2026 года.
Если вы нашли свою компанию в этом списке — статья для вас. Разберём спокойно и по делу: что это за визиты, чего ждать от инспекторов и как подготовиться, чтобы не получить предписание.
Кто в зоне риска? Три простых признака
В перечне на 174 страницах — не случайные компании. Чтобы туда попасть, достаточно трёх условий:
-
вы уже в реестре Роскомнадзора;
-
начали обрабатывать данные в 2025 году;
-
работаете с биометрией (отпечатки, лицо, голос) или передаёте данные за границу (зарубежная CRM, облако, даже Google Forms).
Под ударом в 2026 году — медицина, образование, банки, МФО, IT‑компании, маркетплейсы, управляющие компании ЖКХ.
Как проверить себя?
Откройте полный текст Приказа № 390 и прикреплённый к нему перечень на сайте Роскомнадзора. Список операторов опубликован на страницах 67–240.
Если вы не нашли свою компанию в перечне — это не индульгенция. Мораторий на плановые проверки до 2030 года не отменяет внеплановые (по жалобам клиентов или факту утечки данных).
Что изменилось в 2026 году? Три главных сюрприза
Раньше можно было отмахнуться: «Профилактика? Ну, поболтаем». Сейчас нет.
Первый сюрприз — биометрия стала красной зоной.
Даже если у вас всего 50 клиентов, но вы берете отпечатки пальцев или сведения о здоровье — вы под прицелом. Группа риска А.
Второй — иностранные сервисы под запретом.
Зарубежные CRM, облачные хранилища, Telegram-боты для сбора данных? Автоматически относите компанию к высшей группе риска. Инспекторы это проверяют в первую очередь.
Третий — дети под особым контролем.
Обработка данных несовершеннолетних — отдельный красный флаг для РКН. Если работаете с детьми, готовьтесь к повышенному вниманию.
Что проверяют на самом деле?
Забудьте миф, что при профвизите «просто беседуют». Инспектор смотрит на стык документов и реальных IT-процессов. И вот что его интересует.
Про бумажки
Уведомление РКН. Подавали? А оно актуально? Сменили CRM или добавили новую цель сбора — нужно вносить изменения. Даже если забыли, это уже нарушение.
Политика обработки ПДн. Она должна висеть на сайте. Но главное — она должна соответствовать реальности. Если в политике написано «храним 5 лет», а в договоре с клиентом «3 года» — инспектор это заметит.
Согласия. Один чекбокс «Я согласен на всё» в 2026 году не работает. Нужно отдельное согласие на рекламу, отдельное — на передачу третьим лицам, отдельное — на обработку данных детей.
Ответственный за ПДн. Приказ о назначении должен быть у любого оператора. Нет приказа — есть вопрос.
Про IT (вот где многие горят)
Локализация баз данных. Серверы с данными россиян должны стоять в РФ. Инспекторы проверяют, не ведёт ли ваша форма обратной связи данные сразу на зарубежный хостинг. Используете Google Forms или JotForm без первичной обработки в РФ? Риск 100%.
Уничтожение данных. У вас есть журнал и акты об уничтожении? Когда срок хранения истёк или клиент отозвал согласие — данные должны быть удалены документально.
Реагирование на инциденты. Утекла база? Что вы делаете? В 2026 году наличие регламента — вопрос №1.
Как проходит визит? Три формата, один срок
Инспектор может прийти тремя способами:
- лично к вам в офис;
- по видеосвязи (ВКС);
- через мобильное приложение «Инспектор».
Визит длится не более 10 рабочих дней. О предстоящем визите уведомят не позднее чем за 24 часа — информацию пришлют в личный кабинет на «Госуслугах».
Что могут попросить показать?
Цели обработки, правовые основания (согласия, договоры), приказ о назначении ответственного, политику и локальные акты, подтверждение локализации баз в РФ, типовые формы анкет и журналов, и даже все URL-адреса сайтов, где собираются данные.
И да — могут провести осмотр компьютеров и серверов.
Чем всё закончится? Три варианта
По итогу составляется акт профилактического визита.
Зелёный сценарий. Нарушений нет (или исправили на месте). Получили рекомендации — разошлись.
Жёлтый сценарий. Нарушения есть, и вы их не устранили до окончания визита. Вам выдают предписание. Не выполнили — штраф.
Красный сценарий. Обнаружена явная угроза: например, база клиентов лежит на сервере в Нидерландах без шифрования. РКН инициирует внеплановую проверку с пристрастием.
Что делать прямо сейчас? Три шага
Попадание в список — не катастрофа. Это шанс привести дела в порядок.
-
Проверьте себя по ИНН на сайте РКН. Узнайте, в списке вы или нет.
-
Проверьте свой сайт. Политика конфиденциальности на месте? Она правдивая? Нет ли зарубежных форм сбора данных (Google Forms, JotForm, иностранные CRM)?
-
Проверьте согласия. У вас до сих пор один чекбокс «На всё»? Срочно переделывайте.
Компании, которые относятся к профилактическому визиту как к аудиту, проходят его за 1–2 дня без предписаний. Паника и надежда на «авось» — самые плохие советчики.
Нужна помощь?
Попадание в план проверок — это стресс. Мы поможем провести внутренний аудит по стандартам РКН 2026 года, актуализировать документы и настроить IT‑инфраструктуру так, чтобы инспектору не к чему было придраться.