Надеюсь, 3 недели назад все благополучно вышли из «салатной комы» и телепортировались в суровые рабочие будни. Теперь наша общая действительность – не безудержное веселье и тазы оливье, а подготовка к внеплановой проверке Роскомнадзора, если она внезапно случится, так как плановых проверок в 2025 году не будет, с чем я сердечно поздравляю каждого. 

Зачем РКН устраивает проверки по персональным данным

Утечки ПД случаются все чаще, а штрафы за них становятся все выше. Если вы ведете бизнес, значит, вы точно работаете с информацией о клиентах и сотрудниках, то есть являетесь оператором персональных данных (ПД). Проверка операторов – одна из основных задач Роскомнадзора. Соответственно, шанс удостоиться повышенного внимания регулятора есть у каждого. О том, как пережить интерес РКН к своему бизнесу с наименьшими потерями, читайте дальше. 

Виды проверок Роскомнадзора

Есть два вида проверок – плановые и внеплановые. Плановые и внеплановые проверки подразделяются на документарные и выездные. Но есть особый вид работы РКН – проведение контрольных мероприятий без взаимодействия: они могут коснуться всех, у кого есть сайты.

Плановых проверок в 2025 году, как я писала выше, не будет. Внеплановые проверки будут проводить в форме:

Документарных проверок

Во время таких проверок бизнес должен предоставить копии документов. РКН может запросить: 

• документ, определяющий политику в отношении обработки персональных данных, правила обработки и защиты ПД;

• перечень лиц, имеющих доступ и непосредственно допущенных к обработке ПД;

• согласия субъектов  на  обработку ПД;

• приказ о назначении ответственного за организацию обработки ПД (перечень не исчерпывающий).

Выездных проверок

Сотрудники РКН приезжают на предприятие, чтобы лично изучить документацию и удостовериться, что правила работы с персональными данными соблюдаются. 

В ходе выездной проверки могут совершаться такие контрольные (надзорные) действия, как:

• осмотр;

• опрос;

• получение письменных объяснений;

• истребование документов;

• инструментальное обследование;

• экспертиза.

Внеплановые проверки будут проводиться только в чрезвычайных случаях: для их проведения требуется согласование прокуратуры. 

Из РКН могут прийти без предупреждения из-за того, что:

1. На вашу компанию неоднократно (более 10 раз в течение календарного года) пожаловались в Роскомнадзор. Причем неважно, кто: сотрудники, клиенты или конкуренты – вас в любом случае возьмут на карандаш.

2. Вы направили в РКН неправдивую информацию в ответ на запросы.

3. На ваших ресурсах произошла утечка данных.

4. Вы не до конца устранили нарушения, которые Роскомнадзор обнаружил ранее. 

Контрольные мероприятия без взаимодействия

Контрольное мероприятие без взаимодействия – это, в том числе, проверка сайта, о которой оператор ПД может и не узнать.

В рамках контрольных мероприятий без взаимодействия проверяют: 

• локализацию баз данных, где хранятся данные, собранные с помощью сервисов сайта. Сервера, хранящие сведения о россиянах (в том числе данные, собираемые метрическими программами), должны находиться в РФ;

• размещение политики конфиденциальности на сайте;

• наличие правовых оснований обработки ПД (пользовательское соглашение, согласие на обработку ПД и т.д.);

• соответствие объема обрабатываемых ПД целям обработки (не нужно собирать фамилию и отчество, если нужно связаться по заявке).

Если РКН выявил нарушения, то он отправляет владельцу сайта письмо с перечнем нарушений и требованием дать информацию о соблюдении закона.

Проверки Роскомнадзора по персональным данным

При проверке компании Роскомнадзор может провести экспертизу, потребовать предоставить документы и письменные объяснения. Ведомство не проверяет абсолютно все, что касается работы компании: его интересует лишь часть, где было допущено нарушение.

Подготовка к проверке Роскомнадзора по персональным данным

Залог успешного прохождения проверки РКН – изначальное выделение работы с персональными данными в отдельную систему. Я не устану повторять, что работа с ПД – это не приложение к основной деятельности, а фактически еще одно полноценное направление работы вашего бизнеса. Относиться к нему надо ответственно: подход «как-нибудь что-нибудь сделаю» РКН не оценит. Заблаговременно проведите внутренний аудит перед проверкой Роскомнадзора, если сомневаетесь в своих силах, или пригласите на помощь компетентного специалиста – ничего зазорного в этом нет.  

Всегда читайте уведомление о проверке организации Роскомнадзором: регулятор часто сам прописывает, что он хочет выяснить. 

Теперь давайте по порядку:

1. Соблюдайте требования к хранению данных не только перед проверкой, а на постоянной основе, то есть будьте готовы к проверке заранее, ведь вас могут не уведомить о том, что она состоится. 

2. Разберитесь с физическими носителями, содержащими персональные данные. Убедитесь, что они хорошо защищены. И бумажные, и электронные носители сведений не должны быть хаотично разбросаны по офису. Пара копий паспортов сотрудников на стеллаже с почетными грамотами, пара флэшек на тумбочке, куда уборщица аккуратно складывает тряпки… За это гарантированно прилетит штраф: безалаберность нынче стоит дорого. Носители с информацией должны храниться в сейфах и специальных защищенных шкафах, а те, в свою очередь, должны стоять в помещениях, доступ к которым есть только у ответственных сотрудников. Вот такая матрешка. Проверьте, соблюдается ли этот принцип на вашем предприятии.

3. Если вы знаете, что к вам направляют выездную проверку, то постарайтесь выделить инспекторам отдельный кабинет (либо часть кабинета) с компьютером, принтером и сканером.

4. Разберитесь с документами и обратите внимание на их актуальность. Выше я писала  о том, какие именно нужны. Все должно быть на своих местах и в правильном порядке. Во время проверки ответственному сотруднику следует быстро находить бумаги, которые требуют работники РКН, и вести учет документов, которые он передал проверяющим. Убедитесь, что ответственные сотрудники вели и ведут журналы, в частности, журнал проверок юридического лица контролирующими органами (сотрудники РКН поставят в нем отметки в начале и в конце своего визита).

5. Проверьте, во всех ли локальных актах, регулирующих работу с ПД, стоят подписи сотрудников.

6. Разберитесь с уведомлением о начале обработки персональных данных. За редким исключением этот документ обязаны подавать все операторы ПД, тем более с 30 мая 2025 года штраф за его отсутствие составит 300 000 рублей. 

7. Если вы не подавали уведомление в Роскомнадзор, но ведете обработку персональных данных, то немедленно исправляйте ситуацию! Крайне рекомендую подать уведомление до 30 мая 2025 года, так как потом будет действовать штраф от 100 000 до 300 000 рублей. Если на момент проверки уведомление не будет подано, то вынесут предписание, в нем укажут на выявленное нарушение: его нужно будет устранить в срок, указанный в предписании и, вероятнее всего, заплатить штраф.

8. Заявленные в уведомлении цели должны соответствовать фактическим. Если вы продаете онлайн-продукты, но требуете от потенциальных покупателей указывать адреса проживания, РКН обратит на это внимание и потребует пояснить, зачем вам такая информация. Актуализируйте данные для текущей ситуации. Например, на момент подачи сведений, вы реализовали только онлайн-продукты, а недавно стали продавать и доставлять офлайн-товары, следовательно, собирать адреса, а дописать этот пункт в уведомление о работе с персональными данными, забыли. Если поняли, что чего-то не хватает, заполните форму о внесении изменений, а затем уведомите об этом РКН удобным способом:

• распечатайте и направьте в территориальный орган РКН в бумажном виде;

• направьте в электронном виде с использованием усиленной квалифицированной электронной подписи;

• направьте в электронном виде с использованием средств аутентификации ЕСИА.

3 рекомендации для прохождения проверки Роскомнадзора

Вот что стоит запомнить:

1. Не конфликтуйте с проверяющими, даже если на ваш взгляд они неправы в выводах, а их претензии необоснованны. Лучше спокойно попросите ссылки на законодательство.

2. Если вы сомневаетесь,что сможете пройти проверку своими силами, пригласите специалиста, который будет представлять ваши интересы или обучите для этих целей штатного сотрудника. 

3. Важно не то, что говорится, а то, что прописывается в итоговом акте проверки. По каждому аспекту вам могут указать на десятки недочетов, но в соответствующих графах итогового акта пропишут: «Нарушений не выявлено».

Акт проверки Роскомнадзора

По результатам проверки сотрудники РКН должны составить итоговый акт. В него включаются сведения о результатах проверки, в том числе о выявленных нарушениях с указанием требований законодательства, которые были нарушены, и лицах, их допустивших.

На основании итогового акта проверки Роскомнадзора выносится предписание, которое должно содержать:

• дату вынесения предписания;

• наименование организации, фамилию, имя, отчество (при наличии) индивидуального предпринимателя, ИНН, ОГРН, адрес в пределах места нахождения (адрес регистрации по месту жительства) контролируемого лица;

• номер и дату акта проверки, по результатам которой принято решение о вынесении предписания;

• информацию о выявленных нарушениях с указанием требований законодательства, которые были нарушены;

• сроки устранения выявленных нарушений;

• информацию о способах подтверждения устранения выявленных нарушений;

• фамилию, имя, отчество (при наличии), должности лица (лиц), проводившего (проводивших) проверку и вынесшего предписание.

Срок, устанавливаемый в предписании для устранения выявленных нарушений, не может составлять менее десяти рабочих дней и более тридцати рабочих дней со дня получения контролируемым лицом предписания.

Если вы не согласны с результатами проверки, можете оспорить их. В срок до 10 рабочих дней с даты получения предписания подавайте письменное возражение в управление РКН своего региона. Разумеется, вам придется аргументировать доводы – предоставить доказательства правоты (документы). 

Жалобу рассмотрят, а затем частично или полностью пересмотрят выводы либо откажутся менять мнение. В крайнем случае вы сможете обратиться в суд: придется потрудиться над составлением жалобы и, скорее всего, воспользоваться помощью грамотного специалиста.

Имейте в виду, что в ходе проверки сотрудники РКН имеют право фиксировать детали на видео и аудио: это не будет являться нарушением.

Это основное, что касается проверок оператора персональных данных Роскомнадзором. Чаще и больше о них говорим здесь. И еще. Имейте в виду, что на проверке от РКН история вашего бизнеса не заканчивается. Даже если допустили нарушения и получили штрафы – ничего страшного. Зато будет повод изучить все, что связано с ошибкой и не допустить ее впредь.

Если материал был полезен для вас, но вы не знаете, что написать в комментариях, скопируйте и вставьте: «Уже иду готовиться к внеплановой проверке Роскомнадзора». Так я пойму, что тема актуальна, отложу дела и пойду думать над новой статьей.