Как подготовить компанию к проверке Роскомнадзором и не получить штраф

Кого могут проверять

Проверка оператора персональных данных Роскомнадзором может коснуться практически любой организации или индивидуального предпринимателя, которые обрабатывают личную информацию физлиц. 

Кого проверяют чаще всего:

1. Интернет-магазины и сайты услуг — собирают данные клиентов для заказов и рассылок.
2. Корпоративные сайты компаний с формами обратной связи, подпиской на новости или регистрацией личных кабинетов.
3. Сервисы онлайн-записи: к врачу, мастеру, в салон и т.д.
4. Операторы связи и интернет-провайдеры.
5. Образовательные учреждения: частные детские сады, учреждения доп.образования и т.д.
6. Медицинские организации: частные клиники, стоматологии.

Проверке подлежат как крупные корпорации, так и малый бизнес: например, ИП, оказывающий услуги через сайт с формой заявки, также является оператором ПДн и несет полную ответственность по ФЗ от 27.07.2006 №152-ФЗ.

Виды проверок Роскомнадзора

Плановая

Плановые проверки Роскомнадзором проводятся по заранее утвержденному графику. Он публикуется на официальном сайте ведомства до 31 декабря текущего года. 
Важно! Плановые контрольные мероприятия включаются в график только для отдельных объектов. К ним относятся объекты контроля категорий чрезвычайно высокого и высокого риска, опасные производственные объекты II класса опасности и гидротехнические сооружения II класса (п. 11 (3) Постановления Правительства РФ от 10.03.2022 № 336). В остальных организациях они не проводятся. 

Уведомление о плановой проверке Роскомнадзором направляется не позднее чем за 3 рабочих дня до ее начала. Игнорировать ее не получится — инспекторы придут по графику. Поэтому ваш первый шаг — убедиться, что ваша компания не входит в перечень проверяемых объектов. Если же она принадлежит, например, к опасным производственным объектам II класса — найти план проверок Роскомнадзора на 2026 год и посмотреть, нет ли там вашей организации.

Внеплановая 

Внеплановая проверка Роскомнадзора — это реакция контролирующего органа на конкретные нарушения или угрозы. В отличие от плановой, ее не включают в ежегодный график. Основания для ее проведения строго регламентированы ч.2 ст.10 ФЗ от 26.12.2008 № 294-ФЗ.

Когда возможна внеплановая проверка РКН:

1. При размещении в СМИ информации об утечке. Это главный триггер для РКН. Обнаружив такую публикацию, регулятор обязательно проведет комплексную проверку всех указанных в ней фактов. Учтите, что Роскомнадзор реагирует в таком случае очень быстро, так как утечка считается серьезным нарушением ФЗ №152-ФЗ. 
2. При поступлении в Роскомнадзор жалобы гражданина на нарушение его прав в сфере персональных данных (например, незаконная рассылка спама, утечка данных). 
3. При выявлении в открытых источниках (например, на сайте компании) фактов обработки персональных данных без регистрации в реестре операторов Роскомнадзора или согласия субъекта ПДн.
4. При получении сведений о нарушении обязательных требований из других государственных органов или из средств массовой информации.
5. Для проверки исполнения ранее выданного предписания об устранении нарушений.

Уведомление о внеплановой проверке направляется оператору не менее чем за 24 часа до ее начала любым доступным способом: по электронной почте или заказным письмом с уведомлением о вручении. 

Выездная

Это форма контроля, при которой инспекторы Роскомнадзора посещают или офис компании для непосредственного изучения деятельности. Она может быть как плановой, так и внеплановой. 

В рамках такой проверки инспекторы не только анализируют документы, но и оценивают фактические процессы. Они проводят осмотр помещений, рабочих мест и технических средств, используемых для обработки данных. Могут опрашивать сотрудников компании. Инспекторы вправе истребовать оригиналы документов, проводить инструментальные обследования информационных систем и при необходимости назначать экспертизу.

Срок проведения выездной проверки оператора Роскомнадзором установлен ч.1 ст.13 ФЗ № 294-ФЗ и, как правило, не превышает 20 рабочих дней. Для малых предприятий срок сокращен до 15 часов в год, а для микропредприятий — до 5 часов. В исключительных случаях срок может быть продлен, но не более чем на 20 рабочих дней.

Документарная

Документарная проверка — это форма контроля, при которой инспекторы анализируют деятельность компании исключительно на основе представленных документов, без выезда к оператору.

В рамках такой проверки Роскомнадзор запрашивает и изучает копии документов, связанных с обработкой ПДн. Это позволяет ведомству дистанционно оценить соблюдение оператором требований ФЗ №152-ФЗ и иных нормативных актов.

Проверка документов Роскомнадзором проводится в следующих случаях:

1. Поступление от оператора уведомления о намерении осуществлять трансграничную передачу данных — Роскомнадзор вправе запросить документы, подтверждающие защиту персональных данных на территории иностранного государства.
2. Получение жалобы от гражданина или информации из открытых источников о потенциальных нарушениях. В этом случае документарная проверка — это быстрый способ подтвердить или опровергнуть факт нарушения, не посещая компанию.
3. В рамках планового контроля, когда для оценки достаточно анализа документов.
4. Для контроля исполнения ранее выданного предписания — оператор предоставляет документы, подтверждающие устранение нарушений.

Если в представленных материалах будут выявлены противоречия, ошибки или признаки серьезных нарушений, документарная проверка может стать основанием для назначения выездной.

Профилактический визит

Это не проверка, а консультационная мера поддержки бизнеса на основе ФЗ от 31.07.2020 № 248-ФЗ. Его цель — помочь вам соблюдать ФЗ №152-ФЗ без штрафов.

Главное для вас:

1. Это добровольно. Визит проводят только с вашего согласия или по вашей инициативе.
2. Это бесплатно. Вы получаете разъяснения по требованиям к обработке персональных данных и иным нормам.
3. Есть сроки. Вас уведомят за 5 рабочих дней. Продолжительность визита — не более 10 рабочих дней.
4. Итог — рекомендации, а не штраф. По результатам вам дадут советы по устранению недостатков.

Важно: если в ходе визита инспектор обнаружит нарушение (например, обработку ПДн без обязательного согласия), он может выдать предписание об его устранении. Невыполнение предписания ведет к полноценной внеплановой проверке и штрафам.

Как Роскомнадзор проверяет сайты

В большинстве случаев Роскомнадзор проверяет сайты дистанционно, в том числе при помощи нейросети. Алгоритмы анализируют код сайта на наличие форм сбора данных, метрических сервисов и признаков обработки персональных данных.

В ходе ручной или автоматизированной проверки инспектор проверяются:

1. Наличие и корректность cookie-баннера. Он должен появляться при первом входе и блокировать сбор данных до получения согласия пользователя.
2. Законность форм сбора данных (обратная связь, регистрация, подписка). Каждая форма должна содержать явное действие пользователя для дачи согласия на обработку персональных данных — предустановленная галочка является нарушением.
3. Доступность и содержание Политики обработки персональных данных. Документ должен быть размещен в открытом доступе, актуален и фактически описывать ваши процессы. 
4. Соблюдение требования о локализации баз данных на территории РФ (ч. 5 ст. 18 152-ФЗ). Например, вы не можете использовать Google Analytics, поскольку первоначальный сбор ПДн должен быть с использованием баз, которые физически находятся в РФ. 
5. Соответствие объема собираемых данных заявленным целям. Сбор избыточных данных (например, паспортных данных для простой подписки на новости) является нарушением. Категории ПДн должны соответствовать целям сбора. 

Обнаруженные на сайте нарушения автоматически ведут к проверке уведомления об обработке ПДн, поданного в Роскомнадзор. Несоответствие между уведомлением и фактической практикой станет отдельным поводом для санкций.

Что проверяет Роскомнадзор на внеплановой проверке

Внеплановые проверки представляют больше всего рисков для операторов, поскольку они проводятся не без оснований — как правило, при грубых нарушениях ФЗ №152-ФЗ. 
В ходе проведения проверки Роскомнадзор контролирует:

1. Соблюдение закона о персональных данных : наличие и корректность Политики обработки ПДн, правовых оснований для обработки (согласия, договоры), уведомления в РКН (если требуется).
2. Сайт и публичную информацию: доступность Политики конфиденциальности, законность форм сбора данных, наличие требуемых реквизитов.
3. Документы по конкретному инциденту: если была жалоба на спам, проверят базу данных и доказательства получения согласия именно от этого лица.
4. Организационные и технические меры защиты ПДн: приказ о назначении ответственного, порядок обработки запросов субъектов ПДн, базовые меры безопасности информационных систем, и т.д.

Как подготовиться к проверке Роскомнадзора

Подготовка к проверке Роскомнадзора — это системная работа по документарной и технической защите бизнеса. Действуйте последовательно.

Шаг 1: аудит документов

Проверьте комплект обязательных локальных актов. Их отсутствие — типичное и грубое нарушение.
Основные документы, которые запросит инспектор:

1. Политика обработки персональных данных. Это главный документ для оператора ПДн согласно п.2 ч.1 ст. 18.1 ФЗ №152-ФЗ. В ней должны быть четко прописаны цели, состав данных, порядок их обработки и защиты.
2. Приказ о назначении лица, ответственного за организацию обработки ПДн. Он отвечает за все процессы и взаимодействует с Роскомнадзором.
3. Согласия на обработку персональных данных от физических лиц. Для разных целей нужны отдельные согласия. Пример: если вы отправляете рекламную рассылку клиентам, у вас должно быть их явное согласие, полученное не по умолчанию.
4. Договоры с контрагентами (исполнителями), которые имеют доступ к ПДн. В них обязательно включается положение об обязанности исполнителя соблюдать ФЗ №152-ФЗ.
5. Уведомление об обработке ПДн в Роскомнадзор (если вы не подпадаете под исключения, перечисленные в ст. 22 ФЗ №152-ФЗ). Проверьте регистрацию на официальном сайте РКН.

Шаг 2: приведите в порядок сайт и публичные документы

Обязательные элементы для сайта:

1. Публичная Политика обработки ПДн — должна быть доступна по прямой ссылке, обычно в подвале (футере) сайта.
2. Пользовательское соглашение.
3. Согласие на обработку данных в формах обратной связи, подписки, регистрации. Галочка «я согласен» не должна быть предустановленной.
4. Корректные реквизиты — для ИП и ООО это обязательно.

Шаг 3: обучите сотрудников и проверьте техническую защиту

Персональные данные обрабатывают люди. Их ошибки — ваши риски. Проведите инструктаж для сотрудников, работающих с ПДн. Они должны знать базовые принципы ФЗ №152-ФЗ.

Оцените техническую защиту. Если вы обрабатываете ПДн в специальных информационных системах, они должны соответствовать требованиям Постановления Правительства РФ от 01.11.2012 №1119. Убедитесь, что используются антивирусы, средства криптозащиты (если нужно), настроены права доступа.

Шаг 4: взаимодействие во время проверки

В день проверки ведите себя корректно и профессионально:

1. Проверьте удостоверение инспектора и приказ о проведении проверки. В нем указаны сроки, цели, предмет.
2. Назначьте сопровождающего — ответственного за организацию работы с ПДн.
3. Фиксируйте все. Можно вести аудиозапись, предупредив об этом инспектора, а также запрашивать копии всех предоставляемых документов с отметкой инспектора.
4. Отвечайте строго в рамках запроса. Не давайте лишней информации.
5. Получите итоговый документ — акт проверки. Если выявлены нарушения, выдадут предписание. Его необходимо исполнить в указанный срок и направить в РКН доказательства.

Помните: системная работа по соблюдению требований законодательства — не разовое мероприятие к проверке, а ежедневная практика. Она защищает не только от штрафов, но и от репутационных потерь и исков от граждан.