- РКН проводит плановые и внеплановые проверки операторов персональных данных
- Инспекторы проверяют документы, сайт, кадровые процессы и меры информационной безопасности
- Документы должны не только существовать, но и реально применяться в работе компании
- Большинство штрафов связано с отсутствием согласий, политики и уведомления в РКН
- Предварительный аудит и подготовка сотрудников существенно снижают риски
Виды проверок РКН
Роскомнадзор проводит несколько видов проверок операторов персональных данных.
| Вид проверки | Особенности | |---|---| | Плановая | Проводится по графику и реестру операторов | | Внеплановая | Основание — жалоба, утечка, поручение прокуратуры | | Документарная | Проверка документов без выезда | | Выездная | Проверка в офисе или месте обработки ПД |
При признаках утечки персональных данных или массовых жалобах РКН вправе инициировать внеплановую проверку без длительного уведомления оператора.
Как готовиться к проверке
Шаг 1 — Провести внутренний аудит
Проверить:
- Какие данные собирает компания
- Где и как они хранятся
- Кто имеет доступ
- Есть ли передача подрядчикам
Шаг 2 — Проверить документы
Инспектор почти всегда запросит:
- Политику обработки ПД
- Формы согласий
- Приказ о назначении ответственного
- Положение о защите ПД
- Журналы ознакомления сотрудников
- Договоры поручения обработки ПД
Одна из самых частых проблем — документы существуют только формально. Инспектор проверяет, применяются ли они реально: ознакомлены ли сотрудники, соответствуют ли формы сайту и фактическим процессам.
Шаг 3 — Проверить сайт и формы
Нужно убедиться, что:
- Политика доступна без регистрации
- Есть активные чекбоксы согласия
- Формы не отправляются без согласия
- Cookie и аналитика оформлены корректно
Что обычно спрашивает инспектор
Во время проверки задают практические вопросы:
- Кто отвечает за обработку ПД?
- Где физически хранятся данные?
- Как уничтожаются данные?
- Как оформляется согласие?
- Кто имеет доступ к CRM?
- Есть ли резервное копирование?
Часто проверяют отдельно
| Блок | Что интересует РКН | |---|---| | HR | Согласия сотрудников, локальные акты | | IT | Защита серверов, разграничение доступа | | Сайт | Политика, формы, cookie | | Подрядчики | Договоры поручения обработки |
Как проходит проверка
- Анализ сайта и открытых источников
- Запрос документов
- Проверка внутренних процессов
- Интервью сотрудников
- Составление акта проверки
Инспектор может:
- Запрашивать дополнительные пояснения
- Просить скриншоты систем
- Проверять фактическое наличие документов
- Сверять даты приказов и ознакомлений
Типичные ошибки компаний
Ошибка №1 — документы оформлены «задним числом»
Когда все документы подписаны одной датой незадолго до проверки — это вызывает подозрения и дополнительные вопросы.
Ошибка №2 — нет подтверждений ознакомления
Политика и регламенты есть, но сотрудники не ознакомлены под роспись.
Ошибка №3 — формы сайта не соответствуют документам
Например:
- На сайте собираются телефоны и email
- В политике эти данные не указаны
- Или отсутствует отдельное согласие
РКН оценивает реальную организацию обработки ПД: процессы, доступы, работу сотрудников, действия подрядчиков и даже настройки форм на сайте.
- Комплект документов полный и актуальныйобязательно
- Подано уведомление в реестр операторов ПДобязательно
- На сайте опубликована актуальная политикаобязательно
- Формы содержат корректные согласияобязательно
- Сотрудники ознакомлены под роспись
- Есть договоры поручения с подрядчиками
- Проверены меры защиты и резервного копирования
- Назначен сотрудник для взаимодействия с инспектором
- Подготовлены доказательства исполнения требований
Как минимизировать последствия
- Исправляйте нарушения до начала проверки
- Не скрывайте очевидные проблемы
- Документируйте исправления
- Подготовьте сотрудников к вопросам инспектора
- Не давайте противоречивых пояснений
На практике добровольное устранение нарушений и готовность сотрудничать с проверяющими часто помогают снизить размер штрафа или ограничиться предписанием.