Изображение: recraft
В 2025 году Роскомнадзор (РКН) усилил контроль за соблюдением закона о персональных данных. Теперь проверки могут проводиться без предварительного уведомления и охватывать как документацию, так и практические процессы. Чтобы действовать уверенно, лучше подготовиться заранее.
Виды проверок Роскомнадзора
Роскомнадзор проводит 3 типа проверок:
- Инспекционный визит: короткий выезд, чаще всего к новым организациям или к тем, кто вызывает подозрение из-за риска нарушения.
- Документарная проверка: проводится дистанционно, организация направляет в ведомство необходимые документы.
- Выездная проверка: инспекторы приезжают в офис, запрашивают документы и оценивают, как вы работаете с данными.
Во время проверок внимание уделяется не только бумагам, но и реальному процессу работы с данными: кто имеет доступ, как данные хранятся, какие политики и локальные акты применяются, соответствует ли деятельность уведомлению, поданному в РКН.
Что проверяют в первую очередь?
- Зарегистрированы ли вы в реестре операторов персональных данных?
- Соответствуют ли ваши политики конфиденциальности реальной работе и целям компании? Например, если указали, что храните данные клиентов для рассылки, а на деле используете их для других целей — это недочет.
- Есть ли у вас внутри компании документация: приказы, журналы учета, формы согласий на обработку данных? Всё должно быть под рукой и в порядке.
- Как храните доступ к данным? Кто и когда может посмотреть или изменить информацию? Важны журналы доступа и четкие инструкции.
- Реагируете ли вы быстро на запросы от тех, чьи данные у вас есть? Если кто-то попросил удалить или уточнить данные, как долго ждать ответа?
- Что на вашем сайте? Есть ли политика конфиденциальности, работает ли корректно cookie-баннер? Нет передачи данных за границу без вашего контроля?
Чек-лист подготовки к проверке
- Провести внутренний аудит с целью убедиться, что все документы, уведомления и политики актуальны.
- Назначить ответственного за обработку данных в соответствии с законом, обязательным для всех операторов.
- Контролировать доступ сотрудников, допущенных к работе с данными, включая основания такого доступа.
- Проверить формы сбора данных на предмет наличия ссылок на актуальные документы по обработке и защите данных.
- Обучить сотрудников с помощью инструктажей по безопасной работе с персональными данными.
- Подготовить рабочее место для инспекторов для ускорения проверки и создания благоприятного впечатления.
- Вести журнал выдачи документов для фиксации всего, что передается проверяющим.
Чего не стоит делать?
- Не спорьте и не препятствуйте действиям инспекторов, чтобы не получить дополнительные санкции.
- Если есть разногласия, фиксируйте замечания письменно и подавайте возражения в установленные сроки.
Новые штрафы с мая 2025 года
- За отсутствие регистрации или уведомления — до 300 000 ₽ для организаций.
- За нарушения при трансграничной передаче или сборе данных — до нескольких миллионов рублей и возможная блокировка сайтов.
- Для должностных лиц — штрафы до 50 000 ₽.
Как использовать профилактические визиты
Роскомнадзор активно проводит профилактические визиты без штрафов — это шанс выявить пробелы и получить бесплатные консультации. Используйте их для уточнения требований и корректировки процессов задолго до проверки.
Подготовка к проверке — это не разовое действие, а часть системной работы с персональными данными. Регулярные внутренние аудиты, обучение персонала и актуализация документов помогут избежать штрафов, укрепят репутацию компании и повысят доверие клиентов.
Автор: Анастасия Дьяченко, методист лаборатории развития и продвижения компетенций кибербезопасности АЦКБ компании «Газинформсервис».
Оригинал публикации на сайте CISOCLUB: "Как подготовиться к проверке Роскомнадзора по защите персональных данных: практическое руководство".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.