Какие документы проверяют в первую очередь?

Обычно инспектор сначала запрашивает политику обработки ПД, уведомление о постановке в реестр операторов, приказ о назначении ответственного за ПД, формы согласий и внутренние регламенты по защите персональных данных.

Проверка Роскомнадзора по ФЗ-152: как подготовиться и что проверяют

Q: Как узнать, что компания включена в план проверок РКН?

План проверок РКН публикуется на официальном сайте Роскомнадзора в разделе «Контроль и надзор». Кроме того, оператору направляется официальное уведомление на юридический адрес не позднее чем за 3 рабочих дня до начала проверки.

Q: Может ли РКН прийти без предупреждения?

Да. С 2024 года Роскомнадзор вправе проводить внеплановые проверки без предварительного уведомления, если поступила информация о возможной утечке персональных данных, жалоба субъекта ПД или имеются признаки неисполнения ранее выданного предписания.

Q: Что будет, если отказать проверяющему в доступе?

Воспрепятствование законной проверке — отдельное административное нарушение. Помимо штрафа до 200 000 рублей для юридического лица, отказ часто приводит к более жёсткой контрольной проверке и дополнительному вниманию со стороны РКН.

Главное за 30 секунд

Плановые проверки проводятся по ежегодному плану РКН с уведомлением минимум за 3 рабочих дня
Внеплановые проверки возможны без предупреждения — при жалобах, утечках данных или неисполнении предписания
Инспекторы проверяют документы, сайт, формы согласий, локализацию и организацию защиты ПД
Самые частые нарушения: отсутствие уведомления РКН, политики конфиденциальности и корректных согласий
Подготовка к проверке включает аудит документов, форм сбора данных и назначение ответственного

Виды проверок Роскомнадзора

РКН проводит два типа проверок: плановые и внеплановые. Они существенно различаются по порядку проведения и поводам.

| Параметр | Плановая | Внеплановая | |---|---|---| | Уведомление | За 3 рабочих дня | Не требуется (с 2024) | | Повод | По реестру операторов | Жалоба, утечка, предписание | | Частота | Раз в 3 года | В любое время | | Срок проверки | До 20 рабочих дней | До 20 рабочих дней |

Изменение с 2024 года

С марта 2024 года РКН получил право проводить внеплановые проверки без предварительного уведомления — если есть основания полагать, что произошла утечка персональных данных. На подготовку времени не будет.

Что проверяет Роскомнадзор

Проверяющий изучает соответствие деятельности оператора требованиям ФЗ-152 по нескольким блокам.

Документальный блок

Инспектор запросит:

Политику обработки персональных данных — актуальная, опубликована на сайте
Формы согласий — для каждого канала сбора данных (сайт, телефон, офис)
Уведомление в РКН — подтверждение регистрации в реестре операторов
Приказ о назначении ответственного за организацию обработки ПД
Перечень обрабатываемых данных — что, где, зачем, как долго
Договоры с третьими лицами — CRM, рассылки, колл-центры, облака

Проверка документации по персональным данным

Технический блок

Наличие защиты данных на серверах (СКЗИ для спецкатегорий)
Разграничение прав доступа к ПД
Наличие системы мониторинга инцидентов
Локализация: сервера в России для первичного хранения

Сайт и формы

Политика конфиденциальности доступна без регистрации
Все формы содержат активный чекбокс согласия
Cookie-баннер при необходимости

Типичные нарушения

По статистике РКН, 80% нарушений приходится на три позиции:

Риск

Нет уведомления в РКН. Компания обрабатывает данные, но не зарегистрирована в реестре операторов. Это нарушение ч. 1 ст. 22 ФЗ-152. Штраф — до 100 000 рублей.

Риск

Нет политики конфиденциальности или она устаревшая. Скопированный шаблон 2018 года, не отражающий реальную деятельность — это тоже нарушение. Проверяющий оценивает актуальность и полноту.

Риск

Нет согласий на обработку ПД. Форма «Оставьте заявку» без чекбокса, или чекбокс уже стоит галочкой по умолчанию — нарушение требований к форме согласия.

Ошибки при взаимодействии с проверяющими

Часто проблемы возникают не только из-за отсутствия документов, но и из-за неправильного поведения во время проверки.

Типичные ошибки:

Попытка скрыть документы или отказ предоставить доступ
Несогласованные ответы сотрудников инспектору
Передача устаревших версий документов
Отсутствие назначенного ответственного за взаимодействие с РКН
Попытка срочно «дописать» документы уже после начала проверки

Подготовка сотрудников важна

Даже при наличии всех документов сотрудники должны понимать, как проходит проверка и кто отвечает на вопросы инспектора. Несогласованные действия персонала часто становятся причиной дополнительных запросов со стороны РКН.

Пошаговый план подготовки к проверке

Готовность к проверке РКН

Проверить наличие в реестре операторов ПД на pd.rkn.gov.ruобязательно
Актуализировать политику конфиденциальности (год, виды данных, цели)обязательно
Проверить все формы на сайте — наличие активных чекбоксов согласияобязательно
Подготовить приказ о назначении ответственного за ПДобязательно
Собрать пакет согласий в бумажном и/или электронном виде
Составить перечень обрабатываемых персональных данных
Проверить договоры с подрядчиками, которым передаются данные
Убедиться, что сервера находятся в России или есть первичная копия
Назначить ответственного для взаимодействия с проверяющим

Что происходит после проверки

Если нарушения выявлены, проверяющий составляет акт проверки и выдаёт предписание об устранении нарушений.

На устранение — 30 дней. После этого — контрольная проверка. Если нарушения не устранены — штраф.

Обжалование результатов

Акт проверки можно обжаловать в течение 15 дней в вышестоящий орган РКН или в суд. На практике успешное обжалование возможно при процессуальных нарушениях со стороны проверяющего (несоблюдение сроков, неправильное оформление документов).

Вопросы о проверках РКН

Как узнать, что компания включена в план проверок РКН?

План проверок публикуется на сайте rkn.gov.ru. Также уведомление приходит на юридический адрес компании за 3 рабочих дня до проверки.

Может ли РКН прийти без предупреждения?

Да. С 2024 года РКН вправе проводить внеплановые проверки без уведомления при наличии информации о возможной утечке персональных данных.

Что будет, если отказать проверяющему в доступе?

Воспрепятствование проверке — самостоятельный состав административного правонарушения. Штраф для юрлица — до 200 000 рублей, плюс это не отменяет основную проверку.

Можно ли исправить нарушения уже во время проверки?

Частично — да. Если нарушение можно устранить сразу (например, опубликовать политику или исправить форму согласия), это стоит сделать немедленно. Однако серьёзные нарушения всё равно фиксируются в акте проверки.

Готовы ли вы к проверке РКН?

Проверим сайт и документы — за 2 рабочих дня

Подготовиться к проверке

Александр Петров

Юрист · Эксперт по ФЗ-152

Консультирует средний и крупный бизнес по вопросам соответствия требованиям закона о персональных данных. Более 8 лет практики.