Как подготовиться к проверке Роскомнадзора по защите персональных данных: практическое руководство

В 2025 году Роскомнадзор (РКН) усилил контроль за соблюдением закона о персональных данных. Теперь проверки могут проводиться без предварительного уведомления и охватывать как документацию, так и практические процессы. Чтобы действовать уверенно, лучше подготовиться заранее.

Виды проверок Роскомнадзора

Роскомнадзор проводит 3 типа проверок:

• Инспекционный визит: короткий выезд, чаще всего к новым организациям или к тем, кто вызывает подозрение из-за риска нарушения.
• Документарная проверка: проводится дистанционно, организация направляет в ведомство необходимые документы.
• Выездная проверка: инспекторы приезжают в офис, запрашивают документы и оценивают, как вы работаете с данными.

Во время проверок внимание уделяется не только бумагам, но и реальному процессу работы с данными: кто имеет доступ, как данные хранятся, какие политики и локальные акты применяются, соответствует ли деятельность уведомлению, поданному в РКН.

Что проверяют в первую очередь?

• Зарегистрированы ли вы в реестре операторов персональных данных?
• Соответствуют ли ваши политики конфиденциальности реальной работе и целям компании? Например, если указали, что храните данные клиентов для рассылки, а на деле используете их для других целей — это недочет.
• Есть ли у вас внутри компании документация: приказы, журналы учета, формы согласий на обработку данных? Всё должно быть под рукой и в порядке.
• Как храните доступ к данным? Кто и когда может посмотреть или изменить информацию? Важны журналы доступа и четкие инструкции.
• Реагируете ли вы быстро на запросы от тех, чьи данные у вас есть? Если кто-то попросил удалить или уточнить данные, как долго ждать ответа?
• Что на вашем сайте? Есть ли политика конфиденциальности, работает ли корректно cookie-баннер? Нет передачи данных за границу без вашего контроля?

Чек-лист подготовки к проверке

1. Провести внутренний аудит с целью убедиться, что все документы, уведомления и политики актуальны.
2. Назначить ответственного за обработку данных в соответствии с законом, обязательным для всех операторов.
3. Контролировать доступ сотрудников, допущенных к работе с данными, включая основания такого доступа.
4. Проверить формы сбора данных на предмет наличия ссылок на актуальные документы по обработке и защите данных.
5. Обучить сотрудников с помощью инструктажей по безопасной работе с персональными данными.
6. Подготовить рабочее место для инспекторов для ускорения проверки и создания благоприятного впечатления.
7. Вести журнал выдачи документов для фиксации всего, что передается проверяющим.

Чего не стоит делать?

• Не спорьте и не препятствуйте действиям инспекторов, чтобы не получить дополнительные санкции.
• Если есть разногласия, фиксируйте замечания письменно и подавайте возражения в установленные сроки.

Новые штрафы с мая 2025 года

• За отсутствие регистрации или уведомления — до 300 000 ₽ для организаций.
• За нарушения при трансграничной передаче или сборе данных — до нескольких миллионов рублей и возможная блокировка сайтов.
• Для должностных лиц — штрафы до 50 000 ₽.

Как использовать профилактические визиты

Роскомнадзор активно проводит профилактические визиты без штрафов — это шанс выявить пробелы и получить бесплатные консультации. Используйте их для уточнения требований и корректировки процессов задолго до проверки.

Подготовка к проверке — это не разовое действие, а часть системной работы с персональными данными. Регулярные внутренние аудиты, обучение персонала и актуализация документов помогут избежать штрафов, укрепят репутацию компании и повысят доверие клиентов.

Автор: Анастасия Дьяченко, методист лаборатории развития и продвижения компетенций кибербезопасности АЦКБ компании «Газинформсервис».