СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
УЦСБ
2 февраля
#Статьи #ИБ

Взаимодействие с Роскомнадзором при плановых и внеплановых проверках операторов персональных данных

Взаимодействие с Роскомнадзором при плановых и внеплановых проверках операторов персональных данных

Изображение: recraft

Тема защиты персональных данных (далее – ПДн) не теряет актуальности уже много лет. Последние громкие изменения в КоАП РФ в 2025 году об увеличении штрафов и введении новых составов правонарушений побудили многие компании к проактивной позиции в вопросе обработки ПДн.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) также усиливает контроль за соблюдением законодательства о ПДн. Ведомство внедряет автоматизированные системы мониторинга, ужесточает требования к подаче уведомлений в реестр операторов ПДн и продолжает проводить плановые и внеплановые проверки.

Напомним, что операторами ПДн являются любые организации, которые обрабатывают ПДн, определяют цели их обработки, состав и действия, совершаемые с ними. Отсутствие компании в реестре операторов не защищает её от проверки, поскольку Роскомнадзор может опираться на данные из открытых источников и межведомственных запросов.

В этой статье разберем, какие бывают проверки, как они проходят, защитит ли вас мораторий и что стоит сделать для подготовки.

Плановые проверки: когда ждать и как они проходят

Роскомнадзор использует риск-ориентированный подход. Это значит, что периодичность и вид проверки (выездная, документарная или инспекционная) зависят от категории риска, присвоенной оператору. Подход более подробно описан в Положении о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденным постановлением Правительства Российской Федерации (далее – постановление) от 29.06.2021 № 1046.

Плановые проверки проводятся на основании «Плана проведения плановых контрольных (надзорных) мероприятий» на календарный год, согласованного с органами прокуратуры. График на в 2026 году уже опубликован.

Отметим, что в 2025 году плановые проверки не проводились ввиду отсутствия объектов контроля. Пунктом 11(3) постановления Правительства РФ от 10.03.2022 № 336 установлено, что до 2030 года плановые проверки предусмотрены только в отношении объектов, отнесенных к:

  • категориям чрезвычайно высокого и высокого риска;
  • опасным производственным объектам II класса опасности;
  • гидротехническим сооружениям II класса.

Но расслабляться не стоит. Мораторий не касается внеплановых проверок. Кроме того, Роскомнадзор активно использует иные формы контроля: профилактические визиты и мероприятия без взаимодействия с компанией. Так что попасть в поле зрения надзорного органа можно даже сейчас.

Вернемся к тому, как проходит плановая проверка?

  1. Уведомление оператора: Роскомнадзор информирует оператора не менее чем за 24 часа (по почте или в личном кабинете ведомственного ресурса) о проверке с указанием даты и предмета проверки.
  2. Запрос документов: инспектор запрашивает документы, регламентирующие обработку ПДн, такие как: политика и регламенты по ПДн, положения, приказы, реестры согласий и журналы, уведомление в Роскомнадзор, договоры с подрядчиками-обработчиками, меры защиты информационных систем ПДн (классификация, модели угроз, организационные меры), сведения о локализации. Оператор ПДн в свою очередь должен подготовить оригиналы и копии документов.
  3. Передача документов: оператор передает инспектору оригиналы и копии документов по ПДн, а факт передачи обязательно фиксируется.
  4. Анализ сайта: параллельно проверяется сайт оператора ПДн (политика, формы, чекбоксы, cookie-баннер), проверяется наличие оператора ПДн в реестре, сопоставляются заявленные цели с реальными процессами.
  5. Выездная/Документарная проверка: инспектор может приехать на место (выездная проверка) или запросить документы для анализа (документарная проверка). При выездной проверке могут осматриваться помещения и архивы, опрашиваться работники, проверяться рабочие места, режимы доступа, запрашиваться выборочные логи и журналы, фиксироваться пояснения и копии документов. Проверка длится не более 10 рабочих дней.
  6. Оформление акта проверки: результатом проверки является акт контрольного (надзорного) мероприятия. В акт включаются все выявленные нарушения. При несогласии оператор подаёт возражения.
  7. Выдача предписания: если нарушения найдены, выдается предписание об их устранении с указанием сроков. Оператор может подать на него жалобу в течение 10 рабочих дней.
  8. Контроль исполнения: по окончании срока предписания направляется отчёт с доказательствами устранения (приказы, обновлённые политики, скриншоты, акты уничтожения). Возможна также контрольная внеплановая проверка.

Во время проверок инспектор анализирует документы и меры, принимаемые оператором для соблюдения обязательных требований в сфере ПДн. Форма проверочного листа, содержащего список контрольных вопросов, утверждена приказом Роскомнадзора от 24.12.2021 № 253 «Об утверждении формы проверочного листа…». Именно на него можно ориентироваться при подготовке к проверке или при проведении самопроверки. На практике проверяющие, разумеется, могут не ограничиваться перечнем вопросов, утвержденных указанным приказом.

Внеплановые проверки: почему могут прийти без предупреждения

Внеплановые проверки проводятся на основаниях, указанных в ст. 57 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации»). При этом, поводом такой проверки могут стать разные случаи:

  • заявления гражданина о нарушении его прав оператором ПДн;
  • факт утечки ПДн;
  • неисполнение ранее выданного предписания;
  • нарушение законодательства, регулирующего сферу защиты ПДн;
  • несоответствие данных, внесенных в уведомление Роскомнадзора, реальной предпринимательской деятельности.

Важно: Роскомнадзор уведомляет о внеплановой выездной проверке не менее чем за 24 часа и не менее чем за 3 рабочих дня – о документарной. Но если есть угроза жизни и здоровью, проверка может начаться без предупреждения. Сама процедура реализации внеплановой проверки совпадает с плановой и не может продолжаться больше 20 рабочих дней.

Фокус внимания Роскомнадзора: на что проверяющие смотрят в первую очередь

При проведении проверок Роскомнадзор обращает внимание на множество аспектов работы с ПДн, в том числе:

  • Согласие на обработку персональных данных: проверяется правильность оформления согласий, порядок и доказательства фиксации согласий в электронной форме (логи, double opt-in);
  • Законные основания обработки ПДн: проверяется правильное разделение целей, не требующих согласия (к примеру, договорных) и требующих согласия (публикации, передача партнёрам и т.п.);
  • Соответствие требованиям по хранению и защите ПДн: проверяется, соблюдаются ли все необходимые меры по защите ПДн от утечек и несанкционированного доступа;
  • Порядок передачи ПДн третьим лицам: проверяется, соблюдаются ли установленные законом правила передачи ПДн третьим лицам, включая наличие необходимых договоров-поручений, соответствующих согласий субъектов ПДн, категории получателей в политике;
  • Документация и внутренние регламенты: проверяется наличие необходимых внутренних документов, их соответствие требованиям законодательства: политик, положений, приказов (об ответственных и допуске работников к обработке), инструкции, перечня ПДн и целей их обработки, сроки хранения, порядок уничтожения/обезличивания, акты уничтожения, планы реагирования на инциденты, акты классификации, организационные меры защиты ПДн, журналы и т.д.;
  • Обучение сотрудников: проверяется, проводилось ли обучение сотрудников, работающих с ПДн, на предмет знания требований законодательства и правил безопасности;
  • Обеспечение безопасности ПДн при их обработке в информационных системах ПДн: разграничение доступа, учёт носителей, резервное копирование / восстановление, уничтожение / обезличивание;
  • Соблюдение прав субъектов ПДн: порядок и сроки ответов на обращения субъектов ПДн, журнал обращений, кейсы удаления/исправления ПДн;
  • Сайт и онлайн-сервисы: наличие политики, наличие согласий (конкретность, вариативность выбора), уведомления о сборе cookie, формы, фиксация чекбоксов/логов, совпадение заявленных целей обработки с фактическими, интеграции (CRM, чаты, виджеты, аналитика);
  • Локализация: где находятся «первая запись» и основная база ПДн граждан РФ, что с резервными копиями.

В заключение – несколько рекомендаций, выполнение которых поможет быть готовыми к проверке Роскомнадзора:

  1. Проверьте, подано ли уведомление в Роскомнадзор. Если подано – контролируйте его актуальность.
  2. Назначьте и обучите ответственного за организацию обработки ПДн, оформите его полномочия и доступы, проведите инструктажи персонала (с фиксацией факта и результатов).
  3. Поддерживайте пакет документов по обработке и защите ПДн в актуальном состоянии, они должны соответствовать реальным практикам и законодательству РФ, не являющемуся статичным.
  4. Проведите самопроверку сайта: политика в открытом доступе, корректные чекбоксы (отдельные, с указанием цели) и тексты согласий, фиксация логов, cookie-баннер.
  5. Проверьте локализацию баз данных: адреса хранения в РФ, отражение в уведомлении, порядок резервного копирования, удаления / обезличивания.
  6. Проведите внутренний аудит: используйте чек-лист из приказа Роскомнадзора от 24.12.2021 № 253.
  7. Обеспечьте наличие доказательств соблюдения:

– прав субъектов ПДн: шаблоны запросов и ответов на запросы, журнал запросов, кейсы удаления/исправления ПДн;

– требований об уведомлении Роскомнадзора об инцидентах (утечках) – как минимум установления соответствующей процедуры.

Соблюдайте требования к хранению ПДн на бумажных носителях.

Автор: Татьяна Балеевских, старший аналитик Аналитического центра УЦСБ.

УЦСБ
Автор: УЦСБ
Компания УЦСБ специализируется на создании, модернизации и обслуживании базовых инфраструктурных элементов предприятий и организаций, включая: информационные и инженерно-технические системы, решения по обеспечению информационной и технической безопасности.
Комментарии: