Мы на Workspace
Наверх
8(863)303-51-41
Заказать звонок
phone phone phone phone
Gendalf Gendalf
Главная  →  Новости  →  ЗПДн 
159

Как подготовить компанию к проверке Роскомнадзора: шаги, советы и предостережения

Защита данных и подготовка к проверке Роскомнадзора в 2025 году — ключевые задачи для организаций.

Содержание

Проверки Роскомнадзора в 2025 году — неизбежная часть работы для всех компаний, которые занимаются обработкой персональных данных.

И несмотря на то, что такие проверки являются нормой, они все равно могут быть стрессовыми для бизнеса. Поэтому важно заранее подготовиться, чтобы избежать неприятных последствий и штрафов.

В этой статье мы расскажем, как строго подготовиться к проверке РКН, какие шаги необходимо предпринять и на что обращают внимание инспекторы.

Зачем вообще готовиться к проверке Роскомнадзора?

Каждая компания, которая имеет дело с персональными данными, может подвергнуться проверке РКН. И, если с юридической точки зрения вы работаете по требованиям законодательства, не значит, что вы всегда готовы к проверке.

Невыполнение определенных условий может привести к штрафам, репутационным потерям и даже блокировке ресурсов. Поэтому важно не только быть уверенным в правильности вашей рабочих процессов с данными, но и поддерживать актуальность всех документов, норм и процедур. В этой статье мы подробно разберем, как подготовить вашу компанию к проверке Роскомнадзора, чтобы минимизировать все риски.

Типы проверок Роскомнадзора и их особенности

Роскомнадзор проводит различные виды проверок, каждая из которых имеет свои особенности. Важно понимать, какой именно тип проверки предстоит, чтобы подготовиться к ней с максимальной эффективностью.

1. Плановая проверка

Роскомнадзор предупреждает компанию о плановой проверке заранее. Обычно уведомление приходит за 3 дня до начала, и вы можете заранее ознакомиться с планами проверок на официальном сайте РКН. Такие проверки проводят по заранее утвержденному графику.

2. Внеплановая проверка

Этот вид проверки часто инициируется на основании жалоб, например, от клиентов, которые пострадали от спама, SMS-рассылок или других видов нежелательных сообщений. Внеплановую проверку Роскомнадзор может начать без предварительного предупреждения, но уведомление обычно приходит за 24 часа до визита.

3. Документарная проверка

В случае документарной проверки сотрудники Роскомнадзора не посещают вашу компанию, а только запрашивают копии документов, которые необходимо отправить по почте или через электронную почту. Это не столь ресурсозатратно, но важно, чтобы все документы были подготовлены заранее.

4. Выездная проверка

При выездной проверке инспекторы приезжают в вашу компанию и проверяют, как вы соблюдаете требования закона. Это более тщательный процесс, который требует от бизнеса полной подготовки всех документов и соблюдения всех норм.

5. Инспекционный визит

Этот визит чаще всего проводится в отношении высокорисковых организаций, которые обрабатывают персональные данные в крупных объемах. Также инспекционные визиты могут быть назначены компаниям, которые только начинают работать в области обработки персональных данных.

Мораторий на проверки бизнеса

Мораторий на проверки бизнеса — это временное приостановление плановых контрольных и надзорных мероприятий.

Недавно правительство продлило мораторий на плановые проверки до 2030 года. Это означает, что проверяющие органы могут проводить плановые контрольно-надзорные мероприятия только в отношении определенных организаций, включенных в заранее утвержденный график.

Ключевым фактором для попадания в этот список является степень риска, который организация представляет для защиты персональных данных.

Периодичность таких мероприятий зависит от категории риска, присвоенной оператору персональных данных, которая определяется на основе объема, категорий и способов обработки данных.

Однако с 1 января 2025 года мораторий на внеплановые проверки операторов персональных данных завершился. В связи с этим РКН теперь имеет право проводить проверки по следующим основаниям:

  • если выявлена утечка персональных данных в Интернете;
  • если есть несоответствие контролируемого лица установленным индикаторам риска (подробнее о которых мы писали в нашей статье);
  • по жалобе субъекта персональных данных, если это приводит к вреду жизни или здоровью граждан;
  • если оператор не исполнил или частично исполнил предписание об устранении нарушения.

Как провести подготовку к проверке Роскомнадзора

Подготовка к проверке РКН начинается с нескольких важных шагов. Чтобы избежать штрафов и других неприятностей, важно работать строго по требованиям законодательства и быть готовыми ко всем возможным ситуациям.

Шаг 1. Проверьте актуальность ваших документов

Прежде чем вас проверит РКН, убедитесь, что все ваши документы находятся в актуальном состоянии. Это ключевая часть подготовки. Что нужно проверить?

  • Политика в отношении обработки персональных данных. Этот документ должен быть актуален, доступен для всех сотрудников и, если необходимо, опубликован на сайте компании.
  • Уведомление в Роскомнадзор. Если ваша компания обрабатывает персональные данные, вы обязаны подать уведомление в РКН. Убедитесь, что информация в уведомлении соответствует действительности. Например, если поменялся ответственный за обработку данных, вы должны сообщить об этом в Роскомнадзор.

Шаг 2. Обеспечьте защиту персональных данных

Защита персональных данных — это не только юридическая ответственность, но и техническая. Вам нужно обеспечить высокий уровень безопасности для всех персональных данных, которыми вы управляете.

  • Убедитесь, что у вас есть средства защиты данных: системы контроля доступа, шифрование, антиспамовые фильтры и так далее.
  • Помещения, где обрабатываются персональные данные, должны быть защищены от несанкционированного доступа.
  • Персональные данные должны храниться в безопасных местах — например, в защищенных хранилищах или электронных системах с надежной защитой.

Шаг 3. Приведите в порядок процессы обработки персональных данных

Как ваша компания обрабатывает персональные данные? Убедитесь, что все процессы документооборота и работы с данными соответствуют нормативам, установленным законом:

  • Определите, кто в вашей компании отвечает за обработку персональных данных.
  • Убедитесь, что ваши сотрудники ознакомлены с актуальными инструкциями по обработке данных.
  • Проверьте, как именно вы собираете, храните, передаете и уничтожаете персональные данные. Все эти процессы должны быть документированы и проверяемы.

Шаг 4. Разработайте и утвердите все внутренние документы

Каждая компания должна иметь ряд внутренних документов, регламентирующих работу с персональными данными:

  • Положение о неавтоматизированной обработке персональных данных.
  • Приказ о назначении ответственного за обработку данных.
  • Инструкции по обработке данных для сотрудников.

Убедитесь, что все документы подписаны и утверждены должным образом. Все сотрудники должны быть ознакомлены с ними.

Шаг 5. Подготовьте формы согласия на обработку персональных данных

Если ваша компания собирает персональные данные (например, анкеты соискателей, данные клиентов), нужно подготовить формы согласия на обработку персональных данных. Эти формы должны быть заполнены субъектами данных и храниться в вашем архиве.

Аттестация информационной системы для защиты ПДн

Аттестация информационной системы — это процесс, в рамках которого проводится оценка, насколько правильно организованы и достаточны меры безопасности, предусмотренные для защиты информации, а также соответствуют ли они установленным законодательным и нормативным требованиям.

Основные этапы аттестации

Процесс аттестации информационной системы состоит из двух ключевых компонентов:

  1. Техническое оснащение. На данном этапе проводятся установки и настройки средств защиты информации, а также проверяется наличие соответствующей технической документации, которая подтверждает, что все защитные меры были предприняты должным образом.
  2. Документальное сопровождение. Важной частью является подготовка всей необходимой документации, которая будет подтверждать соответствие системы информационной безопасности установленным стандартам и законодательным требованиям.

Как проходит процесс аттестации

Процесс аттестации информационной системы включает несколько этапов:

  • Поставка средств защиты. Обеспечение системы необходимыми средствами защиты, что является основой для проведения аттестационных испытаний.
  • Аттестационные испытания. Применение методик и программ, которые включают в себя проверку правильности и полноты установленных средств защиты.
  • Аттестат соответствия. По результатам аттестации выдается документ, который подтверждает соответствие системы установленным стандартам безопасности.
  • Обследование. В рамках аттестации специалисты проводят диагностику системы на наличие уязвимостей и проверку всех защитных механизмов.
  • Программа и методики испытаний. Для каждого объекта аттестации разрабатывается специальная программа и методика испытаний, которые детализируют весь процесс аттестации.
  • Заключение и протоколы. В итоге подготавливается заключение с результатами аттестации и протоколы испытаний, которые могут быть использованы для дальнейших шагов по улучшению системы безопасности.

Хотите узнать больше об аттестации?

Ждем вас на консультации нашего эксперта.

Нужна консультация

На что обращают внимание инспекторы Роскомнадзора

Во время проверки РКН инспекторы начинают с обязательного ознакомления с необходимыми документами. Прежде всего они проверяют, было ли подано уведомление в Роскомнадзор от компании, если она не попадает под исключения.

Согласно ст. 22 152-ФЗ, существует несколько категорий данных, которые можно обрабатывать без уведомления в РКН.

  • Данные, обрабатываемые в рамках трудового законодательства.
  • Данные, полученные в связи с заключением договора, если эти данные не передаются третьим лицам без согласия субъекта и используются исключительно для исполнения договора.
  • Данные участников общественных объединений или религиозных организаций, если эти данные не передаются третьим лицам.
  • Данные, сделанные общедоступными субъектом данных.
  • Данные, включающие только фамилии, имена и отчества субъектов данных.
  • Данные, которые нужны для однократного пропуска через территорию оператора.
  • Данные, включенные в государственные автоматизированные информационные системы, созданные для обеспечения безопасности государства.
  • Данные, обрабатываемые без автоматизации в целях обеспечения безопасности данных.

Если уведомление подано, инспекторы проверяют его содержание и сравнивают с реальными процессами обработки персональных данных в компании. Если информация не совпадает, например, после подачи уведомления был изменен ответственный за организацию обработки данных, компанию могут оштрафовать за неотправленное уведомление об изменениях в Роскомнадзор.

Кроме того, РКН проверяет сайт компании. Если на сайте собираются данные cookie (например, ФИО, телефон, электронный адрес), но нет опубликованной политики обработки персональных данных, компания рискует получить штраф за несоблюдение 152-ФЗ.

Во время проверки инспекторы могут запросить формы документов, содержащие персональные данные. Это могут быть анкеты для соискателей вакансий, формы согласия на обработку персональных данных, cookie. Все эти формы должны быть подготовлены заранее, чтобы избежать проблем с инспекторами.

Обработка специальных категорий персональных данных

РКН особенно внимательно следит за обработкой персональных данных особой категории. Это данные о расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, а также состояние здоровья или интимной жизни.

Такие данные можно собирать только с письменного согласия субъекта и только на законных основаниях. Например, если работодатель собирает данные о состоянии здоровья работника для оценки его способности выполнять трудовые функции, это должно быть документально оформлено.

Передача персональных данных третьим лицам

Если компания передает персональные данные другим организациям, например, в рамках зарплатных проектов или для обработки данных сторонними провайдерами, важно, чтобы в договоре с этими организациями было четко указано:

  • Цель передачи данных.
  • Какие действия будут предприняты с этими данными.
  • Обязанность принимающей компании обеспечить конфиденциальность и защиту персональных данных.

Также договор должен включать условия, в которых принимающая сторона обязуется соблюдать все правовые, организационные и технические меры для защиты данных.

Важные изменения с 1 сентября 2021 года

С 1 сентября 2021 года вступили в силу изменения, касающиеся согласия на обработку персональных данных. Роскомнадзор выпустил Приказ от 24.02.2021 № 18, который устанавливает требования к содержанию согласия на обработку персональных данных, предоставленных субъектами данных для их распространения. Все компании, собирающие данные, должны следить за соответствием новым стандартам и правилам.

Защита и безопасность персональных данных

Очень важным моментом для Роскомнадзора является защита персональных данных в помещениях, где они обрабатываются. Эти помещения должны быть оснащены контролируемым доступом. 

Например, клиент банка не должен иметь доступа к личной информации других клиентов. Персональные данные должны быть доступны только тем сотрудникам, которые имеют соответствующие полномочия.

Также необходимо обеспечить раздельное хранение документов с персональными данными разных категорий граждан. Личные данные работников должны храниться отдельно от документов с данными клиентов. Для этого можно использовать запираемые шкафы или сейфы. Все документы с данными должны быть убраны в конце рабочего дня, чтобы исключить возможность несанкционированного доступа.

Если во время проверки РКН обнаружит, что документы с персональными данными разбросаны на столах сотрудников, это может привести к штрафам и другим санкциям.

Подведем итог

Подготовка к проверке Роскомнадзора — это не что-то страшное или сложное. Если вы заранее обеспечите правильную организацию работы с персональными данными, поддержите документы в актуальном состоянии и примете все необходимые меры защиты, вы легко пройдете проверку без неприятных последствий.

Не откладывайте подготовку на последний момент, потому что с проверками Роскомнадзора нужно быть готовым всегда. Строго следите за актуальностью всех документов и процессов, и тогда проверка Роскомнадзора не будет для вашей компании проблемой.

Обеспечим защиту персональных данных вашей компании

Предлагаем только современные и проверенные временем решения.

Подобрать решение

Персональные данные Защита персональных данных 152-ФЗ Проверка Роскомнадзора
Поделиться  

Рейтинг статьи:

4.9

(на основе 11 голосов)

Читайте также

Комплексная защита сети без огромных трат: обзор решений PT NAD и PT NGFW

Уязвимы все: про опыт больших компаний, пострадавших от кибератак и методы защиты

Как защититься от хакеров – план выживания для бизнеса

Подписывайтесь на нас в соцсетях

Рейтинг сайта:

4.8

(на основе 546 голосов)

Материалы сайта gendalf.ru носят информационный характер и не являются публичной офертой.
Вы можете использовать материалы данного сайта, при условии наличия ссылки (или гиперссылки) на источник gendalf.ru.
На странице использованы графические материалы: Изображения https://www.freepik.com, иконки www.flaticon.com.

© 1993-2025 ГЭНДАЛЬФ