Проверки Роскомнадзора в 2025 году — неизбежная часть работы для всех компаний, которые занимаются обработкой персональных данных.
И несмотря на то, что такие проверки являются нормой, они все равно могут быть стрессовыми для бизнеса. Поэтому важно заранее подготовиться, чтобы избежать неприятных последствий и штрафов.
В этой статье мы расскажем, как строго подготовиться к проверке РКН, какие шаги необходимо предпринять и на что обращают внимание инспекторы.
Зачем вообще готовиться к проверке Роскомнадзора?
Каждая компания, которая имеет дело с персональными данными, может подвергнуться проверке РКН. И, если с юридической точки зрения вы работаете по требованиям законодательства, не значит, что вы всегда готовы к проверке.
Невыполнение определенных условий может привести к штрафам, репутационным потерям и даже блокировке ресурсов. Поэтому важно не только быть уверенным в правильности вашей рабочих процессов с данными, но и поддерживать актуальность всех документов, норм и процедур. В этой статье мы подробно разберем, как подготовить вашу компанию к проверке Роскомнадзора, чтобы минимизировать все риски.
Типы проверок Роскомнадзора и их особенности
Роскомнадзор проводит различные виды проверок, каждая из которых имеет свои особенности. Важно понимать, какой именно тип проверки предстоит, чтобы подготовиться к ней с максимальной эффективностью.
1. Плановая проверка
Роскомнадзор предупреждает компанию о плановой проверке заранее. Обычно уведомление приходит за 3 дня до начала, и вы можете заранее ознакомиться с планами проверок на официальном сайте РКН. Такие проверки проводят по заранее утвержденному графику.
2. Внеплановая проверка
Этот вид проверки часто инициируется на основании жалоб, например, от клиентов, которые пострадали от спама, СМС-рассылок или других видов нежелательных сообщений. Внеплановую проверку Роскомнадзор может начать без предварительного предупреждения, но уведомление обычно приходит за 24 часа до визита.
3. Документарная проверка
В случае документарной проверки сотрудники Роскомнадзора не посещают вашу компанию, а только запрашивают копии документов, которые необходимо отправить по почте или через электронную почту. Это не столь ресурсозатратно, но важно, чтобы все документы были подготовлены заранее.
4. Выездная проверка
При выездной проверке инспекторы приезжают в вашу компанию и проверяют, как вы соблюдаете требования закона. Это более тщательный процесс, который требует от бизнеса полной подготовки всех документов и соблюдения всех норм.
5. Инспекционный визит
Этот визит чаще всего проводится в отношении высокорисковых организаций, которые обрабатывают персональные данные в крупных объемах. Также инспекционные визиты могут быть назначены компаниям, которые только начинают работать в области обработки персональных данных.
Мораторий на проверки бизнеса
Мораторий на проверки бизнеса — это временное приостановление плановых контрольных и надзорных мероприятий.
Недавно правительство продлило мораторий на плановые проверки до 2030 года. Это означает, что проверяющие органы могут проводить плановые контрольно-надзорные мероприятия только в отношении определенных организаций, включенных в заранее утвержденный график.
Ключевым фактором для попадания в этот список является степень риска, который организация представляет для защиты персональных данных.
Периодичность таких мероприятий зависит от категории риска, присвоенной оператору персональных данных, которая определяется на основе объема, категорий и способов обработки данных.
Однако с 1 января 2025 года мораторий на внеплановые проверки операторов персональных данных завершился. В связи с этим РКН теперь имеет право проводить проверки по следующим основаниям:
- если выявлена утечка персональных данных в Интернете;
- если есть несоответствие контролируемого лица установленным индикаторам риска (подробнее о которых мы писали в нашей статье);
- по жалобе субъекта персональных данных, если это приводит к вреду жизни или здоровью граждан;
- если оператор не исполнил или частично исполнил предписание об устранении нарушения.
Аттестация информационной системы для защиты ПДн
Аттестация информационной системы — это процесс, в рамках которого проводится оценка, насколько правильно организованы и достаточны меры безопасности, предусмотренные для защиты информации, а также соответствуют ли они установленным законодательным и нормативным требованиям.
Основные этапы аттестации
Процесс аттестации информационной системы состоит из двух ключевых компонентов:
- Техническое оснащение. На данном этапе проводятся установки и настройки средств защиты информации, а также проверяется наличие соответствующей технической документации, которая подтверждает, что все защитные меры были предприняты должным образом.
- Документальное сопровождение. Важной частью является подготовка всей необходимой документации, которая будет подтверждать соответствие системы информационной безопасности установленным стандартам и законодательным требованиям.
Как проходит процесс аттестации
Процесс аттестации информационной системы включает несколько этапов:
- Поставка средств защиты. Обеспечение системы необходимыми средствами защиты, что является основой для проведения аттестационных испытаний.
- Аттестационные испытания. Применение методик и программ, которые включают в себя проверку правильности и полноты установленных средств защиты.
- Аттестат соответствия. По результатам аттестации выдается документ, который подтверждает соответствие системы установленным стандартам безопасности.
- Обследование. В рамках аттестации специалисты проводят диагностику системы на наличие уязвимостей и проверку всех защитных механизмов.
- Программа и методики испытаний. Для каждого объекта аттестации разрабатывается специальная программа и методика испытаний, которые детализируют весь процесс аттестации.
- Заключение и протоколы. В итоге подготавливается заключение с результатами аттестации и протоколы испытаний, которые могут быть использованы для дальнейших шагов по улучшению системы безопасности.
На что обращают внимание инспекторы
Во время проверки инспекторы начинают с обязательного ознакомления с необходимыми документами. Прежде всего они проверяют, было ли подано уведомление в Роскомнадзор от компании, если она не попадает под исключения.
Согласно ст. 22 152-ФЗ, существует несколько категорий данных, которые можно обрабатывать без уведомления в РКН.
- Данные, обрабатываемые в рамках трудового законодательства.
- Данные, полученные в связи с заключением договора, если эти данные не передаются третьим лицам без согласия субъекта и используются исключительно для исполнения договора.
- Данные участников общественных объединений или религиозных организаций, если эти данные не передаются третьим лицам.
- Данные, сделанные общедоступными субъектом данных.
- Данные, включающие только фамилии, имена и отчества субъектов данных.
- Данные, которые нужны для однократного пропуска через территорию оператора.
- Данные, включенные в государственные автоматизированные информационные системы, созданные для обеспечения безопасности государства.
- Данные, обрабатываемые без автоматизации в целях обеспечения безопасности данных.
Если уведомление подано, инспекторы проверяют его содержание и сравнивают с реальными процессами обработки персональных данных в компании. Если информация не совпадает, например, после подачи уведомления был изменен ответственный за организацию обработки данных, компанию могут оштрафовать за неотправленное уведомление об изменениях в Роскомнадзор.
Кроме того, проверяется сайт компании. Если на сайте собираются данные cookie (например, ФИО, телефон, электронный адрес), но нет опубликованной политики обработки персональных данных, компания рискует получить штраф за несоблюдение 152-ФЗ.
Во время проверки инспекторы могут запросить формы документов, содержащие персональные данные. Это могут быть анкеты для соискателей вакансий, формы согласия на обработку персональных данных, cookie. Все эти формы должны быть подготовлены заранее, чтобы избежать проблем с инспекторами.
Обработка специальных категорий персональных данных
РКН особенно внимательно следит за обработкой персональных данных особой категории. Это данные о расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, а также состояние здоровья или интимной жизни.
Такие данные можно собирать только с письменного согласия субъекта и только на законных основаниях. Например, если работодатель собирает данные о состоянии здоровья работника для оценки его способности выполнять трудовые функции, это должно быть документально оформлено.
Передача персональных данных третьим лицам
Если компания передает персональные данные другим организациям, например, в рамках зарплатных проектов или для обработки данных сторонними провайдерами, важно, чтобы в договоре с этими организациями было четко указано:
- Цель передачи данных.
- Какие действия будут предприняты с этими данными.
- Обязанность принимающей компании обеспечить конфиденциальность и защиту персональных данных.
Также договор должен включать условия, в которых принимающая сторона обязуется соблюдать все правовые, организационные и технические меры для защиты данных.
Подведем итог
Подготовка к проверке Роскомнадзора — это не что-то страшное или сложное. Если вы заранее обеспечите правильную организацию работы с персональными данными, поддержите документы в актуальном состоянии и примете все необходимые меры защиты, вы легко пройдете проверку без неприятных последствий.
Не откладывайте подготовку на последний момент, потому что с проверками Роскомнадзора нужно быть готовым всегда. Строго следите за актуальностью всех документов и процессов, и тогда проверка Роскомнадзора не будет для вашей компании проблемой.
Обеспечим защиту персональных данных вашей компании
Предлагаем только современные и проверенные временем решения.
Подобрать решение
 1.png){kind=icon}
.png){kind=icon}