Чек-лист из 22 пунктов: как встретить Роскомнадзор во всеоружии

Право Инструкции РБК

Елена Голубятник, старший консультант центра информбезопасности «Инфосистем Джет», отвечает на волнующие бизнес вопросы о проверках Роскомнадзора и пытается избавить организации от распространенных заблуждений

Фото: РБК

Что нужно знать бизнесу о проверках Роскомнадзора

Компании часто оказываются не готовы к проверкам Роскомнадзора, что приводит к предписаниям и штрафам. Только за первую половину 2018 года ведомство провело более 1,5 тыс. проверок и практически в каждом пятом случае вынесло предписание. Общая сумма штрафов по итогам контрольно-надзорных мероприятий превысила 1,4 млн руб.

Первое, что нужно знать предпринимателю: регулятор может заинтересоваться любой организацией.

Если в организации есть хотя бы один работник, по закону она уже считается оператором персональных данных и должна выполнять требования 152-ФЗ «О персональных данных». То же самое касается индивидуальных предпринимателей, обрабатывающих личные данные своих клиентов.

Виды проверок

Плановые проверки

Следующий нюанс, о котором важно помнить: проверки бывают плановые и внеплановые. Из названия понятно, что плановые — это те, что запланированы. Возникает закономерный вопрос: как узнать, кого намерен проверить Роскомнадзор?

В конце каждого года ведомство публикует на официальном сайте план проведения проверок юридических лиц и индивидуальных предпринимателей на грядущий год. Он включает не только перечень организаций, но и точные даты проведения проверок. Это сводит на нет эффект неожиданности и дает компаниям возможность привести в порядок процессы обработки персональных данных, на которые раньше не находилось времени.

Внеплановые проверки

С внеплановыми проверками дела обстоят не столь радужно: Роскомнадзор проводит их так же регулярно, как и плановые, однако компании узнают об этом позже, чем о плановых, но как минимум за сутки до начала.

Все проверки состоят из двух стадий: документарная и выездная. В ходе первой представители регулятора смотрят документы, которые касаются обработки персональных данных: политики, положения, типовые формы с полями для внесения персональных данных.

При выездной проверке специалисты регулятора посещают проверяемую организацию лично и на месте изучают, как устроены основные процессы обработки персональных данных: общаются с работниками, просят продемонстрировать информационные системы, запрашивают дополнительные свидетельства.

Теоретически оба вида могут проводиться обособленно. Однако, как показывает наш опыт, любая проверка включает обе стадии.

С чего начинается проверка

Многие проверки начинаются еще до официально заявленной даты, хотя это и незаметно для организаций.

Перед первым визитом представители Роскомнадзора изучают сайт организации: смотрят, какие персональные данные собираются на нем, есть ли согласие на обработку личной информации посетителей и прописана ли политика обработки персональных данных.

Если организация направила в Роскомнадзор уведомление об обработке персональных данных, специалисты изучают и этот документ. Вот почему уже при первом визите проверяющие ведомства обладают некой информацией.

Как правило, за неделю до первого посещения офиса организации Роскомнадзор направляет ей почтовое уведомление с датами проверки и списком документов, которые необходимо подготовить. Часто представители ведомства дополнительно согласовывают время первого визита по телефону с работником организации, ответственным за сопровождение проверки.

В первый день проверки представители регулятора

рассказывают, как будет проходить проверка,
забирают запрошенные документы (заверенные печатью организации и подписью руководителя) под опись для последующего анализа (документарной проверки),
обозначают дату следующего визита.

Во время последующих выездных проверок представители Роскомнадзора пытаются погрузиться в процессы обработки персональных данных в организации.

Срок выполнения проверки

Обычно проверка длится 20 дней, за это время специалисты приезжают в организацию от трех до шести раз.

При необходимости срок может быть продлен. В нашей практике такое случалось лишь однажды: срок дополнительно увеличивали на месяц.

Универсального ответа на вопрос, что будет смотреть Роскомнадзор при проверке, увы, нет. Однако есть пункты, на которые представители регулятора, с большой долей вероятности, обратят внимание.