Телеканал
Газета
Тренды
РБК+
Pro
Инвестиции
Авто
Спорт
Недвижимость
Стиль
Национальные проекты
Крипто
Исследования
Кредитные рейтинги
Продажа бизнеса
Конференции
Журнал
Премия РБК 2019
Премия РБК СПб 2019
Спецпроекты
Проверка контрагентов
Экономика образованияЗдоровье
...
Фильтры
РБК Pro —  
информационный сервис для предпринимателей и управленцев. Первый месяц — бесплатно
Поиск
Темы
Подборки
Вебинары
Обратная связь
О проекте
Главное меню
Pro
Темы
Подборки
Вебинары
РБК Pro
— сервис для вашего бизнеса. Зарегистрируйтесь и получите доступ ко всем материалам. Первые 30 дней бесплатно.
Что такое Pro?

Чек-лист из 22 пунктов: как встретить Роскомнадзор во всеоружии

Право Инструкции РБК
Елена Голубятник, старший консультант центра информбезопасности «Инфосистем Джет», отвечает на волнующие бизнес вопросы о проверках Роскомнадзора и пытается избавить организации от распространенных заблуждений
Фото:РБК
Фото: РБК

Что нужно знать бизнесу о проверках Роскомнадзора

Компании часто оказываются не готовы к проверкам Роскомнадзора, что приводит к предписаниям и штрафам. Только за первую половину 2018 года ведомство провело более 1,5 тыс. проверок и практически в каждом пятом случае вынесло предписание. Общая сумма штрафов по итогам контрольно-надзорных мероприятий превысила 1,4 млн руб.

Первое, что нужно знать предпринимателю: регулятор может заинтересоваться любой организацией.

Если в организации есть хотя бы один работник, по закону она уже считается оператором персональных данных и должна выполнять требования 152-ФЗ «О персональных данных». То же самое касается индивидуальных предпринимателей, обрабатывающих личные данные своих клиентов.

Виды проверок

  • Плановые проверки

Следующий нюанс, о котором важно помнить: проверки бывают плановые и внеплановые. Из названия понятно, что плановые — это те, что запланированы. Возникает закономерный вопрос: как узнать, кого намерен проверить Роскомнадзор?

В конце каждого года ведомство публикует на официальном сайте план проведения проверок юридических лиц и индивидуальных предпринимателей на грядущий год. Он включает не только перечень организаций, но и точные даты проведения проверок. Это сводит на нет эффект неожиданности и дает компаниям возможность привести в порядок процессы обработки персональных данных, на которые раньше не находилось времени.

  • Внеплановые проверки

С внеплановыми проверками дела обстоят не столь радужно: Роскомнадзор проводит их так же регулярно, как и плановые, однако компании узнают об этом позже, чем о плановых, но как минимум за сутки до начала.

Все проверки состоят из двух стадий: документарная и выездная. В ходе первой представители регулятора смотрят документы, которые касаются обработки персональных данных: политики, положения, типовые формы с полями для внесения персональных данных.

При выездной проверке специалисты регулятора посещают проверяемую организацию лично и на месте изучают, как устроены основные процессы обработки персональных данных: общаются с работниками, просят продемонстрировать информационные системы, запрашивают дополнительные свидетельства.

Теоретически оба вида могут проводиться обособленно. Однако, как показывает наш опыт, любая проверка включает обе стадии.

С чего начинается проверка

Многие проверки начинаются еще до официально заявленной даты, хотя это и незаметно для организаций.

Перед первым визитом представители Роскомнадзора изучают сайт организации: смотрят, какие персональные данные собираются на нем, есть ли согласие на обработку личной информации посетителей и прописана ли политика обработки персональных данных.

Если организация направила в Роскомнадзор уведомление об обработке персональных данных, специалисты изучают и этот документ. Вот почему уже при первом визите проверяющие ведомства обладают некой информацией.

Как правило, за неделю до первого посещения офиса организации Роскомнадзор направляет ей почтовое уведомление с датами проверки и списком документов, которые необходимо подготовить. Часто представители ведомства дополнительно согласовывают время первого визита по телефону с работником организации, ответственным за сопровождение проверки.

В первый день проверки представители регулятора

  • рассказывают, как будет проходить проверка,
  • забирают запрошенные документы (заверенные печатью организации и подписью руководителя) под опись для последующего анализа (документарной проверки),
  • обозначают дату следующего визита.

Во время последующих выездных проверок представители Роскомнадзора пытаются погрузиться в процессы обработки персональных данных в организации.

Срок выполнения проверки

Обычно проверка длится 20 дней, за это время специалисты приезжают в организацию от трех до шести раз.

При необходимости срок может быть продлен. В нашей практике такое случалось лишь однажды: срок дополнительно увеличивали на месяц.

Универсального ответа на вопрос, что будет смотреть Роскомнадзор при проверке, увы, нет. Однако есть пункты, на которые представители регулятора, с большой долей вероятности, обратят внимание.

Чек-лист: что проверяет Роскомнадзор

РБК Pro
сервис для вашего бизнеса

Зарегистрируйтесь, чтобы дочитать материал и получите бесплатно первый месяц доступа к сервису «РБК Pro»:

  • Вебинары от профессионалов-практиков
  • Бизнес-руководства и инструкции
  • Кейсы, исследования и прогнозы от экспертов
Что такое РБК Pro