Роскомнадзор проверяет персональные данные: что подготовить бизнесу

Проверка Роскомнадзора по персональным данным обычно выявляет не одну ошибку, а систему несоответствий: документы не совпадают с сайтом, согласия оформлены неправильно, уведомление не подано или устарело, подрядчики получают данные без поручения, а сотрудники не знают, кто отвечает за обработку персональных данных. Поэтому готовиться к проверке нужно не путем срочного скачивания шаблонов, а через реальный аудит процессов.

Проверка может быть связана с жалобой субъекта, утечкой, публикацией базы, мониторингом сайта, отсутствием оператора в реестре или иными основаниями. Даже если проверка еще не началась, письмо или запрос Роскомнадзора лучше воспринимать как сигнал: нужно быстро привести документы и факты в единую систему.

• есть ли оператор в реестре Роскомнадзора, если уведомление требовалось;
• соответствует ли политика обработки персональных данных требованиям закона;
• размещена ли политика на страницах сайта, где собираются данные;
• корректно ли оформлены согласия;
• не собираются ли избыточные данные;
• как организована защита данных и доступ сотрудников;
• есть ли договоры поручения с подрядчиками;
• как компания реагирует на обращения субъектов и инциденты.

Базовый комплект обычно включает политику обработки персональных данных, согласия для сайта и отдельных целей, положение об обработке персональных данных, приказ о назначении ответственного, перечень лиц с доступом к данным, инструкции для сотрудников, документы по мерам защиты, договоры с подрядчиками, уведомление в Роскомнадзор и подтверждения его подачи, порядок обработки обращений субъектов, порядок реагирования на инциденты.

Для работодателя дополнительно нужны документы по персональным данным работников, локальные акты, обязательства о неразглашении, порядок хранения кадровых документов и ограничения доступа к кадровой информации.

Сайт нужно смотреть отдельно. На каждой форме заявки, записи, обратной связи, подписки или регистрации должны быть корректные ссылки на согласие и политику. Нужно проверить, не остались ли старые формы на посадочных страницах, где нет чекбокса или ссылка ведет не туда. Также важно посмотреть, какие сервисы подключены: аналитика, чат, CRM, call-tracking, формы Tilda, мессенджеры и пиксели.

Ответ должен быть точным и подтвержденным документами. Не стоит направлять лишнюю информацию, которая не запрошена и может создать дополнительные вопросы. Но и игнорировать запрос нельзя. Перед ответом нужно определить, что именно спрашивает Роскомнадзор: документы, сведения об обработке, объяснения по жалобе, информация об инциденте или подтверждение устранения нарушения.

• задним числом менять документы без фиксации версии;
• удалять формы и данные без понимания последствий;
• отвечать общими фразами без приложений;
• признавать нарушение, не разобравшись в фактах;
• направлять противоречивые сведения из разных документов;
• показывать шаблонные документы, не соответствующие реальной обработке.

Если нарушение действительно есть, важно показать, что компания выявила проблему, принимает меры, обновляет документы, ограничивает доступ, устраняет ошибку на сайте, подает уведомление или уточняет сведения. В ряде ситуаций это помогает выстроить более аккуратную позицию и снизить последствия. Но каждый шаг нужно делать после анализа: иногда поспешные исправления подтверждают состав нарушения сильнее, чем само письмо Роскомнадзора.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.