Пришел запрос Роскомнадзора по персональным данным: что отвечать компании

Запрос Роскомнадзора по персональным данным нельзя игнорировать и нельзя отвечать на него общими фразами. Часто запрос приходит после жалобы пользователя, мониторинга сайта, выявления утечки или проверки реестра операторов. От первого ответа зависит, будет ли ситуация ограничена перепиской или перерастет в административное дело.

Главная ошибка — отвечать быстро, но неаккуратно: отправить все документы подряд, признать нарушение без анализа, приложить устаревшую политику, сослаться на согласие, которого фактически нет, или дать сведения, противоречащие сайту. Правильный ответ строится на фактах, документах и понимании, что именно спрашивает орган.

• зафиксировать дату получения запроса и срок ответа;
• определить, кто именно адресат: юрлицо, ИП, сайт, конкретный оператор;
• понять основание запроса: жалоба, инцидент, мониторинг, уточнение сведений;
• собрать документы, которые прямо относятся к вопросу;
• проверить сайт и формы, упомянутые в запросе;
• не отправлять ответ до юридической оценки.

В зависимости от запроса могут понадобиться политика обработки персональных данных, согласия, скриншоты форм сайта, сведения об уведомлении Роскомнадзора, договоры с подрядчиками, локальные акты, приказы, журнал обращений субъектов, документы по мерам защиты, объяснения по конкретной жалобе или инциденту.

Если запрос связан с пользователем, нужно проверить историю его обращения: оставлял ли он заявку, давал ли согласие, обращался ли с требованием об удалении данных, получал ли рассылку, откуда компания получила его контакт. Нельзя отвечать шаблонно, не проверив факты.

Ответ должен быть структурированным: ссылка на запрос, описание фактических обстоятельств, правовое основание обработки, перечень приложений, сведения о принятых мерах. Если нарушение устранено, это нужно показать документально. Если компания не согласна с доводами жалобы, нужно объяснить почему и приложить доказательства.

Не стоит использовать агрессивный тон или спорить с органом абстрактно. Но и не нужно признавать больше, чем установлено. Формулировки должны быть аккуратными: «по результатам проверки установлено», «оператором приняты меры», «обработка осуществлялась в целях», «документы прилагаются».

Нужно проверить страницу, форму, чекбокс, ссылки на согласие и политику, версию документа на дату обращения, фактический путь заявки. Иногда на текущей версии сайта уже все исправлено, но жалоба относится к старой форме. В этом случае важно понять, можно ли подтвердить, какой текст действовал на момент сбора данных.

Нужно действовать по правилам инцидента: проверить факт неправомерного доступа или распространения, определить объем данных, принять меры, уведомить Роскомнадзор в установленные сроки, начать внутреннее расследование и подготовить дополнительные сведения. Ответ на запрос не должен заменять уведомление об инциденте, если обязанность уведомления возникла.

• пропуск срока ответа;
• ответ без приложений и доказательств;
• направление документов, которые противоречат сайту;
• обещание исправить нарушение без конкретного плана;
• признание утечки без проверки фактов;
• отправка персональных данных третьих лиц без необходимости;
• отсутствие единой позиции между юристом, IT и руководством.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.