1. Проверить подлинность уведомления
Первое, что нужно сделать — убедиться, что уведомление действительно направлено Роскомнадзором, а не сторонней организацией. Настоящее уведомление:
- имеет исходящий номер, дату и регистрационный штамп;
- содержит ссылку на приказ или распоряжение о проведении проверки;
- подписано уполномоченным лицом территориального управления Роскомнадзора;
- может быть направлено по почте, через ГИС ЕРКНМ или на электронную почту, указанную в реестре операторов ПДн.
2. Определить тип и сроки проверки
В уведомлении указано, какая проверка назначена:
- документарная (требуется предоставить документы и пояснения);
- выездная (инспекторы приедут на место).
Также обозначается период проверки — обычно до 20 рабочих дней, и перечень запрашиваемых документов. Срок предоставления ответов составляет 10 рабочих дней, если не указано иначе.
3. Назначить ответственное лицо
Руководитель компании издаёт приказ о подготовке к проверке, в котором:
- назначает ответственного за взаимодействие с Роскомнадзором;
- определяет срок и порядок подготовки документов;
- фиксирует, кто сопровождает проверяющих.
Если ответственный по ПДн уже назначен приказом — он становится контактным лицом комиссии.
4. Подготовить и проверить документы
Перед передачей материалов важно убедиться, что они актуальны и подписаны. Проверяются:
- политика и положение об обработке ПДн;
- приказы о назначении ответственного и о допуске сотрудников;
- согласия субъектов и реестр согласий;
- журнал инструктажей и обращений субъектов;
- акты уничтожения, обезличивания и блокировки данных;
- договоры с подрядчиками, в которых закреплены обязанности по защите ПДн;
- документы, подтверждающие локализацию хранения данных в РФ.
При документарной проверке допускается предоставление сканов с подписями и печатями в электронном виде.
5. Проверить сайт и информационные системы
Роскомнадзор почти всегда оценивает публичные ресурсы компании. Нужно убедиться, что:
- на сайте размещена политика обработки ПДн;
- формы обратной связи содержат чекбокс согласия;
- используется российский хостинг и база данных расположена в РФ;
- cookie и аналитика оформлены корректно.
Для ИСПДн проверьте наличие антивируса, паролей, ограничений доступа, резервного копирования и ведение журналов регистрации событий.
6. Не игнорировать запрос
Даже если вы не готовы сразу предоставить все документы — отправьте первый ответ, где подтвердите получение уведомления и укажите, что подготовка ведётся.
Отсутствие ответа расценивается как уклонение от проверки и может привести к административной ответственности (ст. 19.7 КоАП РФ).
7. Подготовить пояснения и комментарии
Если у Роскомнадзора есть конкретные вопросы (например, о жалобе субъекта или утечке), необходимо подготовить официальные пояснения на фирменном бланке. Важно:
- писать нейтрально, без признания вины;
- ссылаться на действующие документы;
- прикладывать копии подтверждений.
8. Проверить исполнение предыдущих предписаний
Если проверка проводится повторно, важно подтвердить, что все замечания прошлой проверки устранены: приложить отчёт и документы об исправлениях.
Обоснование по законодательству
- ФЗ-152 «О персональных данных», ст. 22–23;
- ФЗ-248 от 31.07.2020 — о государственном контроле (надзоре);
- Постановление Правительства № 1511 от 30.09.2020 — порядок проведения проверок;
- КоАП РФ, ст. 13.11 — ответственность за нарушения обработки ПДн;
- ст. 19.7 КоАП РФ — ответственность за непредоставление сведений в установленный срок.
Практика Роскомнадзора
Организации, которые оперативно предоставляют документы и показывают систему внутреннего контроля, обычно ограничиваются предупреждением или предписанием без штрафа в случае выявления нарушений.
Ведомство положительно оценивает наличие плана реагирования на проверки, журнала обращений субъектов и регламентов взаимодействия с госорганами.
Вывод
Если пришло уведомление о проверке — главное не затягивать с ответом. Подготовьте документы, проверьте сайт и порядок хранения данных. Продуманная система защиты ПДн и внутренний контроль — лучший аргумент перед надзором.
Компания ICTech поможет вам оперативно подготовиться к проверке: проверить документы, провести внутренний аудит и собрать доказательства соответствия требованиям ФЗ-152.
