1. Жалобы граждан и работников
Главный источник внеплановых проверок — обращения субъектов персональных данных. Жалобы поступают, если:
- гражданину не ответили на запрос об обработке его ПДн;
- компания отказала в удалении или исправлении данных;
- человек узнал о неправомерной передаче данных третьим лицам;
- бывший сотрудник заявил, что его документы или фото продолжают использовать.
Даже одно обращение в Роскомнадзор может стать основанием для проверки — особенно если к нему приложены доказательства (скриншоты, переписка, аудиозаписи).
2. Публикация персональных данных в открытом доступе
Если данные (ФИО, телефоны, адреса, фото и т.д.) оказались в интернете без согласия субъекта, Роскомнадзор рассматривает это как возможное нарушение статьи 10.1 ФЗ-152.
Проверка может начаться даже по мониторингу открытых источников — ведомство активно использует автоматические системы поиска утечек.
3. Утечка информации
Любая утечка, о которой стало известно СМИ, пользователям или иным ведомствам, приводит к автоматическому включению организации в список для проверки.
Особенно внимательно рассматриваются случаи, когда:
- утечка касается биометрических или медицинских данных;
- данные опубликованы на сторонних ресурсах;
- компания не уведомила Роскомнадзор об инциденте (что сама обязана сделать в течение 24 часов).
4. Отсутствие уведомления в реестре операторов
Если организация обрабатывает персональные данные, но не числится в реестре операторов ПДн, это воспринимается как скрытая деятельность.
Такой оператор автоматически попадает в зону риска внепланового контроля — Роскомнадзор регулярно сверяет свои базы с налоговыми и другими госреестрами.
5. Жалобы контрагентов или подрядчиков
Нарушения могут выявляться при совместных проектах: например, если подрядчик пожаловался, что заказчик передал ему персональные данные без оформления договора поручения.
6. Повторное выявление нарушений
Если ранее компания уже получала предписание и не устранила нарушения в срок, Роскомнадзор инициирует внеплановую проверку для контроля исполнения. Повторное нарушение почти всегда заканчивается штрафом.
7. Проверки «по поручению» других органов
Проверка может быть назначена по запросу прокуратуры, МВД, ФНС или ФСБ, если у них возникают подозрения в нарушениях обработки ПДн. Такие случаи особенно характерны для медицинских, образовательных и финансовых организаций.
8. Сигналы от СМИ и общественных организаций
Иногда внеплановые проверки проводятся после публикаций в СМИ или соцсетях о фактах утечек, несанкционированных рассылок, публикации персональных данных клиентов или работников.
Обоснование по законодательству
- ФЗ-152 «О персональных данных», ст. 22–23;
- ФЗ-248 от 31.07.2020 — о государственном контроле (надзоре);
- Постановление Правительства № 1511 от 30.09.2020 — порядок проведения проверок;
- КоАП РФ, ст. 13.11 — ответственность за нарушения обработки ПДн.
Практика Роскомнадзора
По данным ведомства, более 70 % внеплановых проверок начинаются с жалоб граждан, около 20 % — из-за инцидентов утечки, и ещё 10 % — по запросам других госорганов.
Роскомнадзор отмечает, что компании, имеющие полный пакет документов и порядок обработки ПДн, как правило, ограничиваются предписанием без штрафов.
Вывод
Основные признаки, повышающие риск внеплановой проверки, — жалобы субъектов, утечки и отсутствие документов. Чтобы снизить риски, оператору важно иметь полный комплект локальных актов, регламентов и подтверждений правильной работы с ПДн.
Компания ICTech поможет провести аудит вашей системы персональных данных, выявить уязвимые точки и подготовить полный пакет документов для защиты при проверке Роскомнадзора.
