Основные направления вопросов
Все вопросы делятся на несколько тематических блоков: организационные, юридические, технические и практические. Отвечать на них обычно поручают ответственному за ПДн, системному администратору и руководителю компании.
1. Организационные вопросы
- Назначен ли ответственный за организацию обработки персональных данных?
- Есть ли приказ о его назначении и должностная инструкция?
- Кто имеет доступ к персональным данным и как оформлен допуск?
- Как ведётся учёт сотрудников, имеющих доступ к ПДн?
- Проводится ли обучение и инструктаж сотрудников по защите ПДн?
- Как фиксируется факт инструктажа (журнал, акты, подписи)?
- Ведётся ли журнал обращений субъектов персональных данных?
Инспекторы проверяют, существует ли внутренняя система управления защитой ПДн, и как она документирована.
2. Вопросы по документам
- Утверждена ли политика обработки персональных данных и размещена ли она в открытом доступе?
- Есть ли положение об обработке ПДн, регламенты уничтожения и хранения?
- Имеются ли формы согласий субъектов на обработку данных, в том числе электронных?
- Ведётся ли учёт полученных и отозванных согласий?
- Заключены ли договоры поручения с подрядчиками, которые обрабатывают данные по поручению оператора?
- Подавалось ли уведомление в Роскомнадзор об обработке ПДн и актуализировалось ли оно?
- Есть ли документы, подтверждающие локализацию баз данных на территории РФ?
Здесь основное внимание уделяется комплектности и актуальности документов. Если документы есть, но не подписаны, не утверждены приказом или не соответствуют закону — это считается нарушением.
3. Технические и IT-вопросы
- Как обеспечивается защита ПДн в информационных системах?
- Какие используются средства защиты информации (антивирус, шифрование, контроль доступа)?
- Есть ли регламент резервного копирования и журнал восстановления данных?
- Как ограничивается доступ сотрудников к различным категориям данных?
- Проводилась ли оценка угроз безопасности и классификация ИСПДн?
- Где физически хранятся базы данных (в каком дата-центре, на чьих серверах)?
- Используются ли зарубежные облачные сервисы (Google, Dropbox, Notion и др.)?
На эти вопросы обычно отвечает системный администратор или лицо, ответственное за ИСПДн. Роскомнадзор может запросить подтверждения: скриншоты, договора с провайдерами, сведения о сертифицированных средствах защиты.
4. Вопросы по фактической работе
- Как сотрудники передают ПДн между отделами?
- Есть ли контроль за копированием и сканированием документов?
- Как уничтожаются черновики и бумажные носители с ПДн?
- Как обрабатываются обращения субъектов, требующих удалить или исправить данные?
- Кто контролирует исполнение приказов по ПДн и ведение журналов?
Инспекторы могут попросить показать реальные документы: журнал уничтожения, акты об обезличивании, обращения субъектов, переписку с Роскомнадзором.
5. Вопросы по сайту
- Размещена ли политика обработки ПДн на сайте?
- Есть ли чекбокс согласия при заполнении формы обратной связи?
- Указан ли адрес оператора и контакт ответственного за ПДн?
- Где хранятся данные, собранные с сайта — на российских или зарубежных серверах?
- Используются ли cookie и аналитические сервисы (Яндекс.Метрика, Google Analytics)?
Роскомнадзор может потребовать скриншоты сайта или провести анализ самостоятельно.
Практика проверок
По опыту 2023–2025 годов, инспекторы чаще всего фиксируют нарушения, когда:
- нет подтверждения согласий;
- политика размещена на сайте, но не утверждена приказом;
- отсутствует документ о назначении ответственного;
- используется иностранный хостинг без указания локализации;
- сотрудники не проходят инструктаж по ПДн.
Роскомнадзор отмечает, что типовая ошибка операторов — уверенность, что наличие политики на сайте достаточно. На практике проверяется весь процесс: от получения согласия до уничтожения данных.
Обоснование по законодательству
- ФЗ-152 «О персональных данных», ст. 23 — государственный контроль и надзор.
- ФЗ-248 от 31.07.2020 г. — о государственном контроле (надзоре).
- Постановление Правительства РФ № 1511 от 30.09.2020 — регламент проведения проверок.
- КоАП РФ, ст. 13.11 — ответственность за нарушение правил обработки ПДн.
Вывод
На проверке Роскомнадзор задаёт вопросы, чтобы убедиться: компания реально соблюдает требования закона, а не просто имеет «пакет документов». Важно, чтобы ответственные лица могли чётко объяснить, где и как хранятся данные, кто имеет к ним доступ и какие меры защиты применяются.
Компания ICTech поможет вам подготовиться к проверке Роскомнадзора — провести тестовый аудит, обучить сотрудников и оформить полный комплект документов, чтобы уверенно отвечать на все вопросы проверяющих.
