Проверяет ли Роскомнадзор по 152-ФЗ офлайн-бизнесы без сайта?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, Роскомнадзор проводит проверки не только интернет-компаний, но и офлайн-бизнесов, не имеющих сайта. Наличие веб-ресурса не является обязательным условием для контроля соблюдения закона о персональных данных. Любая организация или ИП, которые собирают, хранят или используют персональные данные, подпадают под действие Федерального закона № 152-ФЗ.

Почему проверяют офлайн-компании

Офлайн-бизнес также является оператором персональных данных, если:

• ведёт кадровое делопроизводство (анкеты, трудовые договоры, личные дела сотрудников);
• обслуживает клиентов (собирает их ФИО, телефоны, паспортные данные, адреса, данные карт);
• заключает договоры, оформляет дисконтные карты или программы лояльности;
• принимает заявки или жалобы в бумажном виде.

Что проверяет Роскомнадзор у офлайн-бизнеса

При проверке инспекторы могут запросить:

• приказ о назначении ответственного за обработку ПДн;
• политику в отношении обработки персональных данных;
• положение о защите ПДн сотрудников и клиентов;
• журнал регистрации согласий и уведомлений субъектов;
• образцы согласий на обработку ПДн (при приёме на работу, записи клиентов, выдаче карт лояльности и т.п.);
• документы о хранении и уничтожении ПДн (акты, журналы, регламенты).

Также Роскомнадзор проверяет организационные меры защиты — как хранятся бумажные документы, кто имеет доступ, ведётся ли журнал входа в архив.

Когда возможна проверка

Проверка может быть:

• плановой — по ежегодному графику, опубликованному на сайте proverki.gov.ru;
• внеплановой — по жалобе клиента, сотрудника или по информации о нарушении (например, утечке данных).

Офлайн-бизнесы часто попадают под внеплановые проверки именно после обращений бывших работников или клиентов, недовольных обработкой их данных.

Частые нарушения у офлайн-бизнеса

Роскомнадзор регулярно фиксирует типовые ошибки:

• отсутствует приказ о назначении ответственного за ПДн;
• не оформлены согласия на обработку данных клиентов или работников;
• документы с персональными данными хранятся без ограниченного доступа;
• нет журналов регистрации согласий, доступа или уничтожения ПДн;
• не разработано положение о защите ПДн.

Даже небольшие компании могут получить штраф — от 30 000 до 100 000 рублей за одно нарушение (ст. 13.11 КоАП РФ).

Как подготовиться офлайн-бизнесу

Чтобы избежать претензий, достаточно выполнить базовые требования:

1. Разработать комплект документов по ПДн — политика, регламент, приказы, согласия.
2. Назначить ответственного и оформить приказ.
3. Организовать обучение сотрудников.
4. Оборудовать места хранения бумажных дел (сейф, шкаф, ограниченный доступ).
5. Вести журналы — регистрации согласий, уничтожения документов, входа в архив.

Обоснование по закону

• Федеральный закон № 152-ФЗ «О персональных данных», ст. 3, 18.1 — распространяется на всех операторов, независимо от формы бизнеса.
• Постановление Правительства РФ № 1119 — о требованиях к защите ПДн.
• Статья 13.11 КоАП РФ — ответственность за нарушения в обработке ПДн.

Вывод

Да, Роскомнадзор вправе проверять офлайн-бизнесы без сайта, если они обрабатывают персональные данные сотрудников или клиентов. Отсутствие онлайн-деятельности не освобождает от ответственности по ФЗ-152. Чтобы пройти проверку без штрафов, офлайн-компании должны иметь оформленный пакет документов по защите персональных данных, регламентировать порядок их обработки и хранения, а также подготовить сотрудников к возможным вопросам инспекторов.

Компания ICTech помогает разработать готовый пакет документов по ФЗ-152 для любых организаций — даже без сайта. Это избавит вас от штрафов и ускорит прохождение проверок.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге