Что именно проверяет Роскомнадзор на практике
Инспекторы уделяют внимание не только бумажной части, но и практическим действиям сотрудников и техническим процессам.
1. Реальное исполнение регламентов
Проверяющие оценивают, соблюдаются ли прописанные в положении и политике процедуры. Например:
- действительно ли проводится инструктаж по ПДн и ведётся журнал подписей;
- уничтожаются ли документы с истёкшим сроком хранения;
- блокируются ли данные по запросу субъекта;
- выполняются ли сроки обработки и удаления.
Если в регламенте указано, что черновики уничтожаются ежемесячно, но в архиве лежат стопки старых копий, — это прямое нарушение.
2. Действия сотрудников
Роскомнадзор часто проводит опросы работников:
- знают ли они, что такое персональные данные;
- каковы их обязанности по защите информации;
- куда обращаться при инцидентах или ошибках;
- как правильно передавать ПДн между отделами.
Если сотрудники не могут ответить на элементарные вопросы, это трактуется как отсутствие фактического контроля.
3. Проверка фактического хранения
Инспекторы осматривают помещения и носители, где хранятся ПДн:
- есть ли замки, сейфы, ограниченный доступ в архив;
- ведётся ли журнал входа/выхода сотрудников;
- защищены ли компьютеры и серверы паролями;
- используется ли шифрование или защита от несанкционированного доступа.
В ряде случаев проверяется даже, на каких серверах физически размещена база данных — соответствует ли она требованиям локализации.
4. Проверка сайта и ИТ-систем
Роскомнадзор анализирует сайт организации:
- корректно ли оформлены формы обратной связи (есть ли чекбокс согласия);
- указана ли политика обработки ПДн;
- работают ли ссылки на политику;
- куда уходят данные (в CRM, на хостинг, в облако).
Могут проверяться также логи доступа, настройка паролей и система резервного копирования.
5. Сопоставление документов и реальных процессов
Инспекторы сравнивают факты, изложенные в документах, с тем, что есть на деле. Например:
- в политике указано, что данные хранятся в России, но сервер — зарубежный;
- в приказе есть ответственный, но он не знает, что делает;
- в регламенте прописано шифрование, но оно не используется.
Такое несоответствие трактуется как нарушение ст. 19 ФЗ-152 — неисполнение обязанностей оператора по обеспечению безопасности персональных данных.
Практика проверок Роскомнадзора
Роскомнадзор неоднократно подчеркивал, что «формальное наличие документов без реальной защиты данных не освобождает от ответственности».
Примеры из практики:
- В одной компании политика и согласия были утверждены, но база клиентов хранилась на иностранном сервере — результатом стал штраф и предписание.
- В образовательном учреждении имелись регламенты, но журналы инструктажа не вели, сотрудники не знали, как реагировать на запросы субъектов — признано нарушением.
Ведомство делает акцент на проверке реальных процессов, особенно при выездных и повторных проверках.
Обоснование по законодательству
- ФЗ-152 «О персональных данных», ст. 19 — обязанности оператора по обеспечению безопасности ПДн.
- ФЗ-248 от 31.07.2020 — государственный контроль (надзор) включает оценку фактического выполнения требований.
- Постановление Правительства РФ № 1511 от 30.09.2020 — порядок проведения контрольных мероприятий.
- КоАП РФ, ст. 13.11 — ответственность за нарушения порядка обработки ПДн.
Вывод
Роскомнадзор проверяет не только «бумажную» сторону, но и то, как реально работает система защиты персональных данных. Формальные документы без подтверждения исполнения не спасают от санкций. Чтобы пройти проверку уверенно, компания должна не просто иметь пакет документов, а внедрить реальные процедуры: инструктаж, ограничение доступа, уничтожение носителей и техническую защиту.
Компания ICTech помогает организациям подготовиться к проверкам Роскомнадзора: проводит аудит процессов, сопоставляет документы с фактической работой и выстраивает систему защиты ПДн.
