Алексей Ветров
Эксперт по защите данных IC-TECH
После того как оператор подал уведомление и попал в реестр, Роскомнадзор вправе провести проверку. На ней инспекторы проверяют не сам факт регистрации, а то, как компания или ИП реально исполняют требования ФЗ-152: есть ли документы, назначен ли ответственный, как организована защита данных, соблюдается ли права субъектов ПДн.
Чтобы успешно пройти проверку, необходимо заранее подготовить пакет документов и организационные меры, а также привести сайт и внутренние процессы в соответствие с законом.
Чтобы успешно пройти проверку, необходимо заранее подготовить пакет документов и организационные меры, а также привести сайт и внутренние процессы в соответствие с законом.
Обоснование по законодательству
- ФЗ-152, ст. 22: подача уведомления — только первый шаг, оператор обязан соблюдать весь закон.
- ФЗ-152, ст. 18.1 и ст. 19: оператор должен принимать правовые, организационные и технические меры по защите ПДн.
- ФЗ-294 «О защите прав юрлиц и ИП при проведении госнадзора»: регламентирует порядок проверок Роскомнадзора.
- КоАП РФ, ст. 13.11: устанавливает штрафы за нарушения при обработке ПДн.
Что проверяет Роскомнадзор
- Наличие локальных актов:
- Политика обработки ПДн (публичная для сайта).
- Положение об обработке и защите ПДн.
- Приказ о назначении ответственного за ПДн.
- Журнал учёта обращений субъектов ПДн.
- Согласия на обработку ПДн (для клиентов, работников).
- Организационные меры:
- Назначение ответственного приказом.
- Ознакомление сотрудников с 152-ФЗ под подпись.
- Процедуры реагирования на запросы субъектов (например, о предоставлении информации или удалении данных).
- Технические меры:
- Наличие паролей и разграничение доступа.
- Использование антивируса.
- Локализация баз данных на территории РФ.
- Резервное копирование.
- Сайт и онлайн-сервисы:
- Наличие политики обработки ПДн в открытом доступе.
- Форма согласия (чекбокс или пользовательское соглашение).
- Корректная работа баннера о cookies.
Пример ситуации
Компания «Альфа» подала уведомление и через полгода попала в плановую проверку. У них был реестр клиентов, но не было политики ПДн на сайте и приказа о назначении ответственного. Итог — предписание и штраф для директора.
Рекомендации и выводы
- Подать уведомление — не значит полностью выполнить 152-ФЗ.
- Подготовьте пакет документов по защите ПДн (политика, приказы, согласия).
- Проведите внутренний аудит: есть ли у вас доступы, защита компьютеров, порядок работы с базами данных.
- Проверьте сайт: политика ПДн, согласия, cookies-баннер.
- Ознакомьте сотрудников с документами и инструкциями.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
