В первую очередь внимание уделяется наличию и корректности организационно-распорядительной документации по защите персональных данных, поданному уведомлению об обработке персональных данных, а также тому, как персональные данные обрабатываются на практике: в кадровых процессах, при работе с клиентами, через сайт и используемые информационные системы.
Основания для проведения проверки Роскомнадзора
Проверка оператора персональных данных может быть проведена как в плановом, так и во внеплановом порядке.
Плановые проверки проводятся на основании ежегодного плана контрольных мероприятий. В него могут быть включены как крупные компании, так и субъекты малого бизнеса, включая ИП, если деятельность связана с обработкой персональных данных.
Внеплановые проверки назначаются значительно чаще и, как правило, становятся неожиданными для оператора. Основные основания для их проведения:
- жалобы субъектов персональных данных (клиентов, пользователей сайта, сотрудников);
- обращения бывших работников;
- сообщения об утечках персональных данных;
- выявление нарушений в ходе мониторинга сайтов и онлайн-сервисов;
- отсутствие или ошибки в уведомлении об обработке персональных данных.
Также Роскомнадзор вправе проводить камеральные проверки, когда анализ документов и сведений осуществляется без выезда к оператору, на основании информации из реестров, сайта и ранее поданных данных.
На практике одним из самых частых формальных поводов для проверки является отсутствие корректно поданного уведомления. Чтобы снизить риск внепланового контроля, важно своевременно и правильно оформить подачу уведомления в Роскомнадзор и поддерживать его в актуальном состоянии.
Какие документы проверяет Роскомнадзор у оператора персональных данных
При проверке Роскомнадзор запрашивает комплект документов, подтверждающих законность и организованность обработки персональных данных. Отсутствие даже части обязательных документов либо их формальный характер рассматриваются как нарушение требований законодательства.
В обязательном порядке проверяются:
- уведомление об обработке персональных данных, поданное оператором;
- политика в отношении обработки персональных данных;
- согласия субъектов персональных данных (клиентов, пользователей сайта, сотрудников);
- приказы о назначении ответственных за организацию обработки и обеспечение безопасности персональных данных;
- локальные положения и регламенты, регулирующие порядок обработки и защиты персональных данных;
- перечни обрабатываемых персональных данных и целей их обработки;
- документы по обеспечению безопасности персональных данных;
- кадровые документы, содержащие персональные данные работников;
- договоры с третьими лицами, которым передаются персональные данные (аутсорсинг, бухгалтерия, CRM, хостинг, сервисы рассылок).
Особое внимание уделяется организационно-распорядительной документации по защите персональных данных. Инспекторы проверяют не только её наличие, но и соответствие фактической деятельности оператора, актуальность и полноту. Использование типовых шаблонов без учета специфики бизнеса, как правило, признается недостаточным.
Для приведения документации в соответствие требованиям проверок Роскомнадзора необходимо разработать организационно-распорядительную документацию по защите персональных данных, адаптированной под конкретные процессы и виды обрабатываемых персональных данных.
Проверка фактической обработки персональных данных
В ходе проверки Роскомнадзор оценивает, как персональные данные обрабатываются на практике, а не только на уровне документов. Фактические процессы сопоставляются с тем, что указано в уведомлении и локальных актах оператора.
Проверяется:
- соответствие целей обработки персональных данных заявленным и законным основаниям;
- объем обрабатываемых персональных данных и отсутствие избыточного сбора;
- категории субъектов персональных данных (клиенты, работники, контрагенты);
- порядок предоставления доступа к персональным данным и круг лиц, имеющих к ним доступ;
- соблюдение установленных сроков хранения персональных данных;
- порядок уничтожения или обезличивания персональных данных после достижения целей обработки;
- выполнение организационных и технических мер по защите персональных данных.
Если в ходе проверки выявляется расхождение между документами и реальными процессами, такие нарушения квалифицируются как несоблюдение требований законодательства. Даже при наличии полного комплекта документов отсутствие их фактического исполнения может повлечь выдачу предписания и привлечение к административной ответственности.
Проверка сайта и онлайн-сервисов
При наличии у оператора сайта или использовании онлайн-сервисов Роскомнадзор отдельно проверяет законность обработки персональных данных в цифровой среде. Даже при отсутствии офиса или сотрудников нарушения на сайте могут стать самостоятельным основанием для привлечения к ответственности.
В рамках проверки анализируется:
- сбор персональных данных через формы обратной связи, заявки, регистрации;
- состав персональных данных, запрашиваемых у пользователей сайта;
- наличие и содержание политики конфиденциальности;
- корректность и форма получения согласия на обработку персональных данных;
- использование файлов cookies и систем веб-аналитики;
- передача персональных данных через CRM-системы, сервисы рассылок, онлайн-чаты;
- размещение сайта и серверов, а также привлечение сторонних подрядчиков.
Особое внимание уделяется соответствию информации на сайте данным, указанным в уведомлении об обработке персональных данных, и фактическим целям обработки.
Для выявления и устранения нарушений нужно провести аудит сайта на соблюдение законодательства по защите информации, и разработать документы по защите персональных данных для сайта, включая политику конфиденциальности и тексты согласий, оформленные с учетом требований проверок Роскомнадзора.
Типовые нарушения, выявляемые при проверке Роскомнадзора
По результатам проверок Роскомнадзора чаще всего выявляются однотипные нарушения, которые допускают операторы персональных данных независимо от масштаба бизнеса и сферы деятельности.
Наиболее распространённые нарушения:
- отсутствие организационно-распорядительной документации по защите персональных данных;
- использование типовых или устаревших шаблонов документов без учета реальной деятельности оператора;
- несоответствие документов фактическим процессам обработки персональных данных;
- отсутствие согласий субъектов персональных данных либо их некорректное оформление;
- обработка персональных данных без законных оснований или с избыточным объемом данных;
- ошибки или неполнота сведений в уведомлении об обработке персональных данных;
- отсутствие назначенных ответственных лиц за организацию обработки и защиту персональных данных;
- нарушения при обработке персональных данных работников.
Практика показывает, что большинство нарушений связано именно с формальным подходом к документации и отсутствием комплексного подхода к соблюдению требований законодательства о персональных данных.
Ответственность за нарушения законодательства о персональных данных
Выявление нарушений в ходе проверки Роскомнадзора влечет для оператора персональных данных юридические и финансовые последствия. Меры ответственности зависят от характера и количества выявленных нарушений, а также от того, были ли они устранены ранее.
К основным последствиям относятся:
-
- административные штрафы за нарушение требований законодательства о персональных данных;
- выдача предписаний об устранении выявленных нарушений в установленные сроки;
- проведение повторных внеплановых проверок для контроля исполнения предписаний;
- приостановление или ограничение обработки персональных данных в отдельных случаях;
- риск блокировки сайта при грубых и систематических нарушениях;
- репутационные потери, связанные с публичностью результатов проверок.
Даже при отсутствии значительных штрафов исполнение предписаний в сжатые сроки часто требует срочной доработки документов и процессов, что создает дополнительные организационные и финансовые издержки для оператора.
Как подготовиться к проверке Роскомнадзора
Для успешного прохождения проверки важно заранее привести обработку персональных данных в соответствие требованиям законодательства и устранить потенциальные риски.
Рекомендуемые меры подготовки:
- проверить актуальность и корректность уведомления об обработке персональных данных;
- провести внутренний анализ процессов обработки персональных данных;
- определить фактические цели, категории и объем обрабатываемых персональных данных;
- разработать или актуализировать организационно-распорядительную документацию по защите персональных данных;
- привести кадровые документы в соответствие требованиям 152-ФЗ;
- проверить сайт и используемые онлайн-сервисы на предмет соблюдения требований к обработке персональных данных;
- назначить ответственных лиц и обеспечить их ознакомление с локальными актами;
- обеспечить фактическое выполнение установленных регламентов и мер защиты.
Комплексная подготовка позволяет не только снизить риск привлечения к ответственности, но и существенно упростить прохождение как плановых, так и внеплановых проверок.
На практике
На практике при проверках Роскомнадзора чаще всего выявляется отсутствие полноценной или актуальной организационно-распорядительной документации по защите персональных данных. Даже при наличии политики конфиденциальности и поданного уведомления формальный подход к документации рассматривается как нарушение требований законодательства.
В большинстве случаев именно разработка и актуализация организационно-распорядительной документации позволяет устранить ключевые замечания проверяющих и минимизировать риски привлечения к ответственности. Комплексный комплект документов, подготовленный с учетом специфики деятельности оператора, кадровых процессов и используемых информационных систем, является основой для успешного прохождения проверок Роскомнадзора и соблюдения требований 152-ФЗ.
