Что проверяет Роскомнадзор и какой штраф может выставить РКН

На данный момент Роскомнадзор может организовать проверку любой организации, которая работает с персональными данными клиентов или сотрудников. По факту, под пристальное внимание РКН может попасть любой бизнес.

Предлагаем разобраться, какие именно нарушения ищет ведомство и как организовать работу в компании, чтобы не быть оштрафованным.

Если компания собирает или хранит личные данные, она должна это выполнять в соответствии с чёткими требованиями, прописанными в законодательстве. За соблюдением этих правил следит Роскомнадзор.

На данный момент РКН пользуется риск-ориентированным подходом и, в первую очередь, приходит с проверками к тем компаниям, утечка данных из которых чревата большими рисками.

За соблюдением правил работы с персональными данными осуществляют контроль следующие ведомства:

1. Роскомнадзор (в наличии ли все документы, насколько правильно обрабатывают персональные данные, как работают сайты с формами для получения персональных данных).

2. ФСБ и ФСТЭК (как информация защищается в техническом плане, особо пристальное внимание уделяется госкомпаниям и операторам критической инфраструктуры).

3. Прокуратура (реагирование на жалобы).
Ведомство использует разные типы проверок бизнеса, о каждом из них мы расскажем ниже.

Цель данного мероприятия – снизить административную нагрузку и проинформировать бизнес о правилах взаимодействия с персональными данными.

Чтобы РКН провели профилактический визит, предприниматель должен самостоятельно пригласить ведомство или дать разрешение на проверку.

Во время проведения мероприятия сотрудники ведомства объяснят, какие выдвигаются требования к данному виду деятельности, как снизить риск утечки данных, а также поделятся графиком предполагаемых проверок учреждения.

Профилактический визит предполагает проверку локальных нормативных актов и мер по защите данных. Во время подобных посещений РКН не налагает штрафы, а только рассказывает, каким образом устранить обнаруженные нарушения.

Это невыездная проверка, в ходе которой ведомство требует предоставить копии определённых документов. Руководитель организации должен направить бумаги в территориальный орган Роскомнадзора.

При данном типе проверки инспекторы лично приезжают в организацию и проверяют, насколько компания соблюдает требования по защите личных данных, выдвигаемые законом. Сама процедура занимает около десяти рабочих дней.

Советы по подготовке к выездной проверке:
1. Проверьте на комплектность документы по обработке персональных данных.
2. Проверьте сайт на соответствие требованиям закона о персональных данных.
3. Проведите инструктаж работников организации на тему, связанную с защитой персональных данных.
4. Проверьте, актуальны ли данные, которые вы подавали в РКН в связи с обработкой ПДн.

О плановой проверке вы получите уведомление за три дня до самого визита сотрудников ведомства. Вы можете также посетить сайт РКН – там опубликован план проверок на текущий год.

В 2025-м году подобный план не был сформирован, так как ведомство не обнаружило организации, деятельность который можно отнести к высокой и чрезвычайно высокой категории риска причинения вреда. До 2030-го года плановые проверки будут проводится только в организациях с присвоенной высокой и чрезвычайно высокой категорией риска, на опасных производственных объектах и гидротехнических сооружениях второго класса опасности.

Обычно такое мероприятие инициируют физические лица, написавшие жалобу в ведомство (сотрудники или клиенты). За 24 часа до прибытия сотрудников в организацию руководство компании будет извещено о проверке.

Что будет проверять Роскомнадзор:
- как обрабатывают персональные данные, а именно процессы их получения, хранения, передачи и уничтожения;
- документы и локальные акты относительно обработки персональных данных;
- наличие ответственного лица за организацию обработки персональных данных;
- наличие политики обработки ПДн в общем доступе;
- наличие локальных актов, предписывающих правила взаимодействия с персональными данными;
- применение мер защиты ПДн в соответствии со ст. 19 Федерального закона № 152-ФЗ.

Ведомство зафиксирует все нарушения, выпишет предписание об их устранении, а также оштрафует организацию в зависимости от тяжести обнаруженных недочётов.

В каждой компании, работающей с персональными данными, должны быть следующие нормативные акты:
1. Политика по обработке персональных данных (доступ к ней должен быть расположен на сайте организации);
2. Под каждой формой, собирающей персональные данные – согласие на обработку;
3. При использовании фото и публикаций – согласие на распространение персональных данных;
4. Приказ о назначении ответственного лица за работу с персональными данными;
5. Журнал уничтожения персональных данных, акты уничтожения;
6. Инструкции для работников о взаимодействии с персональными данными.

Шаг 1. Изучите Федеральный закон от 27.07.2006 № 152-ФЗ. Выясните, какие нормативные акты должны быть в вашей организации, чтобы соответствовать требованиям закона.

Шаг 2. Назначьте ответственного за организацию обработки персональных данных. Обязательно издайте приказ о его назначении в документарной форме.

Шаг 3. Проанализируйте, каким образом в вашей компании происходит обработка персональных данных: как, что, в каких целях, есть ли передача третьим лицам.

Шаг 4. Разработайте пакет документов и утвердите их на уровне руководства:
- политика компании в отношении обработки персональных данных;
- положение о неавтоматизированной обработке;
- приказ о назначении ответственного лица;
- акты и инструкции сотрудникам, полагаемые по закону «О персональных данных».

Шаг 5. Проведите инструктаж среди сотрудников. Проверьте, насколько работники, взаимодействующие с персональными данными, хорошо знают положения об их обработке.

Шаг 6. Разместите положения политики компании по персональным данным на информационном стенде компании, а также на сайте, если там есть форма для сбора ПДн.

Шаг 7. Проверьте, внесена ли ваша организация в реестр операторов персональных данных (для выполнения этого шага нужно подать уведомление на сайте Роскомнадзора).

Сотрудники ведомства определяют, насколько организация соблюдает требования закона.

В первую очередь, РКН проверит, подавала ли компания уведомление о включении в реестр операторов персональных данных. Ответственное лицо за ПДн и основные процессы по их обработке должны соответствовать заявленным.

Затем будет изучен корпоративный сайт компании, а именно наличие опубликованной политики по персональным данным, а также доступность документа для ознакомления.

Также сотрудники ведомства потребуют вас предоставить формы, которые вы даёте сотрудникам и клиентам для заполнения, если содержащаяся в них информация связана с персональными данными.

После этого проверят, получаете ли вы письменное согласие и есть ли у вас основания собирать следующие типы данных (если вы запрашиваете данную информацию):
- раса и национальность;
- политические убеждения;
- приверженность к религии;
- философские взгляды;
- вопросы относительно здоровья человека;
- вопросы, связанные с сексуальной жизнью гражданина.

Сотрудникам РКН важно, передаёте ли вы данные третьим лицам. Если передача осуществляется, то у неё должны быть законные основания, прописанные отдельным пунктом в договоре. В этом же документе должны содержаться правила работы с полученной информацией и способ её защиты.

Документы, содержащие персональные данные, должны находиться в специальном помещении с контролируемым доступом. Располагаются бумаги в сейфах или шкафах, хранятся отдельно по категориям. Самое частое нарушение – оставлять документы с персональными данными в общем доступе (например, на рабочем столе).

Если ведомство выяснит, что организация нарушает закон, связанный с персональными данными, оно привлечёт к административной ответственности должностных лиц компании и само юридическое лицо.

Помимо предписания к устранению нарушения компания будет оштрафована:
1. За нарушение правил обработки персональных данных должностное лицо штрафуют на 50 000 – 100 000 рублей, а юрлицо или ИП – только за повторное нарушение на 150 000 – 300 000 рублей.

2. Если компания вовремя не уведомила РКН о том, что работает с персональными данными, должностное лицо оштрафуют на 30 000 – 50 000 рублей, а организацию – на 100 000 – 300 000 рублей.

3. Если произошла утечка персональных данных, но об этом факте не сообщили в Роскомнадзор, должностное лицо оштрафуют на 400 000 – 800 000 рублей, а компанию на один – три миллиона.

4. При утечке специальных персональных данных должностное лицо заплатит от одного до 1,3 млн рублей, а компания – 10 – 15 млн рублей.
5. Утечка биометрии обойдётся компании в 15 – 20 миллионов рублей юрлицу и 1,3 – 1,5 млн рублей должностному лицу.

Компания в течение десяти рабочих дней имеет право обжаловать предписание Роскомнадзора. Для этого необходимо подать жалобу и аргументировать свою позицию доказательствами о том, что ведомство ошиблось в принятии решения.