Подготовка к проверке Роскомнадзора

Что проверяет Роскомнадзор

1. Документация

Документы должны учитывать обновления законодательства и соответствовать процессам внутри организации. Необходимые документы:

• Уведомление в Роскомнадзор: документ о намерении собирать личные данные с указанием целей и способов сбора.
• Политика обработки персональных данных: документ, который определяет правила работы с личными данным в конкретной компании. Размещается в открытом доступе (например, страница на сайте).
• Внутренние нормативные акты: приказы о назначении лиц, ответственных за сбор личных данных, положения и инструкции для сотрудников.
• Формы согласия с указанием целей обработки и порядка отзыва согласия.
• Договоры с контрагентами: соглашения с партнерами о передаче и обеспечении безопасности ПДн.

2. Технические меры безопасности

В процессе проверки РКН изучает программы и оборудование, которое защищает ПДн. Оценивают, насколько они соответствуют заявленным требованиям. Также проверяют:

• Используются ли антивирусные программы и/или системы защиты от несанкционированного доступа;
• Проводится ли резервное копирование;
• Ограничен ли доступ к ПДн внутри компании.

Устаревшее ПО, неправильные конфигурации, отсутствие обновлений — все это может стать причиной проблем при проверке. Чтобы вовремя заметить уязвимости в системе, стоит проводить технический аудит системы защиты.

3. Организационные меры

Проверяют наличие сотрудника, который отвечает за соблюдение 152-ФЗ. Если такого ответственного нет, это — нарушение.

Также оценивают, насколько хорошо персонал понимает основы защиты данных. Даже при наличии антивирусов и правильной документации, сотрудники могут не знать базовых правил информационной безопасности. Примеры нарушений:

• хранение паролей на стикерах, приклеенных к монитору;
• неправильное уничтожение документов с ПДн (выброс в корзину вместо шредера);
• незаблокированные компьютеры с открытыми базами данных во время отсутствия сотрудника.

4. Правовые аспекты

Оценивается, как компания передает персональные данные третьим лицам (облачные сервисы, маркетинговые агентства, бухгалтерские аутсорсеры и т.д.). В договорах с такими контрагентами должны быть пункты о защите личной информации.

Дополнительно проверяют, происходит ли трансграничная передача. Например, когда информация предоставляется зарубежным партнерам или хранится на серверах других стран.

5. Практические процессы

Инспекторы смотрят, совпадают ли реальные процессы с заявленными целями обработки. Нет ли сбора избыточной информации там, где это не нужно.

Также проверяют, как уничтожают ненужные данные. Например, после расторжения договора. То же самое касается старых анкет, резюме, заказов, которые уже не актуальны.

Чтобы проверка Роскомнадзора прошла без штрафов и предписаний, стоит поддерживать документацию в актуальном состоянии, внедрять надежные технические и организационные меры защиты, а также контролировать правомерность обработки и передачи данных. Рекомендуется также выполнять регулярный аудит соблюдения требований 152-ФЗ.

Изменения принципа проверок с 2021 года

1. Риск-ориентированный подход

С 1 июля 2021 года система контроля за операторами ПДн изменилась. Теперь для проверок используют риск-ориентированный подход (№ 248-ФЗ и ПП РФ № 1046).

Смысл нового подхода — классифицировать компании по уровню риска. Так Роскомнадзор может сфокусироваться на более приоритетных направлениях и эффективнее выявлять нарушения у компаний-операторов с высоким риском.

Категории риска

Организации классифицируются по пяти категориям риска — от них зависит частота плановых проверок:

• Высокий риск — раз в два года
• Значительный риск — раз в три года
• Средний риск — раз в пять лет
• Умеренный риск — раз в шесть лет
• Низкий риск — проверки не проводят.

Как определяют категорию риска

Организации оценивают по двум основным параметрам:

• Вероятный ущерб от нарушения
• История нарушений

Сначала анализируется, какой вред могут принести нарушения в области защиты ПДн. Исходя из этой вероятности, формируют 4 группы риска:

• Группа А (наивысший риск): компания обрабатывает биометрические и другие чувствительные данные, которые могут нанести серьезный вред субъектам данных.
• Группа Б (повышенный риск): оператор использует данные несовершеннолетних или информацию не по назначению.
• Группа В (средний риск): организации с базой данных от 1000 до 20 000 человек.
• Группа Г (наименьший риск): компания работает с информацией из открытых источников или обрабатывает ПДн менее 1000 человек.

Второй параметр позволяет проанализировать, как часто ранее фиксировались нарушения:

• Группа 1: частые нарушения.
• Группы 2 и 3: умеренная вероятность нарушений.
• Группа 4: нарушения практически отсутствуют.

На основе этих критериев объекту присваивают категорию риска. К высокой категории риска автоматически относятся операторы, которые:

• размещают базы данных не в России
• передают третьим лицам обезличенные ПДн
• обрабатывают специальные или биометрические данные
• передают ПДн в страны, которые не соблюдают международные стандарты защиты информации.

2. Профилактические меры

Введение профилактических мероприятий — одно нововведение для операторов ПДн. К таким мероприятиям относят:

1. Информирование через официальный сайт РКН
2. Ежегодное обобщение правоприменительной практики
3. Выдача предупреждений о недопустимости нарушений
4. Консультирование
5. Плановые встречи — профилактические визиты.

Профилактический визит — заранее согласованная встреча между Роскомнадзором и оператором. Цель — предупредить нарушения и снизить риски при хранении и обработке ПДн.

Встреча проводится в формате беседы: лично или через видеосвязь. Инспектор отвечает на вопросы и указывает на недочеты. По п. 8 ст. 52 №248‑ФЗ за выявленные нарушения штрафы не налагаются.

О профилактическом визите сообщают минимум за пять рабочих дней. Компания может отказаться от такой встречи без каких-либо последствий. Оператору нужно лишь сообщить об отказе не позднее трех рабочих дней до мероприятия.

С 2021 года в проверках Роскомнадзора появилось больше структуры и предсказуемости. Новый подход позволяет сосредоточиться на более рискованных случаях и снизить нагрузку на организации, которые добросовестно соблюдают закон.

Виды проверок Роскомнадзора

1. Плановые проверки

Плановые проверки проводят по заранее составленному графику. Его публикуют на официальном сайте Роспотребнадзора.

Мораторий на плановые проверки

До 2030 года большинство компаний освобождены от плановых проверок (ПП РФ №372). Это значит, что предприятия с низким и средним уровнем риска временно освобождены от плановых проверок. Исключения: компании высокого риска. Например, атомные станции, химические заводы или производства пищевых продуктов.

2. Внеплановые проверки

С 1 января 2025 года мораторий на внеплановые проверки больше не действует. Для их проведения требуется согласование с прокуратурой и наличие серьезных нарушений. Например, если:

• Имеется факт утечки ПДн с ресурсов компании;
• В ответ на запросы Роскомнадзора предоставлена недостоверная информация;
• Предыдущие предписания не были устранены в полном объеме;
• За календарный год на вашу компанию поступило более 10 жалоб (независимо от их источника).

Внеплановые проверки делятся на два типа: документарные и выездные.

При документарной проверке Роскомнадзор запрашивает копии ключевых документов, которые касаются обработки и хранения ПДн (политика обработки, внутренние приказы и т.д.). Перечень документов может быть дополнен.

Во время выездных проверок сотрудники Роскомнадзора лично посещают организацию. Проводят инспекционные мероприятия, которые включают:

• Осмотр помещений и опрос сотрудников,
• Получение письменных ответов на запросы ведомства,
• Требование дополнительных документов,
• Инструментальное обследование и экспертизу.

О внеплановой проверке предупреждают за 24 часа. Мероприятие может длиться до 20 рабочих дней с возможным продлением.

3. Контрольные мероприятия без взаимодействия

Это дистанционный мониторинг, который касается всех владельцев сайтов. В рамках таких мероприятий проверяется:

• Локализация баз данных: серверы, где хранятся данные россиян, должны находиться в РФ;
• Наличие и корректное размещение политики конфиденциальности и пользовательского соглашения;
• Соответствие собираемых сведений заявленным целям их использования. Если выявлены нарушения, Роскомнадзор направляет владельцу сайта уведомление с перечнем нарушений.

Даже с учетом моратория на плановые проверки до 2030 года, нужно быть готовым к внеплановым визитам и онлайн-мониторингу.

Основные этапы подготовки к проверке Роскомнадзора

1. Проведите внутренний аудит
   Тщательно изучите, как в вашей компании собирают и используют личные данные клиентов и сотрудников. Составьте подробный список баз данных, файлов и документов, где может храниться такая информация. Не забудьте про старые архивы и резервные копии.
2. Обновите документы
   Приведите в порядок всю документацию по защите данных. Особое внимание уделите согласию на обработку ПДн, политике конфиденциальности и инструкциям для персонала. Помните, что законы регулярно меняются, поэтому старые шаблоны могут быть уже неактуальными.
3. Выберите ответственное лицо
   Найдите надежного сотрудника, который возьмет на себя контроль за правильным использованием ПДн. Официально закрепите за ним эти обязанности приказом.
4. Сообщите о своей деятельности
   Подготовьте и отправьте в Роскомнадзор уведомление о том, что работаете с персональными данными. Внимательно заполните форму заявки — ошибки могут привести к отказу в регистрации.
5. Подготовьте сотрудников к работе с личными данными
   Организуйте обучение для сотрудников с доступом к ПДн. Расскажите не только о запретах, но и о мерах защиты. Проведите практические занятия на реальных примерах из деятельности организации.
6. Защитите данные
   Установите надежные пароли, зашифруйте важные файлы, ограничьте доступ к базам данных. Продумайте процессы резервного копирования и восстановления информации при сбоях.
7. Проверьте контрагентов
   Внимательно изучите, как подрядчики и партнеры обращаются с данными клиентов. Заключите с ними дополнительные соглашения о конфиденциальности. Регулярно проверяйте, выполняют ли они свои обязательства.
8. Проведите контроль готовности к проверке
   Организуйте внутренний аудит всех документов и процессов. Для оценки можно пригласить независимого эксперта. Составьте чек-лист выявленных несоответствий и установите сроки их устранения. Проконтролируйте актуальность утвержденных документов.
9. Разработайте дорожную карту для проверки
   Подготовьте структурированный пакет документации в соответствии с требованиями Роскомнадзора. Детально опишите последовательность действий и распределите ответственность:
   • кто уполномочен взаимодействовать с инспекторами,
   • какие документы и в каком порядке предоставлять,
   • кто отвечает за конкретные направления проверки.

Обратите внимание на небольшие детали — проверьте, правильно ли настроены права доступа в информационных системах, актуальны ли подписи на документах. Также стоит проследить, соблюдается ли порядок уничтожения ненужных данных. Иногда именно такие детали становятся причиной штрафов.

Типичные нарушения: на что обратить внимание

1. Нет уведомления в Роскомнадзор

Многие организации забывают вовремя сообщить регулятору о начале работы с ПДн. Уведомление стоит подавать до начала сбора информации о сотрудниках или клиентов.

2. Документы не соответствуют реальности

Часто бывает так: компания растет, процессы меняются, а документы остаются старыми. Например, в документах указано, что данные хранятся только на компьютерах в офисе, а на деле давно используется облачное хранилище. Такие несоответствия нужно регулярно выявлять и исправлять.

3. Ошибки в политике обработки данных

Политика обработки данных — главный документ, который объясняет, как вы работаете с персональными данными. Он должен быть доступным для всех и соответствовать актуальным законам.

4. Слабая защита информации

Необходимо обеспечить защиту в соответствии с государственными стандартами (ГОСТ) и требованиями регуляторов:

• Используйте средства защиты, сертифицированные ФСТЭК и ФСБ
• Внедрите систему защиты персональных данных нужного уровня (УЗ-1, УЗ-2 или УЗ-3)
• Обеспечьте базовые меры безопасности:
  • Надежные пароли и двухфакторную аутентификацию
  • Антивирусную защиту от вредоносных программ
  • Регулярное резервное копирование данных
  • Строгий контроль доступа к информации
• Проводите регулярный аудит 152-ФЗ.

5. Неправильное оформление согласий

Согласие на обработку данных — юридический документ, который должен содержать:

• Четкое описание, на что именно человек соглашается
• Сроки хранения и обработки данных
• Способы отзыва согласия
• Цели использования данных.

Также с 1 января 2025 года ввели новую форму согласия на обработку персональных данных. (Распоряжение № 856-р от 09.04.2024 г). Единую форму должны ввести организации, которые размещают сведения о гражданах в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе (ЕБС).

6. Незаконный сбор информации

Например, собираете паспортные данные, когда достаточно только ФИО, или передаете информацию партнерам без разрешения клиента. Такие действия могут привести не только к штрафам, но и к уголовной ответственности.

Ответственность за несоблюдение требований

В ответ на рост числа утечек информации и кибератак в России с 30 мая 2025 года значительно усиливается контроль за защитой персональных данных.

Административные штрафы

С 30 мая 2025 года начнет действовать ст. 13.11 КоАП новая административная ответственность.

1. Нецелевая обработка ПДн

Штрафы за первое нарушение:

• Для должностных лиц: от 50 до 100 тысяч рублей
• Для организаций: до 300 тысяч рублей.

Повторное нарушение:

• Для должностных лиц: от 100 до 200 тысяч рублей
• Для организаций: до 500 тысяч рублей.

Эти штрафы накладываются, когда организация использует личные данные в ситуациях, которые закон не разрешает. Или когда данные собирались для одних целей, а используются совсем для других. Например, если компания собирала контакты клиентов только для доставки товаров, но затем начала использовать их для рекламных рассылок без согласия.

2. Неуведомление Роскомнадзора

Штрафы за отсутствие или позднюю подачу уведомления в Роскомнадзор о начале работы с персональными данными

• Для должностных лиц: 30-50 тысяч рублей
• Для компаний и ИП: 100-300 тысяч рублей.

Если организация не уведомила Роскомнадзор о произошедшей утечке данных, предусмотрены следующие санкции:

• Для должностных лиц: 400-800 тысяч рублей
• Для коммерческих компаний и ИП: 1-3 миллиона рублей.

3. Штрафы за незаконное распространение ПДн

При незаконном распространении ПДн и утечке идентификаторов пользователей (таких как логины, учетные номера, ID клиентов) размер штрафа определяется двумя ключевыми факторами:

1. Сколько людей пострадало от утечки (1-10 тысяч, 10-100 тысяч, 100 тысяч – 1 миллион)
2. Кто является нарушителем закона — должностное лицо или коммерческая организация.

Например, если произойдет незаконная передача информации 1-10 тысяч человек или утечка идентификаторов 10-100 тысяч человек , то должностные лица могут получить штраф 200-400 тысяч рублей, а ИП — от 3 до 5 миллионов.

4. Неправомерное использование биометрических данных

• Для должностных лиц: 1,3-1,5 миллионов рублей
• Для коммерческих компаний и ИП: 15-20 миллиона рублей.

Также статья будет регулировать работу с Единой биометрической системой (ЕБС). Если банки, МФЦ или другие организации неправильно загружают или изменяют биометрические данные людей (фото лица, отпечатки пальцев) в государственной системе, их ждут крупные штрафы:

• Ответственные сотрудники заплатят от 100 до 300 тысяч рублей
• Сама организация — от 500 тысяч до 1 миллиона рублей

Правила, которые нельзя нарушать:

• Человек должен дать письменное согласие
• Нужно проверить личность гражданина перед сбором биометрии
• Данные должны передаваться по защищенным каналам
• Качество сканов и фото должно соответствовать стандартам
• У организации должна быть аккредитация
• Необходимо соблюдать установленные сроки хранения и обновления данных.

Уголовная ответственность

С 11 декабря вступила в силу статья 272.1 Уголовного кодекса РФ (введена согласно № 421-ФЗ). Уголовная ответственность наступает за любые действия с персональными данными, которые были получены незаконным путем — через взлом, неправомерный доступ или другие нарушения.

• Общая ответственность — штраф до 300 тысяч рублей или лишение свободы на срок до 4 лет.
• Для биометрических данных или данных несовершеннолетних: штраф до 700 тысяч рублей и запрет занимать должности до 2 лет или лишение свободы до 5 лет.
• При использовании служебного положения: штраф до 1 миллиона рублей, лишение свободы до 6 лет и запрет занимать высокие должности до 3 лет.
• При трансграничной передаче: штраф до 2 миллионов рублей, лишение свободы до 8 лет и запрет занимать должности до 4 лет.
• При тяжких последствиях или в случае организованной группы: штраф до 3 миллионов рублей, лишение свободы до 10 лет и запрет занимать должности до 5 лет.

Организациям необходимо серьезно подойти к выполнению новых требований, чтобы избежать серьезных санкций и обеспечить надежную защиту данных своих клиентов и сотрудников.

Стоимость подготовки к проверке Роскомнадзора

Цена зависит от особенностей вашей компании. Разберем, из чего она складывается.

Консультации
На старте — анализ документов, консультации и рекомендации. Итоговая стоимость зависит от сложности вопросов и количества часов.

Документы и аудит
Разработка новых и доработка старых документов, проверка процессов, внедрение регламентов — на цену будут влиять объем работы и сложность структуры компании.

Техническая защита
Аудит ИТ-систем, внедрение защиты данных — стоимость определяется масштабом инфраструктуры и уровнем безопасности.

Обучение сотрудников
Цена зависит от формата (онлайн или офлайн), количества участников и глубины курса.

Что еще влияет на стоимость?

• Размер компании и количество филиалов
• Насколько сложны процессы обработки данных
• Уровень соответствия закону на данный момент
• Нужно ли разрабатывать дополнительные технические решения
• Срочность подготовки.

Как узнать точную цену?

Рекомендуем обратиться к специалистам, которые проведут необходимый аудит и подготовят предложение с учетом специфики вашей организации.

Комплекс услуг перед проверкой РКН

Компания «Управление информационной безопасности» работает с 2019 года. За это время мы завершили более 4000 проектов. Учитываем особенности вашей отрасли, применяем современные методы и следим за обновлением законодательства. В рамках подготовки к проверке РКН предлагаем:

1. Помощь с заполнением журналов
   Важная часть проверки — правильно оформленные документы. Помогаем заполнить необходимые журналы:
   • Журнал учета ключей от сейфов и помещений с документами с ПДн
   • Список сотрудников, которым разрешен доступ к ПДн в информационных системах
   • Учет носителей информации: флешек, жестких дисков и других устройств с данными
   • Журнал контроля за соблюдением мер защиты ПДн
   • Регистрация пользовательских паролей
   • Журнал обращений граждан, которые запрашивают доступ к своим персональным данным.
   Без этих документов при проверке могут выявить нарушения, поэтому помогаем оформить их корректно и своевременно.
2. Консультации и сопровождение
   Объясняем процесс проверки и требования инспекторов. Помогаем заранее устранить возможные риски. Поддерживаем на каждом этапе, чтобы вы действовали уверенно.
3. Исправление замечаний
   Если Роскомнадзор найдет недочеты, быстро поможем их устранить — доработаем документы, внесем нужные изменения и подскажем, как избежать проблем в будущем.
   Наша задача — сделать подготовку к проверке простой и понятной, чтобы вы прошли ее без лишних проблем и штрафов. Почему выбирают нас:
   • Работаем с регионами по всей стране
   • Есть все необходимые лицензии для работы
   • Сотрудничаем с организациями любого масштаба — от малого бизнеса до государственных структур.

Контакты для консультации:

Телефон: 8 800-707-94-97

Email: info@uibcom.ru