+7 (901) 499-39-49
Роскомнадзор
Роскомнадзор
Роскомнадзор · персональные данные · 152-ФЗ
Роскомнадзор контролирует, как бизнес соблюдает требования к обработке персональных данных, а также ведет реестр операторов персональных данных. Для компании риски чаще всего связаны с уведомлением об обработке ПДн, политикой на сайте, согласиями, локальными документами, обращениями субъектов, трансграничной передачей данных, инцидентами и подготовкой к проверке.
Кратко
Когда стоит проверить требования Роскомнадзора
Если у компании есть сайт с формами заявок, CRM, клиентская база, база пациентов, учеников, сотрудников, рассылки, коллтрекинг, аналитика или подрядчики, которые получают доступ к персональным данным, требования Роскомнадзора лучше проверить заранее.
Проверить заранее
Это дешевле и спокойнее, чем разбираться после запроса, жалобы, предписания, утечки или уведомления о проверке.
Главная ошибка
Компания скачивает шаблон политики, но реальные формы, CRM, подрядчики, цели обработки и уведомление в реестре не совпадают между собой.
Когда это важно
Типовые ситуации, когда бизнесу нужен Роскомнадзор
Роскомнадзор становится важен в любой ситуации, где компания собирает, хранит, использует или передает персональные данные физических лиц: клиентов, пациентов, учеников, работников, соискателей, пользователей сайта, подписчиков, участников мероприятий или представителей контрагентов.
Запуск сайта, лендинга, интернет-магазина или личного кабинета.
Сбор заявок через формы, мессенджеры, квизы, онлайн-запись или обратный звонок.
Ведение клиентской базы в CRM, телефонии, сервисе рассылок или облачном сервисе.
Обработка специальных категорий данных, например медицинских сведений.
Передача данных подрядчикам, партнерам, операторам сервисов или за рубеж.
Получение запроса, жалобы, требования, уведомления о проверке или инцидента с ПДн.
Основные разделы
Что проверить в первую очередь
Разделы ниже вынесены выше, потому что чаще всего бизнесу нужны именно они: проверки, штрафы, уведомление оператора и требования к сайту.
01
Проверки Роскомнадзора
Проверка может быть связана с плановым контролем, обращением гражданина, инцидентом, сведениями из открытых источников или документами, которые компания ранее направляла в ведомство. Перед ответом нужно проверить уведомление, сайт, локальные документы, договоры с подрядчиками, согласия, журналы обращений, порядок доступа к данным и технические меры защиты.
02
Штрафы Роскомнадзора
Риск штрафа возникает не только из-за отсутствия документов. Основанием для претензий могут быть некорректные согласия, обработка без правового основания, избыточный сбор данных, отсутствие политики, ошибки в уведомлении, нарушение порядка ответа субъекту, незаконная передача данных или слабая реакция на инцидент.
03
Уведомление оператора ПДн
По общему правилу оператор до начала обработки персональных данных уведомляет уполномоченный орган о намерении осуществлять обработку. Есть исключения, поэтому сначала нужно проверить конкретную модель обработки: какие данные собираются, у кого, для каких целей, на каких основаниях и кому передаются.
04
Требования к сайту по 152-ФЗ
Сайт с формой заявки, обратным звонком, регистрацией, оплатой, подпиской, онлайн-записью или личным кабинетом обычно связан с обработкой персональных данных. Нужно проверить политику, согласия, тексты под формами, цели обработки, cookies, аналитику, передачу в сторонние сервисы и соответствие уведомлению оператора.
Что проверяет РКН
В зоне риска не только политика на сайте
В части персональных данных Роскомнадзор оценивает, совпадает ли фактическая обработка данных с документами, уведомлением, согласиями, настройками сайта и внутренними процессами компании.
Уведомление оператора ПДн и сведения в реестре.
Политика обработки персональных данных и ее доступность на сайте.
Согласия, формы сбора данных, чекбоксы, тексты под формами и цели обработки.
Локальные акты компании по 152-ФЗ.
Назначение ответственного за организацию обработки ПДн.
Состав данных и отсутствие избыточного сбора.
Сроки хранения, порядок удаления и уничтожения данных.
Передача данных подрядчикам и условия договоров с ними.
Трансграничная передача персональных данных.
Локализация баз данных при сборе данных граждан РФ через интернет.
Организационные и технические меры защиты.
Ответы на запросы субъектов и действия при инциденте с ПДн.
Как помогает Антиштраф
Начинаем с фактической схемы обработки данных
Мы проверяем, где компания получает данные, кто имеет к ним доступ, какие сервисы используются, какие документы уже есть и что видит пользователь на сайте. После этого готовим понятный список рисков и действий.
Аудит сайта, форм, согласий, политики и cookie-механик.
Проверка уведомления оператора ПДн и сведений в реестре.
Подготовка или корректировка уведомления в Роскомнадзор.
Разработка локальных актов по 152-ФЗ.
Настройка связки между сайтом, CRM, подрядчиками и документами.
Подготовка ответов на запросы и требования.
Сопровождение проверки Роскомнадзора.
Помощь при инциденте с персональными данными.
С чего начать
Пять вопросов для быстрой оценки риска
Подано ли уведомление оператора ПДн и совпадает ли оно с реальной обработкой данных?
Есть ли на сайте актуальная политика обработки персональных данных?
Все ли формы сбора данных имеют корректные основания, цели и согласия?
Понимает ли компания, кому передает данные и на каком основании?
Есть ли порядок ответа на запрос субъекта, требование Роскомнадзора и инцидент с ПДн?
Если хотя бы на один вопрос нет уверенного ответа, лучше провести короткий аудит заранее.
Чек-лист
Что бизнесу стоит проверить
Проверить, является ли компания оператором персональных данных.
Проверить необходимость уведомления Роскомнадзора и актуальность сведений в реестре.
Сверить политику обработки ПДн с фактическими формами, сервисами и целями обработки.
Проверить согласия, тексты под формами, чекбоксы и порядок отзыва согласия.
Описать цели обработки и убрать избыточный сбор данных.
Проверить договоры с подрядчиками, которые получают доступ к ПДн.
Проверить локализацию баз данных при сборе данных граждан РФ через интернет.
Назначить ответственного за организацию обработки ПДн и закрепить обязанности.
Подготовить локальные акты, инструкции и порядок доступа к данным.
Настроить порядок ответа на запросы субъектов персональных данных.
Подготовить сценарий действий при инциденте с персональными данными.
Перед публикацией страницы о штрафах отдельно сверить КоАП РФ и актуальные размеры ответственности.
Нужна проверка по Роскомнадзору?
Проверим сайт, документы, уведомление и реальные процессы обработки ПДн
Найдем слабые места, подготовим план действий и поможем привести документы и процессы в рабочее состояние, чтобы бизнес мог отвечать Роскомнадзору спокойно, последовательно и доказательно.
FAQ
Частые вопросы
Нужно ли всем компаниям подавать уведомление в Роскомнадзор?
Общее правило 152-ФЗ - оператор уведомляет уполномоченный орган до начала обработки персональных данных. В законе есть исключения, поэтому ответ зависит от конкретной схемы обработки. Для сайта с формами заявок, CRM, рассылками, клиентской базой или передачей данных подрядчикам уведомление нужно проверять особенно внимательно.
Если на сайте есть только форма обратной связи, это уже риск?
Да, если через форму собираются имя, телефон, email, комментарий или другие сведения о человеке. Нужно проверить политику обработки ПДн, согласие или другое правовое основание, цель обработки, передачу данных в CRM или почту, а также соответствие уведомлению оператора.
Что делать, если пришел запрос или требование Роскомнадзора?
Нужно зафиксировать дату получения, проверить срок ответа, определить предмет запроса, собрать подтверждающие документы и подготовить ответ только после сверки фактов. Нельзя отвечать шаблонно, если документы на сайте, уведомление и реальные процессы расходятся между собой.
Можно ли просто скачать шаблон политики персональных данных?
Шаблон может помочь как основа, но он не закрывает риск сам по себе. Политика должна отражать фактическую обработку данных: цели, категории субъектов, состав данных, сроки, передачу подрядчикам, права субъектов и порядок обращений.
Можно ли гарантировать, что после аудита не будет штрафа?
Нет. Корректный аудит снижает риски и помогает подготовить доказательную позицию, но не дает гарантии отсутствия проверки, предписания или штрафа. Это зависит от фактов, документов, действий компании и оценки контролирующего органа.
