Проверки Роскомнадзора 2025: причины, как подготовиться

31 января 2025

Редактор: Светлана Петрова

Проверки Роскомнадзора бывают плановыми и внеплановыми. Плановая проверка от Роскомнадзора — процесс, который основывается на заранее утвержденном списке операторов. Этот список формируется в конце каждого года и включает тех представителей малого и среднего бизнеса, информация о которых хранится в реестре уже три года. Однако до 2030 года действует мораторий на проведение плановых проверок. Исключение составляют лишь те операторы, которые обрабатывают персональные данные высокой категории риска и случаи угрозы жизни и здоровья граждан или безопасности государства.

Радоваться отсутствию плановых проверок не стоит. Ведь вместо них могут проводиться внеплановые мероприятия, которые практикуются Роскомнадзором. Рассказываем более подробно в нашей статье.

Какие причины могут быть для внеплановой проверки Роскомнадзора

Причин для внеплановой проверки несколько:

невыполнение или неполное выполнение предписаний об устранении ранее выявленных нарушений;
требование прокуратуры;
обращения граждан;
решение руководства Роскомнадзора.

Хотя обязательный регламент проверок в настоящее время ограничен, Роскомнадзор регулярно наблюдает за организациями малого и среднего бизнеса без непосредственного взаимодействия с ними. Главная цель этого мониторинга — профилактика возможных нарушений. Особое внимание уделяется крупным компаниям, таким как финансовые и кредитные учреждения, IT-компании и медицинские организации.

Руководитель организации, в отношении которой проводится такое наблюдение узнает о мониторинге при получении предписания об устранении нарушений или решение о проведении внеплановой проверки. Да, пока вы читаете эту статью, вполне возможно, сотрудник Роскомнадзора мониторит ваш сайт.

Для 2024 года характерен значительный рост числа проверок без взаимодействия с операторами обработки персональных данных со стороны Роскомнадзора. Так, за первый квартал 2024 года территориальные органы ведомства провели 923 мероприятия систематического наблюдения. Когда выявлялись несоответствия сервисов и документов требованиям законодательства, предприниматели получали предписания об устранении нарушений. При наличии высокого риска нарушений Роскомнадзор инициировал внеплановые проверки, число которых составило семь за указанный период.

Показатели за 3 года по выявлению нарушений и наложению административной ответственности за несоблюдение законодательства о защите персональных данных

Территориальными управлениями Роскомнадзора составлено и протоколов и наложено административных штрафов:

за 2021 год — 225 протоколов на сумму 40 212 000 рублей
за 2022 год — 937 протоколов на сумму 54 170 350 рублей
за 2023 год — 1269 протоколов на сумму 63 223 500 рублей

Статистика мониторинга без взаимодействия за 3 года. Синие столбцы — проверено сайтов, оранжевые — выявлены нарушения

Ещё немного статистики:

2021 год — 3785 сайтов проверено, 1000 — выявлены нарушения
2022 год — 5 936 сайтов проверено, 2 942 — выявлены нарушения
2023 год — 7623 сайта проверено, 5302 — выявлены нарушения

Информация из отчетов Роскомнадзора за 2021-2023 гг. — https://rkn.gov.ru/activity/plans/reports/p449

Сколько длится и как проходит проверка Роскомнадзора на местах

Профилактическая работа Роскомнадзора включает визиты на предприятия малого и среднего бизнеса, которые проводятся как с физическим присутствием инспекторов на местах, так и посредством видео-конференц-связи. О предстоящей проверке руководитель компании уведомляется за пять рабочих дней до её начала, а сама процедура занимает также пять рабочих дней.

В 2024 году обязательным профилактическим визитам подверглись те фирмы, которые начали обработку персональных данных в период с 1 января по 31 декабря 2023 года. Однако существенная часть предпринимателей предпочла отказаться от участия в таком визите. Хотя это и возможно согласно действующему законодательству, тем не менее, стоит отметить, что участие в профилактическом визите — полезный шаг, поскольку оно позволяет вовремя устранить возможные недочеты в документации и избежать выездных внеплановых проверок.

Предупреждение выносят за сутки до начала процедуры

Выездные внеплановые проверки характеризуются коротким сроком предупреждения — всего сутки до начала процедуры, что серьезно сокращает время на подготовку нужной документации. Проверка происходит непосредственно на территории частной организации и продолжается до 20 рабочих дней, при необходимости этот срок может быть увеличен еще на такой же период.

Во время внеплановой проверки сотрудники Роскомнадзора тщательно исследуют действия и процессы организации, особое внимание обращают на факторы, повышающие риск нарушений. К таким факторам относятся жалобы граждан на неправомерную обработку персональных данных, случаи утечки конфиденциальной информации. Также расхождения между сведениями, указанными в уведомлении, представленном в Роскомнадзор, и объективными действиями и документами организации.

Что проверяют при документарной проверке без выезда на предприятие

Документарная проверка представляет собой отдельный вид контроля, при котором Роскомнадзор направляет руководству бизнеса запрос на предоставление конкретных документов. На исполнение запроса отводится пять рабочих дней. Важно учитывать, что список требуемых документов может быть дополнен, и в таком случае у руководства будет три рабочих дня на предоставление дополнительных справок или локально-нормативных актов.

При проведении документарной проверки особое внимание уделяется следующим аспектам:

Уведомлению об обработке персональных данных, направленному руководством компании в Роскомнадзор. Орган сверяет информацию из уведомления с реальными бизнес-процессами компании.
Сайту компании: проверке подлежат способы сбора персональных данных, доступность политики обработки данных и ее соответствие законодательным требованиям, корректность структуры чек-боксов и наличие cookie-баннеров.
Ключевым процессам сбора и обработки персональных данных.
Работе кадрового подразделения (наличие согласий работников, ознакомление с политикой обработки данных, внутренние нормативные акты, включая кадровый резерв и командировки).
Деятельности бизнес-подразделений (процесс оказания услуг, заключение договоров с клиентами и хранение данных).
Работе IT-отдела частного предприятия (местоположение основных информационных систем и серверного оборудования).

Этот перечень не окончательный, однако дает представление о том, какие аспекты деятельности компании могут привлечь внимание надзорного органа.

Как подготовиться к внеплановой проверке Роскомнадзора в 2025 году

Проведите аудит внешних платформ, сайтов, мобильных приложений и документов с последующим устранением выявленных нарушений.
Назначьте сотрудника, ответственного за взаимодействие с представителями Роскомнадзора и уведомите уполномоченный орган об этом факте.
Организуйте тренинги для сотрудников для улучшения осведомленности о процессах обработки персональных данных и получения достаточных знаний в вопросах защиты данных.
Будьте открыты к сотрудничеству с Роскомнадзором.
Вовремя обрабатывайте входящие запросы от уполномоченных органов.

Эти меры помогут подготовиться к проверкам и минимизировать риски возникновения нарушений.

Простые превентивные меры позволят избежать административной и уголовной ответственности за несоблюдение предписаний Роскомнадзора в установленные сроки.

Представители малого и среднего бизнеса, работающие с персональными сведениями сотрудников, клиентов и партнеров, должны осознавать величину своей ответственности. Рекомендую таким компаниям незамедлительно приступить к сравнению документов, опубликованных на сайте, с теми, что ранее были направлены в Роскомнадзор, и сопоставить эти документы с текущими бизнес-процессами внутри организации. Несоответствие между ними и реальной практикой может повлечь за собой финансовые санкции. В рамках закона юридическим лицам могут вменить существенные штрафы и тем самым нанести ущерб деловой репутации компании.