Продукты
Продукты
Menu
02
База знаний
05
Услуги
01
О нас
04
2025
Контакты
phone
e-mail:
Обучение
03
Дорожная карта подготовки к проверкам Роскомнадзора
13.01.2023
09/12/25
Б-152
Персональные данные давно превратились в чувствительный актив, влияющий на репутацию, продажи и устойчивость бизнеса. Пользователи доверяют компаниям не только имя и контакты, но и паспортные сведения, биометрию, данные о здоровье. Это доверие легко потерять одной ошибкой в процессах или документировании.
При этом требования закона о персональных данных (152‑ФЗ) и подзаконных актов системно уточняются, а контроль усиливается. Готовность к проверке Роскомнадзора сегодня должна восприниматься как часть операционной модели, а не как разовая кампания перед визитом инспектора.
Эта дорожная карта помогает выстроить подготовку по шагам: от анализа имеющихся и актуализации документов до самопроверки и взаимодействия с проверяющими. Она опирается на ключевые нормы 152‑ФЗ, включая обязанности оператора (ст. 18.1), уведомление об обработке (ст. 22), согласия (ст. 9), обработку специальных категорий данных (ст. 10), биометрии (ст. 11), распространение персональных данных (ст. 10.1) и трансграничную передачу (ст. 12), а также на практику проверок и типовые вопросы инспекторов.
Содержание
Содержание
Проверяющий смотрит не только на наличие политики на сайте.
Что проверяет Роскомнадзор на практике
Проверка охватывает цепочку обработки данных по ролям и этапам: законность целей, правовые основания, уведомление об обработке, корректность согласий, условия и сроки хранения, доступы, факт локализации сбора данных, порядок трансграничной передачи, порядок обработки обращений субъектов, а также организационные и технические меры защиты в информационных системах персональных данных (ИСПДн).
Важная часть повестки — согласие на распространение (ст. 10.1) и работа с несовершеннолетними. Практика показывает: чаще всего вопросы возникают на стыке юридических формулировок и реальных процессов, когда документ говорит одно, а на практике процесс строится совсем иначе.
Ниже приводим последовательность шагов, которая помогает закрыть уязвимости до визита проверяющих.
Шаг 1. Аудит текущего состояния: что и где обрабатывается
Стартовая точка — аналитика обработки. Без карты процессов невозможно корректно выбрать правовые основания, оформить документы и оформить/ограничить доступы. Сосредоточьтесь на трех блоках.
1) Процессы и системы. Опишите, какие операции с данными выполняет компания: сбор на сайте и в приложении, прием резюме, видео‑наблюдение для пропускного режима, CRM‑коммуникации, рассылки, биллинг, техническая поддержка.
Укажите ИСПДн и внешние сервисы, где хранятся записи, и реестр сред хранения: продуктив, тестовые базы, архивы, резервные копии. Для каждого канала фиксируйте источник данных (прямо от субъекта, от партнера, из иных ресурсов), состав персональных данных.
2) Категории данных и риски. Простые идентификаторы (ФИО, контакты) требуют одного уровня контроля, а сведения о здоровье или биометрия другого. Разнесите массивы персональных данных по категориям: общие, специальные (ст. 10), биометрические (ст. 11).
Для каждой группы отметьте цели обработки и основания: договор, закон, согласие, защита жизни и здоровья, законный интерес оператора в дозволенных законом случаях и иные основания по ч.1 ст. 6 152-ФЗ.
3) Роли и контуры ответственности. Определите, когда вы выступаете оператором, а когда являетесь лицом, обрабатывающим данные по поручению другого оператора. Зафиксируйте договорные контуры: поручение на обработку, распределение обязанностей по безопасности, порядок уведомлений об инцидентах.
Назначьте ответственного за организацию обработки персональных данных приказом по компании (ст. 18.1) и определите владельцев процессов в ИТ, HR, маркетинге, службе безопасности. Отдельно проверьте статус уведомления в реестре операторов (ст. 22): подавалось ли, по каким целям, какие категории и ИСПДн отражены, указана ли трансграничная передача, если она есть.
Результат шага — карта потоков и систем, перечень категорий данных с основаниями, роли и договорные связи, а также первичный перечень «красных флагов», где юридическая модель не совпадает с реальными операциями.
Шаг 2. Документы: юридическая база, которая работает в связке с процессами
Размещение шаблонов на сайте мало что меняет, если они не соответствуют фактической обработке персональных данных. Документы должны быть актуальны, взаимосогласованы и отражать вашу архитектуру данных.
Политики и уведомления. На внешних ресурсах публикуется политика обработки персональных данных, в которых должны быть описаны цели, правовые основания обработки персональных данных, объем и категории обрабатываемых данных, категории субъектов персональных данных, порядок и условия обработки персональных данных, порядок актуализации, удаления и уничтожения данных, ответов на запросы субъектов на доступ к персональным данным. Для сотрудников рекомендуем разработать отдельную политику и положение об организации обработки ПДн.
Согласия. Сбор согласий — не формальность. Формы должны быть предметными и понятными: для какой цели дается согласие, какие категории обрабатываются, на какой срок, кому передаем данные. Письменная форма требуется в случаях, прямо указанных законом, например при обработке специальных категорий, при обработке биометрии. Для онлайн‑форм обеспечьте фиксацию волеизъявления: чек‑бокс с логом, код из SMS, электронная подпись.
Поручения с контрагентами. Если третье лицо обрабатывает данные по вашему поручению, в поручении закрепляются перечень персональных данных и действия с ними, цели обработки, требования к безопасности, порядок уничтожения данных, порядок привлечения субобработчиков, уведомления об инцидентах и запросах субъектов, эти требования установлены ч.3 ст. 6 152-ФЗ. Если же вы получаете данные от третьих лиц, проверьте законность обработки и объем передаваемых данных.
Приказы и роли. Издайте приказы о назначении ответственного за организацию обработки ПДн, утверждении необходимых документов, проинструктируйте сотрудников, участвующих в обработке персональных данных Зафиксируйте регламент взаимодействия подразделений при инцидентах и запросах субъектов.
Регистры и учетные формы. Полезно вести реестр процессов обработки ПДн (цель, правовое основание, категории, системы, сроки хранения, третьи лица), журнал обращений субъектов, журнал инцидентов и уведомлений, акты уничтожения персональных данных. Эти документы и информацию часто запрашивают при проверке.
Шаг 3. Организационные меры: как обеспечить соблюдение на практике
Даже идеальные документы не помогут, если сотрудники продолжают действовать по привычке. Организационные меры превращают правила в повседневную дисциплину.
Доступы и ролевая модель. Доступ к ИСПДн предоставляется по принципу необходимости для работы. Фиксируйте роли, разграничивайте права, используйте двухфакторную аутентификацию, регулярно пересматривайте доступы при переводах и увольнениях. Для подрядчиков — отдельные учетные записи, запрет на «общие» логины.
Сроки и хранение. Заведите понятные сроки хранения для каждого процесса и технически обеспечьте их соблюдение: архивация, автоматическая очистка логов, процедуры удаления из бэкапов. Для бумажных носителей — режим хранения и уничтожения, ответственное лицо и акты.
Обучение и инструктаж. Новички проходят вводный курс по ПДн, действующие сотрудники — регулярное тестирование. В обучение включайте кейсы: как отвечать на запросы субъектов, как фиксировать согласие на рассылку, как остановить распространение данных при отзыве согласия по ст. 10.1.
Запросы субъектов. Отлаженный процесс — отдельный ящик или форма приема запросов, типовые шаблоны реакций (доступ, исправление, удаление, ограничение, отзыв согласия, возражение), проверка личности заявителя, логирование действий. В ИТ системах заранее предусмотрите сценарии выгрузки и удаления.
Инциденты. Опишите критерии инцидента, круг участников, временные окна для уведомлений, шаблоны сообщений, журнал расследования и коррекционных мер.
Шаг 4. Самопроверка: закрываем пробелы до визита
Перед фактической проверкой полезно пройти «генеральную репетицию» в формате внутреннего аудита.
Проверка документов и факта обработки. Сопоставьте цели и основания, указанные в документах, с реальными формами на сайте, сценариями CRM и мобильного приложения. Обновите уведомление (ст. 22), если появились новые цели, категории, ИСПДн.
Проверочный лист Роскомнадзора. Используйте официальный проверочный лист Роскомнадзора, который есть в публичном доступе как структурированный опросник. Идите по пунктам: правовые основания, согласия, запросы субъектов, локализация, трансграничная передач, хранение, безопасность, журналы учета. Отмечайте несоответствия и назначайте ответственных за исправления с датами.
Тестирование персонала. Проведите короткое тестирование или интервью с выборкой сотрудников: умеют ли находить политику и формы согласий, знают ли куда отправлять запрос субъекта, помнят ли сроки хранения по их процессу. Выявленные пробелы закрывайте точечными инструкциями.
Техническая верификация. Проверьте, действительно ли первичная запись данных через сайт попадает на инфраструктуру в России при сборе от российских пользователей (ч. 5 ст. 18), корректны ли настройки логирования и резервного копирования. Проверьте, чтобы на сайте не было иностранных сервисов, используя которые не получится обеспечить локализацию данных при сборе, к таким сервисам относятся, например, Google Analytics. Замените такие сервисы на отечественные аналоги.
Результат шага — перечень корректировок с приоритетами и сроками, которые можно успеть внедрить до взаимодействия с проверяющим.
Шаг 5. Взаимодействие с проверяющими: деловая процедура
Даже при высокой зрелости процессов важна дисциплина в коммуникации. Цель — предоставить полную и точную информацию, исключив интерпретационные риски.
Единое контактное лицо. Назначьте сотрудника, который централизует запросы и ответы, собирает документы, фиксирует сроки. Остальные общаются с проверяющим через него.
Пакет документов. Заранее подготовьте подборку: политики и положения, актуальные формы согласий, уведомление, перечень ИСПДн и систем, приказы о назначении ответственных, журналы обращений субъектов, акты уничтожения, примеры договоров с поручениями. Полезно иметь оглавление с быстрыми ссылками и датами версий.
Протоколирование. Фиксируйте все запросы, сроки, переданные файлы и ответы. Если требование неясно, уточняйте формулировку и контекст. Если документ готовится, сообщайте ожидаемую дату предоставления и реальный прогресс.
Профессиональная позиция. Отвечайте по существу, опираясь на нормы: на каком основании обрабатываете, какую форму согласия используете, где зафиксирован порядок обработки, как обеспечена локализация, какими актами утверждены сроки хранения и т. д. Избегайте оценочных обещаний и гипотез. Если выявлен дефект, предложите план исправления с датой и ответственным.
Типовые ошибки и как их устраняют
Почти в каждой проверке встречаются повторяющиеся сбои. Ниже — самые распространенные и рабочие способы исправления.
Старые политики и «молчаливые» формы. На сайте описаны устаревшие цели, а чек‑боксы не сопровождаются текстом согласия. Решение — обновить политику и согласия, связать их с фактическими сценариями сбора, добавить логи волеизъявления.
Нет уведомления или оно неактуально. Компании расширили цели обработки, но не подали или не обновили уведомление по ст. 22. Исправление — подача актуальной формы с отражением новых целей обработки.
Распространение без отдельного согласия. Публикация отзывов, витрины вакансий и открытые каталоги часто оформляются как часть обычного согласия, хотя это распространение по ст. 10.1, требующее отдельного согласия и возможности отдельно запретить распространение. Исправление — разнести формы согласия, внедрить отдельный механизм запрета.
Бесконечные сроки хранения. В документах нет сроков, в системах не настроены процедуры удаления, акты не оформляются. Исправление — назначение сроков по процессам, автоматизация очистки, формирование актов и журналов.
Контрагенты без поручений. Подрядчики имеют доступ к персональным данным, но договоры не содержат требований к безопасности и порядку уничтожения. Исправление — поручения с описанием действий, мер защиты и ответственности по ч.3 ст. 6 152-ФЗ
Несовпадение юридической модели и практики. Часто бывает, что документах одно, а на деле совсем другое. Исправление — совместная сессия юристов и ИТ для выравнивания терминов, целей и технических настроек.
Дорожная карта внедрения: кому что делать и в какие сроки
Практике помогает реалистичный план на 6−8 недель с распределением ролей.
Недели 1−2. Ответственный за ПДн совместно с ИТ и бизнес‑подразделениями проводит аналитику: карта процессов и систем, перечень категорий и оснований, список контрагентов. DPO проверяет статус уведомления по ст. 22 и черновик обновления при необходимости.
Недели 3−4. Юрист и ответственный за ПДн обновляют политику сайта и положения для сотрудников, готовят формы согласий, поручения для контрагентов, приказы о назначениях. ИТ вносит изменения в формы, логи согласий, механизмы отзыва. DPO и HR готовит программу обучения и тестирования.
Недели 5−6. Пилотная самопроверка по чек‑листу: сверка документов и факта обработки, тест запросов субъектов, проверка сроков и уничтожения, контроль локализации. Исправления первой очереди вносится сразу, спорные кейсы документируются с правовой позицией.
Недели 7−8. Финализация пакета для проверки: структурированная папка с документами, журналами и актами, назначение контактного лица, сценарии коммуникации. Проведение настольных учений по инцидентам и репетиции ответов на типовые вопросы инспекторов.
Роли конкретных сотрудников могут отличаться в зависимости от компании. Главное — привлечь сотрудника, который сможет реализовать возложенные на него функции и сделает это качественно.
Как подготовиться к вопросам инспектора: краткая шпаргалка
— На каком основании вы обрабатываете персональные данные и как это подтверждается документально.
— Как оформлено согласие на распространение и как субъект может его отозвать.
— Как обеспечена локализация сбора данных для российских пользователей.
— Как вы исполняете запрос субъекта; как проверяете личность заявителя.
— Как регламентированы сроки хранения и процедуры уничтожения, есть ли акты и журналы.
— Какие контрагенты имеют доступ к данным, есть ли поручения и требования к безопасности.
— Как устроена процедура реагирования на инциденты, кто принимает решение и в какие сроки.
— Как оформлено согласие на распространение и как субъект может его отозвать.
— Как обеспечена локализация сбора данных для российских пользователей.
— Как вы исполняете запрос субъекта; как проверяете личность заявителя.
— Как регламентированы сроки хранения и процедуры уничтожения, есть ли акты и журналы.
— Какие контрагенты имеют доступ к данным, есть ли поручения и требования к безопасности.
— Как устроена процедура реагирования на инциденты, кто принимает решение и в какие сроки.
На эти вопросы полезно ответить до проверки вместе с ответственным лицом и участвующими в обработке подразделениями.
Постоянный процесс вместо «забега» перед проверкой
Подготовка к проверке не заканчивается выдачей запрашиваемых материалов проверяющему. Системное соответствие — это регулярный пересмотр процессов обработки, актуализация уведомления и документов при изменениях, плановые проверки доступов и сроков хранения, обучение новых сотрудников, контроль подрядчиков, корректировка позиций по спорным кейсам с учетом разъяснений регулятора и судебной практики.
Такой подход снижает давление на бизнес, а при визите проверяющих превращает процедуру в предсказуемую рутину.
Вывод
Компании, которые выстраивают работу с персональными данными как постоянный процесс, проходят проверки спокойнее и тратят меньше ресурсов на «пожары». Прочный фундамент создают три составляющие: точная карта процессов обработки, документы, отражающие реальную ситуацию, и дисциплина исполнения — доступы, хранение, журналы, обучение, готовность к инциденту.
Начните с актуализации процессов и обновления уведомления по ст. 22, обновите формы согласий, разнесите обработку и распространение, проверьте локализацию сбора данных. Дальше настройте регулярную самопроверку с понятными сроками и ответственными. Так подготовка к проверке перестает быть источником стресса и превращается в управляемую часть операционной модели бизнеса.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Чтобы не пропускать разъяснения РКН и разборы типовых кейсов проверок, удобно следить за подборками и шаблонами в нашем Telegram-канале.
Материалы по теме