Роскомнадзор пришел без проверки: что это значит и как реагировать

13.01.2023
17/07/25
Б-152
Роскомнадзор пришел без проверки: что это значит и как реагировать
Если вы уже подали уведомление об обработке персональных данных, поздравляем: на горизонте профилактический визит от РКН. Это не проверка и не повод паниковать, но отнестись к визиту стоит серьезно.
Рассказываем, что это за зверь такой, чего ждать, как подготовиться и почему это отличная возможность закрыть риски без штрафов.

Что за визит такой?

Формально — это инструмент «профилактики нарушений», предусмотренный статьей 52 закона № 248-ФЗ.
Роскомнадзор приходит не штрафовать, а предупредить: объяснить, какие требования вы обязаны соблюдать при работе с персональными данными, и где чаще всего компании ошибаются.
Если совсем просто — это обучающая встреча, после которой у вас будет конкретный план, как не попасть под проверку.

Когда ждать гостей?

Профилактический визит приходит вслед за подачей уведомления об обработке персональных данных. За 5 рабочих дней до визита вы получите официальное приглашение от регионального управления РКН.
Там будут:
  • дата и время;
  • ссылка, если встреча проходит онлайн (что бывает чаще всего);
  • список документов, которые нужно подготовить.
Формально у Роскомнадзора есть до 10 рабочих дней на визит, но в реальности все укладывается в 1−2 дня, особенно если с документами порядок.

Как проходит визит?

Обычно в формате видеосвязи. Сотрудники РКН задают вопросы по поданному уведомлению и вашей документации.
Они могут попросить показать:
Вас не будут ловить за руку или провоцировать. Но если что-то вызывает вопросы, об этом сообщат официально.
  • уведомление об обработке ПДн;
  • локальные акты (например, политику конфиденциальности);
  • приказы о назначении ответственных;
  • журналы и инструкции;
  • доказательства применения защитных мер (в том числе СЗИ, если заявлены).

Чем все заканчивается?

(...Хорошим? А если серьезно…)
По итогам визита оформляется акт профилактического визита.
В нем:
  • список вопросов, которые обсуждались;
  • найденные несоответствия;
  • рекомендации.
Если Роскомнадзор находит нарушения, он не бежит в суд. Он выносит предписание об устранении, и у вас есть время спокойно закрыть замечания. Но если проигнорировать, последствия могут быть серьезными: от плановой проверки до административных дел и штрафов до 15 млн рублей за утечку.

Почему подготовка важнее, чем кажется

Компании часто недооценивают профилактический визит.
Но на практике именно здесь вскрываются ошибки:
  • не те основания для обработки данных (например, у вас нет согласия, но его и не нужно, просто вы не указали нужный пункт закона);
  • не локализованы базы данных — хостинг за границей, иностранные подрядчики и сервисы без договора об обработке;
  • не защищены чувствительные данные: биометрия, дети, религия и здоровье. А документы по СЗИ «в работе» или «на словах».
Даже если все выглядит «в целом нормально», визит может вскрыть уязвимости, которые при проверке стоили бы миллионы.

Что делать, чтобы пройти визит без проблем

Минимальный план:
  1. Перепроверьте уведомление. Лучше заранее, чем в диалоге с РКН.
  2. Соберите необходимые документы.
  3. Проверьте риски чувствительной обработки.
  4. Подготовьте сотрудников. Чтобы на встрече не возникло ситуаций «я не в курсе, это у нас кто-то другой делает».
Или просто делегируйте всё команде, которая проведёт ревизию, подготовит комплект документов и будет рядом в момент визита.

Вместо вывода — возможность

Профилактический визит — это шанс. Бесплатный аудит со стороны самого Роскомнадзора. Пропустите его — и в следующий раз вам может прийти не приглашение, а предписание. Причем, с уже просроченными сроками.
А если подойти грамотно, то вы не только закроете текущие риски, но и построите систему обработки ПДн, с которой не страшны ни проверки, ни утечки, ни внешние атаки. В этом деле лучше не ждать, пока грянет штраф.
Хочется стать одной из тех компаний, про которые РКН потом говорит «всё четко»? Мы знаем, как сделать так, чтобы визит прошел гладко — просто оставьте заявку, и мы подготовим вас на всех уровнях.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме