Роскомнадзор проверяет сайты: кто и как должен подготовится к проверке

Бизнес, использующий персональные данные клиентов, обязан обеспечивать их сохранность. Однако утечки происходят регулярно. В сеть попадает конфиденциальная информация, за которой охотятся мошенники. Чтобы предотвратить утечки, Правительство ужесточило закон о защите персональных данных. Теперь организации, допустившие утечку, будут привлечены к ответственности в виде крупных штрафов. Одновременно на Роскомнадзор (РКН) возложена функция контроля. Он проверяет сайты и при выявлении малейших нарушений наказывает владельца. Эта статья о том, что и как проверяет РКН и как готовиться к аудиту.

Почему Роскомнадзор проверяет компании

К персональным данным (ПД) относятся:

• ФИО;
• адреса места проживания, электронной почты, в соцсетях и мессенджерах;
• паспортные данные;
• номера телефонов;
• СНИЛС, ИНН.

К персональной также можно отнести любую другую информацию, позволяющую определить человека или его местонахождение, например, cookie-файлы.

Но эти сведения необходимо предоставлять при обращении во многие организации, например:

• в банки при оформлении кредитов;
• при покупке авиабилетов;
• при онлайн-бронировании мест в отелях;
• при обращении в медицинские или юридические организации.

Компании обязаны тщательно сохранять эту информацию.

Согласно ФЗ-№152 «О персональных данных» ни одна организация не вправе собирать, обрабатывать и использовать личные данные без согласия их владельца.

Нарушение закона влечёт за собой штрафные санкции, что зафиксировано в ст. 13.11 КоАП РФ. С 01.05.2025 г. в силу вступил новый закон, ужесточающий наказание за утечку ПДн – ФЗ-№ 420. Согласно ему, штрафы для юрлиц могут достичь полумиллиарда рублей.

Роскомнадзор вправе начать проверку при:

• поступлении жалобы от субъекта ПДн;
• появлении в СМИ информации о нарушении в сфере ПДн в той или иной организации;
• обращении конкурирующей фирмы с жалобой и др.

РКН вправе проводить аудит в отношении любого физического или юридического лица, владеющего сайтом или мобильным приложением: салона красоты, фитнес-центра, ресторана. При этом инспектор РКН вправе начать проверку без уведомления компании. Владелец узнает о ней, когда получит запрос о предоставлении документации.

Ежемесячно Роскомнадзор проверяет более 500 сайтов, но планирует расширить свои возможности до полумиллиона в год, внедрив автоматические системы мониторинга.

Виды проверок РКН

Плановая

Проводится раз в три года на основе плана, который публикуется в начале года на сайте Роскомнадзора. Каждый предприниматель (юрлицо или ИП) может проверить, есть ли его предприятие в списке, уточнить дату, на которую назначена проверка. Доступен поиск по ИНН.

За три дня до назначенной даты аудита предприниматель получит почтовое уведомление по адресу прописки для ИП или юридическому для организации.

Внеплановая

Её проводят, если появляется повод:

• поступила жалоба;
• прошла информация в СМИ;
• получено распоряжение от вышестоящего органа;
• есть сомнения, что после предыдущей инспекции нарушения прекратились.

Внеплановые проверки (о которых сообщают за 24 часа) часто проводятся в отношении организаций, которые уже не раз нарушали правила, а также тех, нарушения со стороны которых приведут к более негативным последствиям.

Частота проверок

В РКН разработана классификация, согласно которой организации по категории риска подразделяются на 5 групп. В каждой категории предусмотрены группы тяжести и вероятности.

Руководствуясь этой классификацией, проводятся проверки:

• если степень риска низкая, то аудиты вообще не проводят;
• если риск умеренный, то аудит назначают не чаще 1 раза в 6 лет (документарный или выездной);
• при среднем риске компанию проверяют раз в 3 года;
• при значительном и сильном – 1 раз в 3 и 2 года соответственно в форме инспекционного или выездного визита.

Документальная

Предполагает проверку только документов. Инспекторы Роскомнадзора в ведомство не приезжают, а только запрашивают документацию, чтобы убедиться в соблюдении правовых норм, например, политики обработки данных.

Выездная

Этот вид аудита предполагает личный визит инспекторов на предприятие. Они на месте проверяют соблюдение законов, соответствует ли нормам ведение документации. Такая проверка может занять несколько дней.

Инспекционная

Это вариант сокращённого выездного аудита. Инспектор приезжает в офис для проверки информации, которую нельзя получить из документов. Длительность инспекционного визита – один рабочий день. При этом о визите инспектора фирму извещают за 5 рабочих дней.

Порядок проведения всех видов проверок зафиксирован в:

• ФЗ-№ 248 от 31.07.20 (ст. 70, 72, 73);
• ПП № 1046 от 29.06.2021.

Инспекционная комиссия в ходе проверки имеет право вести фотосъёмку и аудиозаписи. Организация, в отношении которой инициирована проверка, вправе принимать в ней участие. При этом юристы рекомендуют делать это обязательно. Лучше, если для взаимоотношений с контролирующим органом будет выделен специальный сотрудник. Это упростит общение, снимет проблему возникновения недопониманий: сотрудник сразу ответит на все вопросы инспектора.

Что проверяет Роскомнадзор

1. Сайт компании на наличие формы сбора информации.
2. Документы:
   • содержащие личные данные клиентов и сотрудников, и их согласие на обработку;
   • договоры с подрядчиками, которым передаются сведения;
   • иные локальные акты.
3. Собираются ли специфические сведения и с какой целью, например, этническая или религиозная принадлежность.

Проверяющие концентрируются на поиске нарушений по пяти основным направлениям:

1. Соблюдение правил хранения и передачи данных. ПДн россиян должны храниться на российских сайтах и не передаваться на зарубежные площадки. Например, использование Google-форм может свидетельствовать о том, что информация попадает за рубеж. В этом случае будут проверять наличие уведомления о намерениях передачи данных за пределы России. Также проверяются хранилища. Доступ к ним должен быть только у сотрудников, работающих с данными.
2. Правила использования cookie. Предприятие должно уведомлять пользователя о том, что использует этот вид файлов, и получать его согласие. Некоторые компании ограничивают доступ пользователя к некоторым страницам сайта, если последний не соглашается на передачу данных. Это считается нарушением.
3. Политика обработки ПДн. Документ должен быть опубликован на сайте и включать подробное описание методов и сроков обработки данных:
   • субъекты ПДн;
   • перечень обрабатываемых сведений;
   • сроки обработки и хранения;
   • порядок уничтожения.
4. Согласие на обработку ПДн. Если галочка в соответствующем поле проставляется по умолчанию – это нарушение. Также проверяют текст соглашения на передачу данных, он должен содержать условия обработки информации.
5. Безопасность:
   • наличие технических средств защиты (шифрование, SSl);
   • система предотвращения несанкционированного проникновения;
   • регулярность обновления защитного ПО.

Типичные ошибки организаций

1. Использование универсальных шаблонов:
   • не учитывающих специфику бизнеса;
   • у которых отсутствуют обязательные данные, например, о мерах технической защиты.
2. Согласие на обработку данных составлено некорректно. Например, не прописаны:
   • все виды собираемых данных;
   • цели сбора;
   • возможность отзыва согласия.
3. Политика обработки ПДн недоступна пользователям для изучения. Это нарушение относится к разряду грубых.
4. Нарушения при составлении уведомления об обработке ПДн. Уведомление необходимо подавать в Роскомнадзор до того, как предприятие начинает собирать и обрабатывать данные. Отсутствие уведомления или внесение в заявление неполной информации – это нарушение.
5. Несоблюдение требований при хранении документов.
6. Нарушение локализации данных, подразумевающее их хранение на заграничных серверах.
7. Отсутствие ответственного лица. Если в компании нет человека, отвечающего за хранение и обработку данных, или его обязанности чётко не прописаны, это приводит к нарушениям правил.

Как подготовиться к аудиту РКН

1. Проведите аудит документов и сайта. Проверьте наличие Политики обработки данных и её доступность для пользователей, локализацию хранения, корректность использования соглашений.
2. Обновите Политику обработки ПДн. Сделайте более развернутое описание целей сбора и методов обработки и хранения.
3. Убедитесь, что направили в адрес Роспотребнадзора уведомление о начале сбора и обработки данных.
4. Назначьте ответственного за работу с конфиденциальной информацией. Составьте чёткие инструкции, проведите инструктаж. Сотрудник должен:
   • знать правила сбора, хранения и обработки поступающих сведений;
   • знать положения регламентирующих законов;
   • уметь и быть готовым ответить на любые вопросы инспектора Роскомнадзора.
5. Убедитесь, что данные персонала и клиентов на вашем сайте надёжно защищены. Установите SSL-сертификаты, если это ещё не сделано. Установите автоматические системы мониторинга, защищающие от несанкционированного проникновения. Обновите плагины, CMS.
6. Проверьте, а при необходимости обновите локальные акты, формы согласия.
7. Изучите требования всех видов проверки.
8. Разработайте план на случай внепланового аудита. Назначьте сотрудника, который будет общаться с проверяющими. Подготовьте пакет документов, которые могут потребовать для проверки. Держите его всегда наготове.

Что грозит за нарушения

При выявлении нарушения компания или ИП будут оштрафованы. Последние поправки, внесённые в КоАП РФ, значительно повысили размеры штрафов, при этом сумма зависит от вида нарушения:

1. Компания не внесена в реестр операторов ПДн, что необходимо в соответствии с ч. 10 ст. 13.11 КоАП РФ. Штрафы для:
   • физлица составят от 5 000 до 10 000 рублей;
   • ИП и ответственных лиц – от 30 000 до 50 000 рублей;
   • юрлиц – от 100 до 300 тыс. руб.
2. Произошла утечка данных (кража, проникновение в БД вредоносных программ, случайная отправка не по адресу), но организация не уведомила Роскомнадзор. Основание для санкций – ч. 11 ст. 13.11 КоАП РФ. Штрафы для:
   • физлица составят от 50 000 до 100 000 рублей;
   • ИП и ответственных лиц – от 400 до 800 тыс. рублей;
   • юрлиц – от 1 до 3 млн руб.
3. Незаконная обработка данных. Штрафы для:
   • физлиц – 10 000–15 000 рублей;
   • ИП и ответственных лиц – 50–100 тыс. руб.;
   • юрлиц – 150–300 тыс. руб.
4. Утечка данных (передача третьим лицам, утеря документов, содержащих конфиденциальную информацию) – это одно из наиболее тяжких нарушений. Штрафы за это начинается от 3 млн рублей. В особо тяжких случаях они могут исчисляться в процентах от совокупной выручки (от 1 до 3%), при этом минимальный порог для организаций составит 25 млн рублей, а максимальный – 500 млрд руб. (ФЗ-№ 420 от 30.11.24.)

Компания может потерять не только деньги. Если в ходе проверки будет обнаружено, что фирма собирала сведения без согласия пользователей, то её обяжут удалить всю базу данных. Т. е. организация потеряет всех клиентов и работу придётся начинать с нуля. А это повлечёт за собой и репутационные потери.

Если в компании или у ИП нарушения обнаруживали в процессе нескольких проверок, то такие организации в глазах контролирующего органа превращаются в бизнес повышенного риска. А это влечёт учащение проверок:

• регулярные станут проводить раз в 2 года;
• участятся внеплановые аудиты.

Как избежать внеплановых визитов инспекторов Роскомнадзора

1. Своевременно информируйте Роскомнадзор о том, что начали собирать конфиденциальную информацию.
2. Разместите на сайте Политику обработки ПДн.
3. Предупреждайте посетителей о том, что применяются Cookie-файлы и с какой целью.
4. Разместите место для галочки, которой пользователь должен подтвердить своё согласие на использование данных.
5. Не заваливайте пользователей спамом (звонками, СМС-сообщениями). Это одна из наиболее частых жалоб, с которой люди обращаются в РКН.
6. Рекомендуется не реже одного раза в год заказывать аудит у сторонней компании, которая выявит недочёты и укажет, как их исправить.

Заключение

Роскомнадзор проверяет сайты компаний, чтобы выявлять физ. или юрлиц, кто не соблюдает закон о персональных данных, и подвергает личную информацию граждан опасности быть украденной. Аудиты могут быть плановыми и внеплановыми, а также иметь другие формы – документальные, инспекционные, выездные. В ходе любой из них инспекторы ищут нарушения, связанные с неправильно организованным сбором и хранением персональных данных граждан. Выявленные нарушения караются штрафами, которые, согласно последним поправкам к закону, могут достигать полумиллиарда рублей.

Чтобы максимально снизить риск возникновения нарушений, рекомендуется регулярно проводить аудиты, обращаясь к специалистам.