Как подготовиться к проверке Роскомнадзора по 152-ФЗ

Если вы обрабатываете персональные данные клиентов или сотрудников — а это почти любой бизнес с сайтом и формой заявки — вы оператор ПДн, и к вам может прийти проверка Роскомнадзора. Хорошая новость: к плановой проверке почти всегда можно подготовиться заранее и пройти её без замечаний. Разберём, что для этого нужно.

Что проверяет Роскомнадзор

Упрощённо проверка сводится к трём вопросам: уведомили ли вы регулятор как оператор, есть ли у вас оформленные документы по обработке ПДн, и совпадает ли реальная обработка с тем, что в этих документах заявлено. Расхождение между «бумагой» и практикой — самая частая причина замечаний.

Чек-лист готовности

1. Документы (ОРД)

• Политика обработки персональных данных — опубликована и доступна;
• Приказы о назначении ответственного за обработку ПДн;
• Перечень обрабатываемых ПДн и целей обработки;
• Согласия субъектов на обработку — там, где они требуются;
• Модель угроз и оценка вреда субъектам.

2. На сайте

• Ссылка на Политику обработки ПДн в подвале;
• Чекбокс согласия рядом с каждой формой сбора данных;
• Корректные формулировки о целях и сроках обработки.

3. Технические меры

• Разграничение доступа к данным, журналирование;
• Хранение данных в соответствии с требованиями локализации;
• Защита каналов передачи и резервное копирование.

Где чаще всего находят нарушения

По нашему опыту, типовые провалы — это отсутствие уведомления в реестре операторов, формальная политика, не отражающая реальную обработку, отсутствие согласий на сайте и хранение данных без должной защиты доступа. Каждое из этих нарушений закрывается заранее за разумный срок.

Что делать дальше

Соберите документы из чек-листа, сверьте их с реальной практикой и устраните расхождения. Если времени мало или объём большой — имеет смысл привлечь специалистов, которые приведут в порядок и документы, и техническую часть, и сопроводят саму проверку.