Как пройти проверку в сфере персональных данных

Как пройти проверку в сфере персональных данных

Любая проверка для бизнеса сопряжена с определенными рисками.

Лучше заранее убедиться в наличии всех необходимых документов, защищающих интересы компании, а если есть нарушения, внести исправления до того, как их обнаружат проверяющие.

В статье разберемся, что может стать объектом контроля Роскомнадзора в сфере персональных данных в этом году и как исправить нарушения, не дожидаясь штрафов.

Какова вероятность, что вас проверят

Роскомнадзор проверяет любые организации и ИП, которые имеют дело с персональными данными и являются их операторами. Должностные лица Роскомнадзора будут выяснять, соблюдаете ли вы обязательные требования при работе с персональными данными:

• своих сотрудников (включая кандидатов, которых рассматриваете на должности в компании);

• клиентов (покупателей, заказчиков, пациентов, учащихся и т.п.), в том числе если вы собираете их данные через сайт.

До 1 января 2030 г. плановые мероприятия могут проводиться только в отношении объектов контроля, отнесенных к категории высокого риска (п. 11(3) Постановления Правительства РФ от 10.03.2022 N 336). Есть исключения для отдельных организаций в соответствии с п. 11(4) того же Постановления.

Внеплановые контрольно-надзорные мероприятия в 2025 году назначаются по определенным основаниям, например по требованию прокурора, в случае утечки информации, содержащей персональные данные, при выявлении индикаторов риска и в других случаях.

См. подробности:

• Готовое решение: В каких случаях Роскомнадзор проводит внеплановые контрольные (надзорные) мероприятия в сфере персональных данных (КонсультантПлюс, 2025) {КонсультантПлюс}

• Вопрос: Какая ответственность предусмотрена за разглашение конфиденциальной информации? (Консультация эксперта, 2025) {КонсультантПлюс}

• Приказ Минцифры России от 15.11.2021 N 1187 (ред. от 01.08.2024) "Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных" {КонсультантПлюс}

Что проверяют в сфере персональных данных

Конкретный перечень документов, которые может запросить для проверки Роскомнадзор, не установлен. Он может отличаться в зависимости от того, какие категории данных вы обрабатываете и как их используете.

Роскомнадзор может проверить, например:

• политику по обработке персональных данных;

• приказ о назначении лица, ответственного за организацию обработки персональных данных (если вы юрлицо);

• документ о внутреннем контроле персональных данных;

• согласия субъектов персональных данных на обработку их данных;

• документы, подтверждающие уничтожение персональных данных по достижении цели их обработки (например, журнал уничтожения персональных данных);

• журнал учета обращений субъектов персональных данных.

Все необходимые для проверки документы будут указаны в запросе на их представление. Если по его содержанию вам будет непонятно, какой именно документ нужно представить, вы можете обратиться к проверяющему. Обычно его контактные данные приводятся в запросе.

См. подробности:

• Готовое решение: Какие существуют требования к обработке персональных данных работников организации (КонсультантПлюс, 2025) {КонсультантПлюс}

• Типовая ситуация: Персональные данные работников: понятие, обработка, защита и передача (Издательство "Главная книга", 2025) {КонсультантПлюс}

• Готовое решение: Какие меры по защите персональных данных работников должны приниматься при обработке этих данных (КонсультантПлюс, 2025) {КонсультантПлюс}

Какие нарушения чаще всего выявляют

Наиболее часто выявляют :

• неполные или недостоверные сведения в уведомлении об обработке персональных данных (например, данные обрабатывались с целью исполнения договоров, а теперь компания использует их для продвижения своих товаров с помощью рассылки, а в реестр операторов новая цель не внесена);

• отсутствие письменного согласия физлица, когда оно обязательно. Возможны как очевидные риски (например, передача своей базы клиентов партнерам с целью продвижения последними своих товаров и услуг), так и не всегда явные (например, при обработке биометрических данных проверяющие могут спросить согласие на фотографирование сотрудников на пропуск или покупку спецодежды по их меркам);

• обработка избыточных персональных данных (например, хранение в личном деле сотрудника копии его паспорта).

Что нужно сделать во время внеплановой выездной проверки

В ходе взаимодействия с проверяющими, в частности, нужно:

• представить необходимые документы (в том числе материалы фотосъемки, аудио- и видеозаписи, информационные базы, банки данных, а также носители информации) в соответствии с требованием о представлении документов. Срок для этого устанавливается в самом требовании (ч. 1, 4 ст. 80 Закона о государственном и муниципальном контроле).

• обеспечить проверяющим доступ к вашим помещениям (п. 1 ч. 2 ст. 29 Закона N 248-ФЗ).

Чаще всего с персональными данными работают сотрудники отдела кадров, бухгалтерии, отдела продаж. Поэтому желательно при наличии возможности заранее предупредить их о проверке и о полномочиях сотрудников Роскомнадзора.

При проведении выездной проверки вы можете отказать инспектору в доступе на объекты контроля, к документам, а также в принятии иных мер по проведению проверки, если в документах Роскомнадзора отсутствует двухмерный штрихкод, который предусмотрен соответствующими Правилами (утв. Постановлением Правительства РФ от 16.04.2021 N 604), либо он нанесен некорректно (п. 7 ст. 36 названного Закона).

Какая ответственность предусмотрена для организации, ИП и руководителя

За несоблюдение требований в сфере персональных данных, невыполнение предписаний Роскомнадзора или непредоставление информации в контролирующий орган вам могут назначить штраф или иное административное наказание. За нарушения в этой сфере привлекают, в частности, по ст. ст. 13.11, 13.11.3, 19.5, 19.7 КоАП РФ.

         Для компании. Основные виды санкций - штрафы, например:

• 60 тыс. - 100 тыс. руб. за обработку персональных данных в не установленных законом случаях или обработка персональных данных, которая не соответствует целям их сбора);

• 300 тыс. - 700 тыс. руб. за обработку персональных данных без письменного согласия физлица или с нарушением требований к его содержанию. За повторное совершение - 1 млн - 1,5 млн руб.;

• 1 млн - 6 млн руб. за несоблюдение правил обработки персональных данных российских граждан на территории РФ (данные хранятся за рубежом, а не в России). За повторное нарушение 6 млн - 18 млн руб.;

• приостановление или запрет на обработку компанией персональных данных до устранения нарушений (фактически это может означать приостановление деятельности компании и значительные убытки);

• блокирование сайта компании, например, за предоставление неограниченному кругу лиц доступа к персональным данным без согласия.
  
  Директору или другому должностному лицу. Основные виды санкций - штрафы, дисквалификация, например:

• штраф 10 тыс. - 20 тыс. руб. за обработку персональных данных в не установленных законом случаях или обработку персональных данных, которая не соответствует целям их сбора;

• штраф 100 тыс. - 300 тыс. руб. за обработку персональных данных без письменного согласия физлица или с нарушением требований к его содержанию. За повторное совершение - 300 тыс. - 500 тыс. руб.;

• штраф 100 тыс. - 200 тыс. руб. за несоблюдение правил обработки персональных данных российских граждан на территории РФ (данные хранятся за рубежом, а не в России), за повторное нарушение 500 тыс. - 800 тыс. руб.;

• штраф до 2 тыс. руб. или дисквалификация до трех лет за невыполнение в установленный срок законного предписания (постановления, представления, решения) органа, осуществляющего госнадзор (контроль), или его должностного лица об устранении нарушения законодательства.

Новшества с 30 мая 2025 года

С 30 мая 2025 года операторам персональных данных грозят крупные штрафы по КоАП РФ за действия (бездействие), из-за которых произошла незаконная передача этих сведений. Начнут применяться более строгие наказания за непредставление Роскомнадзору ряда уведомлений.

См.подробности:

• Обзор: "Новые штрафы за утечку персональных данных и другие нарушения при работе с ними: закон опубликован" (КонсультантПлюс, 2024) {КонсультантПлюс}

Как подготовиться к проверке (другому контрольному мероприятию), чтобы минимизировать риск привлечения к ответственности;

Проверяемому не всегда очевидно, что могут проверить и, соответственно, что нужно подготовить и сделать при проведении контрольного (надзорного) мероприятия. Кроме того, важно не допустить нарушений при взаимодействии с должностными лицами Роскомнадзора в ходе самого мероприятия, так как за это установлены отдельные штрафы.

При подготовке к проверке Роскомнадзора изучите нормативные документы.

Есть три основных документа, которые регламентируют порядок прохождения проверок органами Роскомнадзора:

• Постановление Правительства РФ от 16.03.2009 N 228 (ред. от 18.07.2024) "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" (вместе с "Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций") {КонсультантПлюс} - помогает разобраться со структурой и полномочиями Роскомнадзора.

• Постановление Правительства РФ от 29.06.2021 N 1046 (ред. от 16.12.2021) "О федеральном государственном контроле (надзоре) за обработкой персональных данных" (вместе с "Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных") {КонсультантПлюс} - определяет правила и порядок прохождения инспекционных проверок органами Роскомнадзора. Разъясняет права и обязанности инспекторов и операторов персональных данных, описывает типы проверок, группы риска и дает много другой полезной информации.  

• Приказ Роскомнадзора от 24.12.2021 N 253 (ред. от 10.01.2023) "Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами" {КонсультантПлюс} - с помощью проверочного листа можно выполнить самопроверку.
  
  Однако, если проверяющие уже на пороге, может не быть времени на тщательное изучение нормативных документов.
  
  Совет! Быстро сориентироваться, выяснить, что и как проверяют, что нужно подготовить, как исправить нарушения, вам помогут фирменные материалы КонсультантПлюс:

• Справка: Проверки и другие контрольные (надзорные) мероприятия Роскомнадзора в сфере персональных данных (КонсультантПлюс, 2025) {КонсультантПлюс}

• Готовое решение: Как Роскомнадзор контролирует соблюдение требований в сфере персональных данных (КонсультантПлюс, 2025) {КонсультантПлюс}

• Готовое решение: Как проходят плановые документарные и выездные проверки Роскомнадзора в сфере персональных данных (КонсультантПлюс, 2025) {КонсультантПлюс}

• Готовое решение: Какие меры по защите персональных данных работников должны приниматься при обработке этих данных (КонсультантПлюс, 2025) {КонсультантПлюс}

• Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2025) {КонсультантПлюс}

• Готовое решение: В каком порядке должна осуществляться обработка персональных данных физлиц (КонсультантПлюс, 2025) {КонсультантПлюс}