Как подготовиться к проверке Роскомнадзора: советы для малого и среднего бизнеса

Понимание проверок Роскомнадзора

Роскомнадзор отвечает за контроль соответствия бизнеса требованиям закона о персональных данных и коммуникаций. Проверки могут быть плановыми (по графику) или внеплановыми (например, по жалобе клиента). Независимо от вида проверки, инспекторы вправе запрашивать документы, осматривать офис, смотреть работу сайта и даже брать интервью у сотрудников. Поэтому заранее стоит подготовить документы, сайт, сотрудников, IT-доступы и подрядчиков.

Документы и внутренние регламенты

Первое, что проверит Роскомнадзор — наличие и актуальность документов по работе с персональными данными:

• Уведомление об обработке ПДн: если вы собираете контактные данные клиентов или сотрудников, убедитесь, что подали уведомление или уточнили его, если сменился ответственный или изменились цели обработки.
• Политика конфиденциальности (Положение о ПДн): она должна быть размещена на сайте (например, в футере) и отражать реальные практики компании. Если у вас есть открытые формы на сайте (регистрация, подписка на новости, оплата), в каждой из них нужен активный чекбокс на согласие с политикой.
• Внутренние регламенты и приказы: проверьте, оформлен ли документ о назначении ответственного за обработку персональных данных, есть ли инструкции по уничтожению и архивированию данных, журнал регистрации действий и т.п. Все документы должны совпадать с тем, как вы реально работаете.
• Договоры с подрядчиками: если вы передаете данные на хранение или обработку другим компаниям (например, облачным провайдерам, аутсорсерам, IT-специалистам), убедитесь, что заключен договор, соответствующий 152-ФЗ. В договоре должны быть прописаны меры безопасности, сроки хранения и уничтожения данных, а также ответственность подрядчика.
• Согласия и формы: убедитесь, что у вас есть подписанные согласия сотрудников на обработку их персональных данных (фамилия, имя, подпись или электронная регистрация), а клиентам при необходимости направлены соответствующие соглашения (например, при сборе персональных данных через форму на сайте или при обслуживании).

В целом, проведите внутренний аудит: сравните бумажные и электронные регламенты с реальными процессами. Исправьте несоответствия до проверки, чтобы инспектор не нашел «несоответствий по документам».

Сайт и IT-системы

Часто Роскомнадзор обращает внимание на онлайн-присутствие компании и техническую защиту:

• Сайт: проверьте наличие политики конфиденциальности и условий использования (например, в футере сайта), укажите полные реквизиты компании (ИНН, адрес). Убедитесь, что сбор данных через формы (регистрация, заявки, подписка на рассылки) сопровождается явными согласиями. Проверьте cookie-баннер: он должен предлагать выбор категорий файлов cookie и работать в соответствии с законом.
• Доступы и пароли: документируйте, кто из сотрудников имеет доступ к серверу, почте, базам данных. Если человек увольняется, его учётная запись и пароли должны быть сразу деактивированы. Убедитесь, что все важные компьютеры и серверы защищены паролем, а антивирусные базы обновляются автоматически.
• Технические меры защиты: для малого бизнеса достаточно базовых мер — например, файерволы и регулярное резервное копирование. Убедитесь, что у вас есть резервные копии важных данных и план действий на случай инцидента. Проверьте, нет ли утечек — протестируйте сайт с помощью бесплатных онлайн-сервисов на наличие утечек данных или необработанных уязвимостей.
• Логи и мониторинг: настройте ведение журналов входов в систему и попыток несанкционированного доступа. Инспекторы могут запросить технические отчеты о работе систем (журналы аудита). Например, сохраните записи о том, когда кто-либо изменял системные настройки или получал доступ к конфиденциальным файлам.

Такие меры помогут убедиться, что сотрудники соблюдают правила, а ваша IT-инфраструктура защищена.

Сотрудники и подрядчики

Сотрудники должны понимать, что нельзя нарушать правила обработки данных:

• Обучение персонала: проведите инструктаж по работе с персональными данными и защите конфиденциальной информации. Напомните всем, что нельзя хранить личные данные клиентов без необходимости и нужно сразу шифровать или удалять избыточные документы. Зафиксируйте факт обучения — например, в журнале инструктажей или подписанными листами.
• Ответственный за данные: назначьте человека, который следит за документами и контактирует с Роскомнадзором. Проверьте, всё ли у него готово: обновлены ли уведомления, ведутся ли внутренние отчёты, есть ли понимание, какие данные обрабатываются.
• Контрагенты и подрядчики: убедитесь, что с ними подписаны договоры по защите данных. Проверьте, где физически находятся серверы ваших облачных сервисов или провайдеров (если они находятся за границей, возможно, нужно уведомить Роскомнадзор о трансграничной передаче). По возможности запросите у ИТ-подрядчиков отчёты о принятых мерах безопасности — это покажет, что вы контролируете их работу и доверяете лишь проверенным партнёрам.

Важно: соблюдайте реальные бизнес-процессы. Не оформляйте «для галочки» сложные регламенты, которые никто не выполняет. Инспекторы будут проверять фактическую работу: сверят, что согласия на рассылку реально оформлены, что сотрудники знают, куда передавать заявки клиентов, и т.д.

Чек-лист перед визитом

Перед приездом инспектора полезно пройтись по этому списку:

• Проверьте актуальность уведомления об обработке персональных данных в реестре Роскомнадзора.
• Убедитесь, что все ключевые документы (политика, инструкции, договоры с подрядчиками) собраны и соответствуют реальной практике.
• Напомните сотрудникам, что они должны делать, если придет инспектор: чаще всего начнется с проверки документов и вопросов.
• Подготовьте список служб поддержки, к которым можно обратиться в экстренном случае (например, IT-аутсорсера или юриста).
• Проверьте, что на сайте нет ошибок и все формы корректно работают (чтобы избежать дополнительного внимания инспекторов).

Эти шаги помогут вам быть уверенными, что бизнес готов к проверке.

Чем мы можем помочь

Наши эксперты в области информационной безопасности и права помогут вам:

• Провести аудит соответствия 152-ФЗ в компании и на сайте.
• Обновить или разработать внутренние документы (политику конфиденциальности, регламенты, журналы и т.п.).
• Настроить правильную работу сайта: добавить активные чекбоксы, cookie-баннер, политику конфиденциальности.
• Провести инструктаж персонала и зафиксировать обучение.
• Помочь в общении с Роскомнадзором: подготовить ответы на запросы и необходимые пояснения.
• Рекомендовать меры ИТ-безопасности и провести проверку подрядчиков.

Никто не даст 100% гарантии успешного прохождения проверки, но тщательная подготовка существенно снизит риски штрафов и внеплановых визитов. Мы работаем с малым и средним бизнесом и объясняем всё просто и понятно, без бюрократического языка.

FAQ (часто задаваемые вопросы)

Как узнать о предстоящей проверке Роскомнадзора?
О плановых проверках информацию публикует Роскомнадзор. Вы можете проверить, не включена ли ваша компания в план по ИНН. Внеплановую проверку обычно анонсируют за 24 часа (хотя могут и прийти без предупреждения, если есть жалобы).

Что делать, если Роскомнадзор прислал запрос документов?
Соберите запрошенные документы (уведомление в реестре, политику конфиденциальности, договоры с подрядчиками, журналы и т.д.). Ответьте в срок (обычно 10 рабочих дней) и сохраните копии ответов. При сомнениях сразу привлеките юриста.

Какие нарушения Роскомнадзор выявляет чаще всего?
Часто выявляют: отсутствие активных чекбоксов на сайте, просроченное уведомление в реестре, незарегистрированные базы данных, устаревшие или отсутствующие внутренние инструкции. Заранее проверьте эти моменты.

Нужен ли специалист по ИБ перед проверкой?
Желательно, чтобы кто-то проверил систему защиты: обновлены ли антивирусы, настроены ли брандмауэры, есть ли резервные копии. Если у вас нет штатного ИТ-специалиста, можно обратиться к аутсорсерам. Главное — показать, что вы заботитесь о безопасности.

Можно ли гарантировать прохождение проверки?
Нет, никому нельзя дать 100% гарантии успешного прохождения проверки, потому что многое зависит от обстоятельств. Зато тщательная подготовка существенно снижает риск проблем и штрафов.

Кого проверяют чаще всего?
Наибольшие риски у компаний, которые работают с большим объемом чувствительных данных (медицина, e-commerce, обучение). Также внимание регулятора привлекают те, у кого были жалобы клиентов или выявленные утечки. Малый бизнес часто проходит проверки профилактически, но это не значит, что за ним не зайдут: главное — готовность и ответственность.