Url
https://nsign.ru/blog/check-of-roskomnadzor
Name
Как подготовиться к проверке Роскомнадзора по персональным данным — чек-лист и документы
Annotation

Подробное руководство по подготовке к проверке Роскомнадзора: порядок, виды проверок, список документов, частые ошибки и советы экспертов «ЭНСАЙН» по работе с персональными данными.

Blog

Подготовка к проверке Роскомнадзора по обработке персональных данных на веб-ресурсах, корпоративных системах и информационных порталах включает оформление документов, правильную настройку сервисов аналитики вроде Яндекс.Метрики и устранение распространенных ошибок.

Сегодня контроль за соблюдением требований обработки персональных данных стал строже, ведь число проверок сайтов и информационных ресурсов постоянно увеличивается. Повышенный интерес к вопросам защиты данных вызван ростом цифровых технологий, увеличением числа утечек информации и реакцией общественности на подобные инциденты. Регулятор постоянно обновляет правила и усиливает меры надзора, чтобы обеспечить безопасность пользователей. 

В 2025 году акцент смещен на профилактику нарушений. Однако компании, работающие с массивами пользовательской информации (сайты, корпоративные порталы, ретейл, CRM, 1С Битрикс, SaaS-платформы, интернет-магазины), образовательные и медицинские организации, органы власти остаются под особым вниманием проверяющих. Любое обращение гражданина, утечка данных или жалоба способны стать поводом для предупреждения.

Для бизнеса проверки Роскомнадзора нередко становятся источником тревоги. Страхи понятны: штрафы по 152-ФЗ достигают сотен тысяч рублей, возможна блокировка сайта, временное приостановление деятельности и репутационные потери. Но при грамотной подготовке проверка превращается не в стресс, а в оценку зрелости процессов защиты информации.

 

Кого проверяют чаще всего?

Утечки персональных данных в России, основания для проверки Роскомнадзором

 

Источники: interfax.ru, tass.ru, tass.ru/ekonomika, rbc.ru

Проверки Роскомнадзора стали строже: теперь контролируются любые сайты и системы, работающие с персональными данными пользователей, будь то простая форма обратной связи или мощный аналитический инструмент. Важно соблюдать закон, иначе возможны штрафы. Особенно внимательны специалисты ведомства к крупным платформам, собирающим много данных, использующим CRM и аналитику, передавая их другим компаниям или сохраняя в облаках. Причинами внезапных проверок часто становятся жалобы пользователей, некорректные настройки форм согласия и ошибки в защите данных.

 

Как компании узнают о проверке?

Схема работы, выдача акта проверки и предписания Роскомнадзора

Обычно уведомление о проверке приходит официальным письмом или через электронный сервис ведомства, и этот факт отражается в Едином реестре проверок. В уведомлении содержатся: основания проверки, перечень проверяемых требований (например, соблюдение требований по сбору форм, куки, журналам согласий), сроки и формат взаимодействия, а также контактные данные инспектора. Если сайт собирает персональные данные или размещает формы обратной связи, важно, чтобы был назначен ответственный за взаимодействие с РКН и готов к запросам.

Но проверка может начаться без предварительного предупреждения: например, инспектор вправе запросить логи или выписку по формам на почту или в электронном виде. На практике проверки Роскомнадзора сайтов и информационных систем нередко проходят незаметно для владельца ресурса. Инспекторы могут зайти на ресурс под видом обычного пользователя, оценить наличие политики конфиденциальности, корректность баннера Cookies и формы согласия, а затем направить официальный запрос на корпоративную почту. В письме обычно содержится требование пояснить, почему сайт не включен в реестр операторов персональных данных, предоставить перечень применяемых мер защиты информации или копии локальных актов по обработке ПД.

Если сайт устанавливает Cookies или запускает аналитику без согласия пользователя, либо формы обратной связи работают без обязательного чекбокса согласия на обработку ПД, это почти гарантированный повод для внепланового интереса со стороны Роскомнадзора.

Для сайтов часто не требуется отдельного письма-уведомления заранее: проверка может стартовать при анализе публично доступных данных (форма, политика конфиденциальности, куки-баннер) или при получении жалобы. Поэтому сайт должен быть готов: опубликована актуальная политика обработки ПД, формы работают корректно с явным согласием, логи согласий ведутся, настройка аналитики соответствует требованиям. Иначе запрос от РКН может появиться на почте с требованием предоставить логи, журналы, описания процессов.

За несоблюдение требований Роскомнадзора предусмотрены штрафы: физлицам — до 15 тысяч рублей, должностным лицам — до 200 тысяч рублей, юридическим лицам — до полумиллиона рублей.

Какие документы проверяют при работе с информационными системами и сайтами

При проверке фокус смещается на то, как компания реализует обработку ПД пользователей на своих информационных системах и сайтах. Инспекторы оценивают легальность действий, корректность настроек IT-систем.

 

Политика конфиденциальности и обработки данных:

●     должна быть опубликована на сайте и доступна пользователям;

●     описание целей сбора данных, правил их хранения, передачи и удаления;

●     обновление политики при изменении процессов, новых сервисов или интеграций.

 

Явное согласие пользователей:

●     форма согласия на обработку данных (например, через чекбокс при отправке формы обратной связи с соответствующим текстом: “Я даю ООО "название фирмы" согласие на обработку моих данных в соответствии с Политикой защиты персональных данных"

●     отправка данных без нажатого согласия запрещена;

●     хранение информации о согласии в логах с указанием времени, даты и идентификатора пользователя (например, телефонного номера).

 

Настройки IT-систем и защита данных:

●     шаблоны и скрипты для корректного сбора согласий;

●     отдельные серверы для хранения чувствительных данных (документы, биометрия), изолированные от внешнего интернета;

●     шифрование, разграничение прав доступа, резервное копирование и аудит действий пользователей.

 

Автоматизированная и ручная обработка данных:

●     все процессы обработки должны быть задокументированы;

●     контроль доступа сотрудников к системам и данным;

●     журналы регистрации действий пользователей и сотрудников.

 

Ответственные лица:

●     назначение ответственного за обработку данных в информационной системе;

●     фиксирование его полномочий, обязанностей;

●     ведение учета действий, решений по информационной защите.

Эти документы создают основу для оценки ответственности оператора и соблюдения технических и организационных мер защиты. Их отсутствие или утрата актуальности — типовая причина штрафов и предписаний Роскомнадзора.

 

Работа с Яндекс.Метрикой

Во время проверок Роскомнадзор особо следит за правильной настройкой аналитических инструментов, таких как Яндекс.Метрика и Google Analytics. Эти сервисы отслеживают IP-адреса, Cookies-файлы и поведение пользователей, что считается персональными данными. Следовательно, установка счетчиков возможна лишь после получения согласия пользователя на обработку его данных и использование файлов Cookies.

Это технически реализовано следующим образом: до момента нажатия кнопки «Принять» на специальном окне согласия сбор данных не начинается. Необходимо вести журнал фиксации моментов дачи согласия пользователями (включая время, дату и сессионный ID).

ЭНСАЙН оказывает помощь предприятиям в грамотной интеграции и настройке механизмов предоставления согласия: подключаем окна Cookies, адаптируем скрипты аналитики и обеспечиваем соблюдение требований Федерального закона №152-ФЗ («О персональных данных»). Такой подход минимизирует вероятность штрафов и подтверждает ответственный подход к обеспечению безопасности данных клиентов.

 

Действия компании во время проверки и роль интегратора

Когда сайт проверяют, важно действовать последовательно, чтобы минимизировать риски, показать добросовестность. Рекомендуемые шаги:

  • Назначение ответственных лиц. Обычно это IT-специалист, ответственный за систему, и сотрудник юридического отдела. Они координируют показ процессов обработки ПД и ответы на вопросы инспектора.
  • Предоставление актуальной документации. Все формы согласий, журналы логирования действий, политика конфиденциальности и протоколы защиты данных должны быть в актуальном виде.
  • Фиксация действий. Ведение протокола взаимодействия с инспектором, копирование документов, запись даты и времени предоставления данных.
  • Проверка соответствия технических мер. Убедитесь, что системы хранения данных разграничены: чувствительные данные (паспортные данные, сканы документов, биометрия) должны храниться на отдельном сервере с ограниченным доступом и межсетевым экраном, а доступ к ним фиксируется в логах.
  • Обжалование при несогласии. Если инспектор выявляет несоответствия, компания имеет право представить пояснения или исправить нарушения в разумные сроки.

 

Как поможет подрядчик?

Подрядчик играет важную роль в подготовке компаний к проверкам Роскомнадзора. Компания ЭНСАЙН поможет провести аудит ваших систем на предмет соблюдения правил обработки данных, настроит правильное логирование согласий и действий пользователей, обеспечит разделение серверов для хранения различных типов данных, разработает журналы доступа согласно требованиям информационной безопасности, автоматизирует процессы, связанные со сроками хранения персональных данных, даст рекомендации по грамотной организации их хранения и обработки, доработает информационную систему до полного соответствия требованиям ФЗ-152. Сотрудничество с опытным интегратором позволяет заблаговременно выявить и устранить риски, предотвратить или минимизировать возможные штрафы, продемонстрировав проверяющим ответственное отношение компании к выполнению требований законодательства. Свяжитесь с ЭНСАЙН сегодня и получите бесплатную консультацию, обеспечив надежную защиту персональных данных вашего бизнеса от штрафных санкций.

 

Частые вопросы (FAQ)

Что делать, если на сайте нет согласий или журналов логирования?

Даже частичное отсутствие согласий повышает риск штрафа за нарушение ПДн. Необходимо внедрить формы согласия для всех точек сбора данных (обратные формы, аналитика, куки), а также настроить логирование действий пользователей: когда и каким способом было получено согласие. Это позволит доказать соблюдение требований законодательства в случае жалобы или проверки.

Можно ли исправить нарушения «по ходу» работы сайта?

Частично да, но исправления должны быть документированы и доступны инспектору. Лучше заранее убедиться, что формы согласий, политика конфиденциальности и логирование корректны, чтобы не подвергать компанию риску штрафов.

Как должен работать чек согласия на форме обратной связи?

Пользователь должен самостоятельно ставить галочку о согласии на обработку ПД. Форма не должна отправляться без этого согласия. При этом информация о дате, времени и идентификаторе пользователя должна фиксироваться в базе или отдельном журнале.

Кто отвечает за соблюдение правил обработки данных на сайте?

Ответственность несет оператор данных, то есть компания-владелец сайта или информационной системы. Конкретные сотрудники отвечают только при умысле или грубой неосторожности.

Что делать, если сайт обрабатывает паспортные данные, сканы документов, биометрию?

Такие данные требуют отдельного хранения на выделенном сервере с ограниченным доступом и межсетевым экраном. Журналы логирования и разграничение прав доступа обязательны. Интегратор, например «ЭНСАЙН», поможет правильно организовать архитектуру, процессы хранения.

Как интегратор может помочь заранее подготовиться к проверке?

Интегратор проводит аудит системы, настраивает логи, обновляет формы согласий, политику конфиденциальности и инструкции для сотрудников, а также обучает команду безопасной обработке ПД. Это снижает риск штрафных санкций, ускоряет прохождение проверки.