Роскомнадзор и персональные данные: что проверяют и как подготовиться

Когда речь заходит о проверках многие предприниматели думают: «Моя компания — это не банк и не госструктура, меня это не касается». На практике всё иначе. Роскомнадзор проверяет соблюдение закона о персональных данных у любого бизнеса, в котором хоть раз записали имя, телефон или email клиента.

Заявки через сайт или мессенджеры, рассылка акций — всё это уже обработка персональных данных. А значит, вы — оператор ПДн и подпадаете под требования закона.

Дарья Лысенко, финансовый директор Нескучных, рассказала, что именно проверяют, какие документы нужны, как подготовить сайт и системы, как вести себя при проверке и какая ответственность грозит за нарушения.

Содержание

Основы контроля: что и как проверяет Роскомнадзор

Обязательная документация: что должно быть готово к проверке

Как подготовить сайт и сервисы к проверке Роскомнадзора

Как проходит проверка и как взаимодействовать с Роскомнадзором

Итоги проверки и ответственность за нарушения

Проверка Роскомнадзора: в двух словах

Поможем снизить риски и масштабировать бизнес

Основы контроля: что и как проверяет Роскомнадзор

Основание для проверки одно — закон №152-ФЗ «О персональных данных». Он распространяется на любой бизнес, который собирает и использует данные клиентов: имя, телефон, email, адрес доставки и другие идентификаторы.

Если вы:

• принимаете заявки

• храните контакты

• передаёте данные подрядчикам (курьерам, бухгалтерам)

• используете их для рассылок или аналитики

— значит обязаны соблюдать требования закона.

Регулятор смотрит всю цепочку обработки данных:

• Сбор — есть ли законное основание и согласие клиента

• Хранение — где и как лежат данные (CRM, облака, таблицы)

• Передача — кому вы передаёте данные и на каком основании

• Уничтожение — удаляете ли базы, когда цель обработки достигнута

Проверки бывают:

• Плановые — компания включена в ежегодный план (публикуется на портале проверок). Уведомляют минимум за 3 рабочих дня.

• Внеплановые — по жалобе, по истечении срока предписания или при признаках нарушения. Иногда — без предупреждения (редко и по особым основаниям).

По формату проверки делятся на:

• Документарные — Роскомнадзор запрашивает документы, вы отправляете сканы в установленный срок.

• Выездные — инспекторы приезжают в офис, смотрят организацию доступа к данным, системы и журналы учёта.

Шаблон платежного календаря

Скачайте шаблон для использования в гугл таблицах.
Если будет трудно, мы в письмо положили видеоинструкцию

Получить

  Даю свое согласие на обработку персональных данных в соответствии с политикой конфиденциальности и принимаю условия публичной оферты

Обязательная документация: что должно быть готово к проверке

Базовый комплект должен быть у всех, в том числе у ИП. Если документов нет — это уже нарушение, даже при идеальной технической защите.

Что он включает:

• Политику обработки персональных данных. Официальный документ, в котором должно быть прописано: какие данные вы собираете, с какой целью, сколько храните, кому передаёте, какие меры защиты применяете.

Политика должна быть доступна: ссылка в футере сайта (блоке в нижней части страницы) и рядом с формами для сбора данных.

• Согласие субъекта персональных данных. Согласие должно быть добровольным и осознанным.

Правильно: отдельный чек-бокс без галочки по умолчанию + понятный текст цели.

Неправильно: мелкий текст в пользовательском соглашении или «скрытое» согласие (например, включённое в пользовательское соглашение).

• Приказ о назначении ответственного за ПДн. Такой приказ нужен даже если вы ИП и работаете один. Документ подтверждает, что ответственность осознана и закреплена.

• Договоры с подрядчиками. Если бухгалтерия, CRM, колл-центр или курьер работают с данными клиентов — в договоре должно быть условие о соблюдении требований 152-ФЗ.

Как подготовить сайт и сервисы к проверке Роскомнадзора

Сайт и IT-системы — первое, с чего обычно начинается проверка Роскомнадзора. Даже если у компании нет офиса, сотрудников и сложной инфраструктуры, форма заявки на лендинге, онлайн-чат или подключённая CRM уже считаются полноценными каналами обработки персональных данных.

Инспектор заходит на сайт как обычный пользователь, смотрит, как именно собираются данные, фиксирует это скриншотами и сопоставляет увиденное с требованиями закона и внутренними документами компании.

Именно поэтому технические «мелочи» — расположение ссылки на политику, поведение чек-бокса согласия, способ передачи и хранения данных — на практике оказываются одними из самых частых причин штрафов.

Что проверяют в первую очередь

• Размещение политики ПДн. Ссылка должна быть рядом с формой, а не где-то глубоко в меню.

• Чек-боксы согласия. Галочка не должна стоять по умолчанию. Иначе согласие признают недобровольным.

• HTTPS и защита передачи данных. HTTPS — это базовая защита данных при передаче с сайта. Если форма отправляется по обычному HTTP, персональные данные клиента передаются без шифрования, и это считается нарушением требований к их защите. Проблема решается с помощью бесплатного SSL-сертификата. После его подключения сайт начинает безопасно передавать данные по HTTPS.

• Хранение и доступ. Проверьте: кто имеет доступ к данным, есть ли пароли и двухфакторная аутентификация и защищена ли база от скачивания.

Как проходит проверка и как взаимодействовать с Роскомнадзором

Почти всегда для предпринимателей проверка — самый тревожный этап: непонятно, что именно будут смотреть, как общаться с инспектором и можно ли что-то сделать не так одним неловким ответом. На практике ход проверки и правила взаимодействия с Роскомнадзором чётко определены законом.

Спокойное и организованное поведение, проверка полномочий инспекторов и заранее подготовленные документы помогают пройти процедуру без лишнего стресса и не усугубить ситуацию, даже если нарушения действительно есть.

Как вести себя при проверке:

• Проверьте основания. Инспектор обязан предъявить удостоверение и приказ. При внеплановой проверке — указать причину.

• Назначьте одного ответственного. Все запросы и ответы стоит направлять через одного человека. Так вы снизите риск ошибок.

• Подготовьте документы заранее. Например, соберите все в электронной папке и дополнительно распечатайте необходимые документы.

• Не отказывайтесь от проверки. Даже если считаете её незаконной: за отказ может последовать административное нарушение.

Чего делать не стоит:

• удалять данные «на всякий случай»;

• уверять, что в компании всё в порядке и проверять документы не обязательно;

• игнорировать запросы и сроки ответа.

Простым языком про наведение порядка в бизнесе

8 бесплатных уроков о финансах, написанные понятным языком

Получить

  Даю свое согласие на обработку персональных данных в соответствии с политикой конфиденциальности и принимаю условия публичной оферты

Итоги проверки и ответственность за нарушения

По итогам составляют акт проверки. Если выявлены нарушения инспектор выдаёт предписание с конкретными сроками на устранение.

Штрафы за нарушения следующие:

• Базовые нарушения (нет политики, некорректное согласие):
  — ИП: от 10 000 до 100 000 ₽
  — ООО: от 30 000 до 300 000 ₽

• Обработка без законных оснований или согласия:
  — ИП: до 150 000 ₽
  — ООО: до 500 000 ₽

• Утечки и грубые нарушения — возможны многомиллионные и оборотные штрафы.

При повторном нарушении сумма штрафа увеличивается.

Диагностика бизнеса от Нескучных

Обсудим текущее положение дел в вашем бизнесе и актуальные задачи. Найдем эффективные точки роста и составим план действий

Записаться

  Даю свое согласие на обработку персональных данных в соответствии с политикой конфиденциальности и принимаю условия публичной оферты

На самом деле корректные документы, аккуратные формы на сайте и базовая безопасность закрывают большую часть рисков.

Если бизнес небольшой, к проверке Роскомнадзора часто можно подготовиться самостоятельно. Если же речь идёт о чувствительных данных (информация о здоровье, данные о частной жизни), передаче информации за рубеж или уже полученной жалобе, лучше привлечь специалиста — профилактика обходится намного дешевле штрафов и лишних переживаний.

Проверка Роскомнадзора: в двух словах

• Проверка Роскомнадзора касается любого бизнеса, который собирает хотя бы имя, телефон или email клиента, независимо от размера компании и наличия офиса.

• Большинство штрафов связано не со «взломами», а с базовыми ошибками: отсутствием документов, некорректным согласием, неправильно настроенными формами на сайте и передачей данных подрядчикам без договоров.

• К проверке можно подготовиться заранее: корректные документы, аккуратный сайт и базовые меры безопасности закрывают основную часть рисков

Поможем снизить риски и масштабировать бизнес

Финансовые директора Нескучных помогут заложить безопасную основу для роста и масштабирования бизнеса без штрафов, блокировок и неожиданных остановок процессов.

• Из-за бонусов сотрудники зарабатывали больше гендиректора. Разобрались!

• Финспецназ: разработали систему мотивации

• Сделали +2,5 млн рублей к маржинальному доходу в кризис

• Увеличили рентабельность собственного капитала с 24 до 48%

• Увеличили чистую прибыль в 14 раз и сократили возврат дебиторки

• Заткнули дыру, в которую 6 лет утекало до 150 000 ₽ в месяц

Для решения вопросов, связанных с финансами, доступны Нескучные сервисы:

• Финансовый директор на аутсорсинге

• Финансовый аудит

Наши финдиры работают с бизнесом из разных сфер: от стоматологий до айти- и строительных компаний. Везде наводят порядок в финансах, настраивают управленческий учет, помогают увеличить прибыль и избавиться от кассовых разрывов.

Вы тоже можете начать работать с нами: тип бизнеса, город и даже страна не важны. Мы работаем онлайн, поэтому можем сотрудничать с бизнесом из любых городов России, СНГ и Европы.

А самый простой способ подробнее узнать о работе финансового директора — это онлайн-экскурсия ↓