Отзывы
Консультация
+7 (495) 227 21-11
17+
Наши кейсы
WhatsApp
Написать в Telegram
Услуги и цены
Получить бесплатную предварительную консультацию
WhatsApp
Написать в Telegram
Наши кейсы
17+
Услуги и цены
Публичная оферта
+7 (495) 227 21-11
Консультация
Отзывы
Получить бесплатную предварительную консультацию
Меню
Консультация
Получить бесплатную предварительную консультацию
Написать в WhatsApp
Написать в Telegram

Подготовка сайта к профилактическому визиту РКН

Профилактический визит Роскомнадзора – это относительно новая форма общения регулятора с бизнесом, которая проводится для предупреждения нарушений в сфере персональных данных. Если вашему сайту назначен такой визит, следует отнестись к нему серьёзно: хотя меры носят рекомендательный характер, результаты визита покажут, всё ли у вас в порядке. Как подготовиться к профилактическому визиту РКН:

  • Поймите формат визита. Обычно это онлайн-встреча (видеоконференция) с сотрудниками Роскомнадзора и десятком-другим других компаний. До встречи РКН запрашивает у вас письменные сведения об обработке ПД: цели и правовые основания обработки, наличие политики конфиденциальности, где находятся серверы с данными граждан РФ, источники получения данных и пр. На основе этих сведений РКН предварительно проверит ваш сайт и документы, а во время самой конференции может задавать уточняющие вопросы и затем выдаст акт с рекомендациями.
  • Актуализируйте уведомление об обработке ПД. Один из первых аспектов, на который обращает внимание Роскомнадзор, – соответствие ваших реальных процессов тем сведениям, что вы подавали в уведомлении об обработке ПД. Часто у компаний либо вовсе нет такого уведомления, либо оно устарело (например, подано до 2022 года и отражает только данные сотрудников. Проверьте себя в реестре операторов ПД на сайте РКН по ИНН. Если вы не подавали уведомление, а должны были – подайте его немедленно. Если подавали, но у вас появились новые категории данных, новые цели или трансграничная передача – направьте в РКН уведомление об изменении сведений. Несоответствие уведомления реальности – одно из типовых нарушений, которые выявляются на визите.
  • Проведите экспресс-аудит перед визитом. Фактически профилактический визит – это «мини-аудит» вашего проекта Роскомнадзором. Выгодно самим заранее обнаружить и устранить слабые места. Проверьте наличие всех обязательных документов на сайте (политика, согласие и пр.), локальных актов в компании (приказ о ответственном, положение о политике безопасности персональных данных и т.д.). Убедитесь, что персональные данные граждан РФ хранятся на территории РФ (РКН специально спрашивает о местонахождении серверов). Если используете иностранные сервисы (Google, облака) – как минимум будьте готовы объяснить их наличие и представить дополнительные уведомления, иначе лучше не афишировать это лишний раз.
  • Продумайте ответы на запрос РКН. Перед встречей вам пришлют перечень вопросов. Отнеситесь к заполнению ответов ответственно: предоставляйте полные и достоверные сведения, но без «самооговора». Например, не стоит добровольно упоминать, что вы используете Google Analytics, если это нигде не отражено и уведомление не подавалось – вы лишь подтвердите нарушение (трансграничная передача без уведомления, штраф до 100 тыс. руб. для ИП / 500 тыс. для юрлица). Аналогично, не пишите, что храните данные на зарубежных серверах – это прямое нарушение локализации (штраф до 6 млн руб. для компаний). Лучше сообщить: «данные хранятся на серверах в РФ, Google-сервисы не используются» – если фактическое использование минимально, это убережёт от сразу двух крупных штрафов. В общем, отвечайте правдиво, но и лишнего не раскрывайте, чтобы не навлечь проверки по другим фронтам.
  • Исправьте выявленные недочёты по итогам визита. После конференции Роскомнадзор составит акт, где перечислит обнаруженные нарушения и рекомендации по их устранению. Отнеситесь к ним внимательно – хотя акт носит рекомендационный характер, через некоторое время РКН может провести внеплановую проверку и спросить, что выполнено. Цель профилактического визита – помочь вам избежать штрафов, поэтому исправление нарушений в ваших же интересах. Например, РКН может порекомендовать обновить уведомление, добавить недостающие пункты в политику, обеспечить локализацию – лучше исполнить это добровольно и отчитаться, что всё сделано.
Профилактический визит – это не карающая процедура, а шанс задать вопросы надзорному органу и получить ценные подсказки. Отказываться от визита не стоит (закон позволяет, но тогда вы теряете «щит» добросовестности). Если чувствуете неуверенность, привлеките юриста, разбирающегося в тематике ПД. Специалист поможет грамотно составить ответы РКН, присутствовать на видеовстрече, а при необходимости – подготовить внутренние документы и процессы "под ключ". В итоге, правильно подготовившись, вы пройдёте профилактический контроль спокойно, без штрафов, и получите официальное подтверждение, что ваш сайт работает в рамках закона (это, кстати, конкурентное преимущество на рынке)