Отзывы
Консультация
+7 (495) 227 21-11
17+
Наши кейсы
WhatsApp
Написать в Telegram
Услуги и цены
Получить бесплатную предварительную консультацию
WhatsApp
Написать в Telegram
Наши кейсы
17+
Услуги и цены
Публичная оферта
+7 (495) 227 21-11
Консультация
Отзывы
Получить бесплатную предварительную консультацию
Меню
Консультация
Получить бесплатную предварительную консультацию
Написать в WhatsApp
Написать в Telegram

Проверка сайта Роскомнадзором

Когда возможна проверка: Роскомнадзор имеет полномочия проверять сайты на соблюдение требований закона о персональных данных и других информационных норм. Проверка может быть плановой (раз в несколько лет по графику) или внеплановой. Поводы для внеплановой:

  • жалоба пользователя (например, что его данные использовали без согласия),
  • представление прокурора,
  • утечка персональных данных,
  • обнаружение запрещённой информации на сайте (экстремизм, призывы к незаконным действиям, и т.д.).

Роскомнадзор проводит профилактические визиты и контрольные мероприятия по 152-ФЗ.Если ваш сайт собирает и обрабатывает персональные данные, рано или поздно вы можете попасть в поле зрения РКН. Результатом проверки могут стать предписание об устранении нарушений, административный штраф, а при грубых нарушениях – даже блокировка сайта. Поэтому важно заранее быть готовым, чтобы в случае проверки всё прошло благополучно.

Что проверяет Роскомнадзор на сайте

  1. Наличие уведомления о персональных данных: Зарегистрированы ли вы в реестре операторов ПДн. Каждый, кто собирает персональные данные через сайт (имена, телефоны, emails, IP-адреса и пр.), должен официально уведомить Роскомнадзор. Проверяющие попросят ваш регистрационный номер. Если уведомления нет – это нарушение (пусть и штраф за него небольшой, 3–5 тыс. ₽, но это сразу «красный флажок» для инспектора).
  2. Политика обработки ПДн: Должен быть документ на сайте. Инспектор проверит, опубликована ли политика конфиденциальности, и что в ней содержится. Обязательные пункты: сведения об операторе (кто собирает данные), перечень данных, цели и правовые основания обработки, права гражданина, контакты для обращений, меры защиты данных, информация о трансграничной передаче (если актуально). Если политики нет или она явно не соответствует требованиям – будет предписание исправить и штраф (штрафы за отсутствие нужных разделов могут составлять до 30–50 тыс. ₽ для компаний по ст.13.11 КоАП).
  3. Получение согласия пользователей: РКН проверит, как реализована форма согласия на обработку данных. Например, при регистрации на сайте должен быть чекбокс «Я согласен с политикой...». Важно, чтобы без проставления галочки данные не отправлялись. Также инспекторы могут запросить образцы логов или базы, подтверждающих, что согласие действительно сохраняется. Отсутствие согласия – одно из самых частых нарушений.
  4. Договоры с контрагентами: Если вы используете внешние сервисы – например, отправляете email-рассылки через сторонний сервис, пользуетесь облачным хостингом, CRM, – проверяющий спросит: заключён ли договор с этими организациями о поручении им обработки персональных данных. Такой договордолжен быть, как мы упоминали, и РКН может запросить его копию. Если нет – потребуют заключить, а могут и штраф выписать (это тоже нарушение по КоАП).
  5. Внутренние документы по безопасности данных: У компаний должны быть внутренние приказы и инструкции: назначен ответственный за защиту ПДн, утверждён регламент обработки данных, проведён инструктаж сотрудников. Роскомнадзор не всегда углубляется во внутренние бумаги при разовой проверке сайта, но имеет право запросить их. Особенно если проверка не только документарная, но и выездная (например, профилактический визит) – тогда попросят показать приказ о назначении ответственного, журнал учета обращений субъектов ПДн, план действий при утечках.
  6. Соответствие реальнойпрактики заявленным правилам: Инспекторы сравнят, что написано в вашей политике и уведомлении, с тем, что на самом деле происходит. Например, если в политике указано «данные не передаются третьим лицам», а на сайте установлен счётчик Яндекс.Метрики или чат, отправляющий данные внешнему сервису– это несоответствие, его могут трактовать как нарушение. Или вы заявилицель «обработка для исполнения договора», а на самом деле шлёте рассылку рекламную без отдельного согласия – тоже проблема. Поэтому все сведения в документах должны быть правдивыми и актуальными.
  7. Защита данных на практике: Могут спросить, где физически хранятся данные (серверы должны быть в РФ для российских персональных данных – требование локализации). Проверят, есть ли на сайте SSL- сертификат, как ограничен доступ к базам с данными, какие меры кибербезопасности применяются (пароли, антивирус, резервное копирование). Если у вас крупный проект, могут интересоваться, проводилось ли тестирование на уязвимости. Конечно, Роскомнадзор не взламывает сайты при проверке, но вопросы про безопасность задаёт – особенно после вступления новых требований в силу.
Как подготовиться заранее

Аудит документов и настроек: Пройдитесь по списку выше. Убедитесь, что политика конфиденциальности есть и свежая, уведомление вы подали, галочки стоят в формах, все необходимые договора заключены. Если чего-то нет – исправьте сейчас, не дожидаясь проверки.

  • Проведите внутреннюю проверку: Встаньте на место инспектора или наймите юриста для аудита сайта. Он как раз обнаружит слабые места. Например, обнаружит, что на странице контактов есть форма без флажка согласия – это нужно поправить. Или что уведомление подавалось 3 года назад и с тех пор вы начали собирать больше данных – надо внести изменения. Внутренний аудит лучше провести по чек-листу Роскомнадзора.
  • Обучите сотрудников: Все, кто работает с данными (операторы колл-центра, маркетолог, админ сайта), должны понимать правила. Проведите с ними инструктаж, возьмите расписку/подпись, что ознакомлены с политикой. При проверке полезно показать инспектору, что сотрудники обучены и ответственность назначена – это плюс.
  • Назначьте ответственного за встречу с проверяющими: Если у вас компания, определите заранее, кто будет общаться с инспектором. Этот человек должен знать, где лежат все документы (политика, договоры, приказы) и уметь их быстро предоставить. Обычно этим занимается либо юрист фирмы, либо руководитель. Также, когда придёт официальное уведомление о проверке, лучше сразу подключить юриста – хотя бы для консультации, чтобы все ответы инспектору были корректными.

Что делать, если проверка началась

  1. Не паниковать и сотрудничать: Спокойно встречайте инспектора, попросите предъявить служебное удостоверение и распоряжение о проверке. Не пытайтесь скрыть или срочно исправить что-то на глазах проверяющего – это только вызовет подозрения. Лучше открыто предоставлять запрашиваемые сведения.
  2. Фиксируйте процесс: Узнайте точно основание и формат проверки. Если это внеплановая проверка по жалобе, вам должны сообщить, какая жалоба. Проверьте, соблюдены ли сроки и процедуры (например, вас должны уведомлять о внеплановой проверке за 24 часа, кроме особых случаев). Если процедура нарушена, в будущем это повод оспорить результаты
  3. Давать пояснения: Если инспектор находит нарушения, у вас будет возможность предоставить письменные пояснения или возражения к акту проверки. Воспользуйтесь этим: вместе с юристом подготовьте обоснования, например, что нарушение уже устранено или было техническим сбоем, или что оно несущественное. Грамотно составленные возражения могут привести к тому, что вам выпишут только предупреждение, без штрафа.
  4. Устранять по горячим следам: Многие недочёты можно исправить прямо в ходе проверки или сразу после. Например, инспектор указал, что нет политики – вы оперативно публикуете её в тот же день. Или обнаружился старый бланк согласия – вы тут же обновляете формы. Если нарушения будут устранены до момента вынесения решения, Роскомнадзор может ограничиться предписанием без штрафа.

После проверки

  • Если вам выдали предписание, его надо выполнить в указанные сроки (обычно 30–90 дней) и отчитаться в Роскомнадзор, представив доказательства (например, копию обновлённой политики, номер поданного уведомления и т.д.).
  • Если наложили штраф (постановление), у вас есть право в течение 10 дней подать жалобу в суд, если считаете штраф несправедливым. Либо можно оплатить его с 50% скидкой в первые 20 дней (если нарушение признано и споритьнет смысла).
  • В случае блокировки сайта (такое возможно,если выявлены грубые нарушения, и вы не устранили их) – порядок действий как при любой блокировке: устраняете причины, затем с помощью юриста подаёте ходатайство об исключении сайта из реестра запрещённых. При подтверждении, что всё исправлено, блокировку снимут.

Возможные штрафы

За нарушения в сфере персональных данных основные санкции предусмотрены ст.13.11 КоАП РФ.

Размеры штрафов:

  • за отсутствие уведомления – до 5 000 ₽;
  • за отсутствие политикиили согласия – до 30 000–50 000 ₽;
  • за несоблюдение мер безопасности – до
  • 100 000 ₽; за утечку данных – до 500 000 ₽.

Повторные нарушения грозят повышенными штрафами и даже дисквалификацией должностного лица. Однако цель – не штрафовать, а обеспечить защиту данных, поэтому, если вы будете добросовестны и быстро всё исправите, наказание может быть минимальным.

Совет от юриста: Готовьтесь к проверке Роскомнадзора так же тщательно, как к аудиту налоговой. Это не формальность – инспекторы действительно выявляют много нарушений у IT- бизнесов. Желательно хотя бы раз в год проводить правовой аудит сайта: проверить актуальность политики, наличие всех нужных галочек, безопасность хранения данных. Особенно если вы вводите новые сервисы на сайте (например, онлайн-чат или сбор аналитики) – обновляйте документы под эти изменения. Такая профилактика значительно снижает шансы получить штраф. А если проверка всё же случилась – не спорьте агрессивно с инспектором,