Получить бесплатную предварительную консультацию
Получить бесплатную предварительную консультацию
Проверка сайта Роскомнадзором
Проверка сайта Роскомнадзором — это реальная процедура, которая может затронуть любой интернет-ресурс, обрабатывающий персональные данные пользователей. Основанием для проверки может стать плановая инспекция, жалоба гражданина, запрос из другого госоргана или выборочная проверка по отраслевому признаку. Вне зависимости от повода, проверка может обернуться штрафами, предписанием, а в ряде случаев — блокировкой сайта. Поэтому крайне важно понимать, что именно проверяет Роскомнадзор, как подготовиться к проверке и как действовать при выявлении нарушений.
Когда Роскомнадзор имеет право проверять сайты
Полномочия Роскомнадзора регламентированы федеральным законом № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля». Основания для проверки сайта могут быть следующими:
– Плановая проверка (обычно проводится раз в три года по утверждённому графику);
– Внеплановая проверка (по жалобе пользователя, по запросу прокуратуры, при утечке персональных данных);
– Проверка по факту выявления запрещённой информации (наркотики, экстремизм, призывы к суициду, порнография);
– Контрольное мероприятие по закону № 152-ФЗ (в части обработки персональных данных).
При этом проверка может быть документарной (анализ документов оператора) или выездной, когда представители Роскомнадзора проверяют фактическую деятельность организации и сайта.
Что именно проверяет Роскомнадзор
При проверке сайта инспекторы обращают внимание на следующие ключевые аспекты:
– положение об обработке ПДн;
– инструкции для сотрудников;
– журналы учёта обращений субъектов;
– инструкции по реагированию на инциденты.
Когда Роскомнадзор имеет право проверять сайты
Полномочия Роскомнадзора регламентированы федеральным законом № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля». Основания для проверки сайта могут быть следующими:
– Плановая проверка (обычно проводится раз в три года по утверждённому графику);
– Внеплановая проверка (по жалобе пользователя, по запросу прокуратуры, при утечке персональных данных);
– Проверка по факту выявления запрещённой информации (наркотики, экстремизм, призывы к суициду, порнография);
– Контрольное мероприятие по закону № 152-ФЗ (в части обработки персональных данных).
При этом проверка может быть документарной (анализ документов оператора) или выездной, когда представители Роскомнадзора проверяют фактическую деятельность организации и сайта.
Что именно проверяет Роскомнадзор
При проверке сайта инспекторы обращают внимание на следующие ключевые аспекты:
- Наличие уведомления о постановке на учёт в реестре операторов персональных данных. Каждый сайт, обрабатывающий ПДн (имя, телефон, email, IP), должен быть зарегистрирован в Роскомнадзоре. Уведомление подаётся онлайн. Отсутствие — административное нарушение.
- Наличие и содержание политики обработки персональных данных. Политика должна быть доступна на сайте, содержать все обязательные положения: сведения об операторе, перечень и цели обработки данных, права субъектов, информацию о передаче и защите данных.
- Факт получения согласия пользователя на обработку данных. На сайте должны быть предусмотрены механизмы получения согласия до начала обработки: чекбоксы, форма согласия, логирование. Согласие должно быть добровольным, информированным и фиксируемым.
- Договоры с третьими лицами, которым передаются данные. Если данные передаются подрядчикам (email-рассылки, CRM, хостинг, платёжные шлюзы), должны быть заключены договоры поручения обработки ПДн.
- Внутренние регламенты по защите персональных данных.Организация обязана иметь:
– положение об обработке ПДн;
– инструкции для сотрудников;
– журналы учёта обращений субъектов;
– инструкции по реагированию на инциденты.
- Соответствие обработки данных заявленным целям. Цели, указанные в политике и уведомлении в Роскомнадзор, должны совпадать с реальной практикой сайта.
- Физическая безопасность информации. Если ПДн хранятся на серверах или в локальных CRM, проверяется, как осуществляется защита: пароли, ограничение доступа, резервные копии, антивирусное ПО и пр.
Как подготовиться к проверке
Проверить наличие и актуальность всех юридических документов
– Политика обработки ПДн размещена на сайте;
– Согласие на обработку реализовано технически;
– Уведомление в Роскомнадзор подано;
– Договоры с третьими лицами оформлены;
– Назначен ответственный за ПДн.
Провести внутренний аудит
Юрист или специалист по защите информации должен пройтись по каждому этапу обработки данных и убедиться, что процедура соответствует законодательству. Желательно иметь чек-лист или план обработки, который можно предъявить инспектору.
Обучить сотрудников
Сотрудники, имеющие доступ к персональным данным, должны быть ознакомлены с политикой и подписать соответствующие инструкции или положения. Роскомнадзор может запросить документы, подтверждающие проведение инструктажей.
Подготовить ответственные лица к взаимодействию с проверяющими
Лицо, встречающее проверяющих, должно знать, какие документы есть, где они хранятся и кто отвечает за юридическую часть. Желательно сразу подключить юриста.
Что делать, если проверка уже началась
Что делать после проверки
– если вы получили акт и предписание, важно выполнить все указанные действия в срок и направить подтверждение в Роскомнадзор;
– при получении постановления о штрафе — можно оплатить его или оспорить через суд, особенно если есть основания (например, нарушение процедуры, непропорциональность наказания);
– при блокировке ресурса (если выявлены серьёзные нарушения) — юрист готовит заявление об устранении нарушений и ходатайство об исключении из реестра запрещённых сайтов.
Штрафы, которые могут быть наложены
Статья 13.11 КоАП РФ предусматривает:
– от 10 000 до 75 000 рублей за обработку без согласия;
– от 30 000 до 150 000 рублей за отсутствие мер защиты;
– до 500 000 рублей за утечку данных и систематические нарушения.
При повторных или грубых нарушениях возможно возбуждение административного дела в отношении руководителя или блокировка сайта.
Проверить наличие и актуальность всех юридических документов
– Политика обработки ПДн размещена на сайте;
– Согласие на обработку реализовано технически;
– Уведомление в Роскомнадзор подано;
– Договоры с третьими лицами оформлены;
– Назначен ответственный за ПДн.
Провести внутренний аудит
Юрист или специалист по защите информации должен пройтись по каждому этапу обработки данных и убедиться, что процедура соответствует законодательству. Желательно иметь чек-лист или план обработки, который можно предъявить инспектору.
Обучить сотрудников
Сотрудники, имеющие доступ к персональным данным, должны быть ознакомлены с политикой и подписать соответствующие инструкции или положения. Роскомнадзор может запросить документы, подтверждающие проведение инструктажей.
Подготовить ответственные лица к взаимодействию с проверяющими
Лицо, встречающее проверяющих, должно знать, какие документы есть, где они хранятся и кто отвечает за юридическую часть. Желательно сразу подключить юриста.
Что делать, если проверка уже началась
- Не паниковать и не прятать информацию. Сотрудничество с органами и открытость повышают шансы на мягкое решение. Сокрытие документов или отказ от взаимодействия может быть расценено как отягчающее обстоятельство.
- Проверить основания и сроки проведения проверки. Запросите удостоверения, приказ о проверке, основание и срок. Проведение проверки с нарушением процедуры — повод для обжалования её результатов.
- Подать пояснения или возражения. В случае выявления нарушений у вас есть право подать пояснение или акт с возражениями. Юрист поможет правильно оформить формулировки, снизить риски и, при необходимости, оспорить итоги проверки в суде.
- Устранить нарушения до назначения наказания. Если в процессе проверки устранить нарушения (разместить политику, получить согласие, доработать формы), это может быть учтено при вынесении решения и приведёт к предписанию без штрафа.
Что делать после проверки
– если вы получили акт и предписание, важно выполнить все указанные действия в срок и направить подтверждение в Роскомнадзор;
– при получении постановления о штрафе — можно оплатить его или оспорить через суд, особенно если есть основания (например, нарушение процедуры, непропорциональность наказания);
– при блокировке ресурса (если выявлены серьёзные нарушения) — юрист готовит заявление об устранении нарушений и ходатайство об исключении из реестра запрещённых сайтов.
Штрафы, которые могут быть наложены
Статья 13.11 КоАП РФ предусматривает:
– от 10 000 до 75 000 рублей за обработку без согласия;
– от 30 000 до 150 000 рублей за отсутствие мер защиты;
– до 500 000 рублей за утечку данных и систематические нарушения.
При повторных или грубых нарушениях возможно возбуждение административного дела в отношении руководителя или блокировка сайта.