Сопровождение проверок Роскомнадзора по персональным данным

С какими ситуациями к нам приходят

Обычно к нам обращаются не в момент "плановой подготовки", а когда вопрос уже стал срочным. Пришел запрос, назначили визит, всплыли пробелы в документах, обнаружилось, что сайт и внутренняя практика живут отдельно друг от друга. В такой ситуации компании нужен не общий рассказ про 152-ФЗ, а понятный план действий.

Мы подключаемся, если:

• получили запрос или уведомление от Роскомнадзора и нужно быстро понять, как отвечать
• назначен профилактический визит и нет уверенности, что компания к нему готова
• уведомление в реестр подавалось давно и непонятно, совпадает ли оно с реальной обработкой
• на сайте опубликована политика, но внутренних документов, регламентов и приказов нет или они устарели
• в компании есть формы на сайте, CRM, рассылки, коллтрекинг, подрядчики с доступом к данным, а общая правовая логика не собрана
• произошла утечка или есть риск, что инцидент выйдет в плоскость жалобы, запроса или проверки
• перед визитом или проверкой нужно срочно собрать комплект документов и привести в порядок базовые процессы

Частая проблема в том, что бизнес уверен: если политика на сайте опубликована, значит все более или менее закрыто. На практике этого почти никогда недостаточно. Роскомнадзор смотрит шире: как именно компания собирает данные, на каком основании их обрабатывает, кому передает, как хранит, кто отвечает за внутренний контроль и совпадает ли реальная практика с тем, что написано в документах.

Что именно проверяет Роскомнадзор

Роскомнадзор оценивает не только внешний контур, который виден на сайте. Проверка касается и документов, и внутренних процессов, и того, как персональные данные реально движутся внутри компании. Поэтому вопрос почти всегда упирается не в один документ, а в связку: сайт, формы сбора, уведомление, локальные акты, договоры, доступы, безопасность, хранение и удаление данных.

Обычно в фокусе такие вопросы.

Правовые основания обработки

Компания должна понимать, почему она вообще обрабатывает персональные данные в каждом конкретном процессе. Недостаточно формально сослаться на согласие. Нужно, чтобы основания были выбраны корректно и соответствовали реальной деятельности: кадровому учету, работе с клиентами, маркетингу, заявкам с сайта, договорам, пропускному режиму, видеонаблюдению и другим процессам.

Категории персональных данных

Важно не только то, что компания собирает данные, но и какие именно данные она собирает. На практике часто оказывается, что фактический объем шире, чем кажется: к базовым данным добавляются история обращений, записи разговоров, IP-адреса, cookies, данные из CRM, сведения от подрядчиков, данные соискателей и сотрудников.

Формы согласий

Роскомнадзор смотрит, как оформлены согласия и когда они действительно нужны. Здесь быстро проявляются типовые ошибки: универсальные формулировки "на все", отсутствие отдельного согласия на рекламу, смешение разных целей в одном тексте, оторванность согласия от реального пользовательского пути на сайте или в форме заявки.

Уведомление в Роскомнадзор

Один из самых частых вопросов - подано ли уведомление и отражает ли оно фактическую обработку. Во многих компаниях уведомление либо не подавалось вовсе, либо подавалось формально, а потом бизнес менялся: добавлялись новые процессы, подрядчики, сервисы, каналы маркетинга, новые категории субъектов и новые цели обработки.

Политика и локальные акты

Политика на сайте - это только часть картины. Кроме нее, проверяют внутренние документы: положения, регламенты, порядок доступа, распределение ответственности, внутренний контроль, процедуры реагирования на инциденты, правила хранения и удаления данных. Если опубликованный документ существует сам по себе, а внутри компании ничего не оформлено, это быстро становится видно.

Поручение обработки подрядчикам

Если к данным получают доступ разработчики, интеграторы, колл-центр, HR-платформа, облачный сервис, маркетинговый подрядчик или другой внешний контрагент, это нужно правильно оформлять. Здесь часто возникает разрыв между фактической передачей доступа и договорной обвязкой. Формально данные уже обрабатываются, а юридическая конструкция не собрана.

Меры безопасности

Речь не только про IT-защиту в узком смысле. Роскомнадзор интересует, какие меры приняты для защиты данных, кто имеет доступ, как ограничиваются права пользователей, как ведется учет, что происходит при инциденте, как устроена внутренняя дисциплина в части обработки персональных данных.

Порядок удаления и уничтожения данных

Почти в каждой второй компании данные собираются заметно лучше, чем удаляются. На проверке это становится отдельной точкой риска. Важно, есть ли понятные сроки хранения, как компания прекращает обработку, как удаляет данные из систем и архивов, и можно ли это подтвердить документально.

В каком формате может начаться контроль

Для бизнеса это один из самых запутанных моментов. Компании часто называют любое взаимодействие с Роскомнадзором "проверкой", хотя правовой режим и последствия у разных форм контроля различаются. Поэтому важно сразу понимать, что именно началось и как на это реагировать.

Профилактический визит

Это не классическая проверка, а формат профилактического взаимодействия. Но относиться к нему как к чему-то чисто формальному не стоит. Во время такого визита Роскомнадзор смотрит, как компания организовала работу с персональными данными, задает вопросы по процессам и документам, обращает внимание на уязвимые места. Для бизнеса это шанс увидеть проблему до того, как она перейдет в жесткий контрольный сценарий. Но только если к визиту действительно подготовиться.

Обязательный профилактический визит

В некоторых случаях визит проводится не по инициативе самой компании и не как свободная консультация, а в обязательном порядке. Для бизнеса разница простая: игнорировать такой формат нельзя. Здесь особенно важно заранее проверить документы, роли, уведомление, сайт и фактические процессы, чтобы на встрече не выяснилось, что компания не может объяснить базовые вещи о собственной обработке данных.

Документарная проверка

В этом формате основной акцент идет на документы и письменные объяснения. Именно здесь особенно заметны внутренние противоречия: одно указано в уведомлении, другое в политике, третье фактически делает маркетинг, четвертое следует из договора с подрядчиком. Документарная проверка часто создает ложное ощущение безопасности, потому что не требует физического выхода на площадку. Но именно на бумаге проще всего увидеть системные пробелы.

Выездная проверка и инспекционный визит

Это более жесткий формат контроля, когда важны уже не только тексты документов, но и реальная организация процессов. Кто имеет доступ к данным, как выстроена работа в системах, где хранятся сведения, как распределена ответственность, что происходит при инцидентах, как сотрудники соблюдают внутренние правила. Если в компании есть разрыв между "документами для проверки" и реальной практикой, в таком формате он проявляется быстрее всего.

Главная ошибка бизнеса на этом этапе - реагировать одинаково на любой контакт со стороны Роскомнадзора. На практике сначала нужно определить форму контроля, понять объем рисков и только потом выстраивать ответ.

Когда тянуть уже опасно

Есть ситуации, в которых откладывать разбор уже неразумно. Не потому что "все пропало", а потому что любое промедление делает позицию слабее. Чем позже компания поднимает документы и процессы, тем больше вероятность, что отвечать придется в спешке и по частям.

Подключать юриста стоит сразу, если:

• запрос уже пришел, а пакет документов не собран
• сведения в реестре не совпадают с тем, как компания реально обрабатывает данные
• на сайте собираются данные, но правовая логика по формам, согласиям и целям не выстроена
• подрядчики работают с персональными данными, а договорная часть не закрыта
• внутренняя проверка показала пробелы в согласиях, политике, хранении, удалении или разграничении доступа
• была утечка, жалоба субъекта, публикация базы или другой инцидент, который может привести к реакции регулятора

Отдельно стоит сказать про инциденты с утечками. Если данные уже ушли наружу или есть риск, что факт распространения станет известен, ситуация быстро переходит из технической проблемы в юридическую. В такой точке важно не только устранить причину, но и сразу оценить, что именно видит регулятор, какие документы поднимать, как фиксировать обстоятельства и какую позицию занимать.

Хуже всего в этой ситуации действовать по частям: сначала править сайт, потом в спешке собирать согласия, потом вспоминать про уведомление, потом отдельно проверять договоры с подрядчиками. Обычно это только увеличивает число несостыковок. Рабочий подход другой: быстро собрать картину целиком, выделить критические зоны и закрыть их в правильной последовательности.

Заключение

Проверка Роскомнадзора почти никогда не сводится к одному документу или одной форме на сайте. Обычно вопрос шире: как компания собирает персональные данные, на каком основании их использует, кому передает, как оформляет внутренние процессы и совпадает ли реальная практика с тем, что можно показать регулятору.

Проблема в том, что такие разрывы редко видны изнутри до первого запроса, визита или инцидента. Пока все спокойно, кажется, что базовые документы есть и этого достаточно. Но при проверке быстро выясняется, что уведомление устарело, согласия не покрывают реальные сценарии, доступы подрядчиков не оформлены, а сайт, маркетинг и внутренние регламенты существуют отдельно друг от друга.

Contra Legal подключается в ситуациях, когда нужно быстро понять уровень риска, собрать картину целиком и привести компанию в рабочее состояние перед визитом, проверкой или ответом Роскомнадзору. Без лишней теории и без имитации подготовки "для галочки".

Если у вас уже есть запрос, назначен профилактический визит или есть сомнения в текущей модели обработки персональных данных, лучше разбирать ситуацию до первого неудачного ответа регулятору.