Любая проверка государственного органа — это стресс для бизнеса, но визит инспекторов Роскомнадзора (РКН) вызывает особую тревогу. Причина кроется в сложности законодательства о персональных данных и огромном объеме формальных требований. Успех прохождения аудита на 90% зависит от того, в каком состоянии находятся ваши локальные нормативные акты. Запрос «Проверка Роскомнадзора документы» становится самым популярным в поисковиках за месяц до визита, но готовиться нужно гораздо раньше. Создание видимости защиты в последнюю ночь обречено на провал: современные методы контроля позволяют легко выявить фиктивность бумаг.
Инспекция проверяет не только наличие бумаг, но и их соответствие реальным бизнес-процессам. Если в вашей Политике конфиденциальности написано, что данные хранятся в сейфе, а по факту они лежат в облачном хранилище Google Drive, это будет квалифицировано как предоставление недостоверных сведений, что влечет штрафы и предписания. Комплект документов должен быть живым, актуальным и синхронизированным с IT-инфраструктурой компании.
Обязательный минимум: «Папка оператора»
Существует базовый перечень документов, отсутствие которых гарантированно приведет к административной ответственности по ст. 13.11 КоАП РФ. Мы разделяем их на несколько логических блоков.
1. Организационно-распорядительная документация (ОРД)
Это фундамент вашей системы защиты.
В этот блок входят:
- Уведомление об обработке ПДн. Копия поданного в РКН уведомления. Важно проверить, чтобы заявленные цели и категории данных совпадали с фактическими.
- Политика в отношении обработки персональных данных. Документ должен быть опубликован на сайте (ч. 2 ст. 18.1 152-ФЗ) и доступен в местах сбора данных офлайн.
- Приказ о назначении ответственного (DPO). Без этого человека проверка не начнется. Ответственный должен иметь необходимые компетенции и полномочия.
- Перечень персональных данных. Внутренний реестр, описывающий, чьи данные вы собираете (работники, клиенты, соискатели) и в каком объеме.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов
2. Документы, регламентирующие процессы
Инспектор будет смотреть, как именно данные движутся внутри компании.
Вам потребуются:
- Правила доступа к ПДн. Кто из сотрудников имеет право открывать базу клиентов или кадровые программы (матрица доступа).
- Положение о защите персональных данных работников. Обязательный кадровый документ, с которым все должны быть ознакомлены под роспись.
- Формы согласий. Шаблоны согласий на обработку, на распространение и на трансграничную передачу. Проверяется не только наличие шаблона, но и факты их подписания субъектами.
- Обязательства о неразглашении (NDA). Подписанные сотрудниками, допущенными к обработке.
Техническая документация и журналы
Этот блок часто упускают из виду юристы, но он критически важен.
РКН запросит:
- Акт определения уровня защищенности (УЗ). Документ, классифицирующий ваши информационные системы согласно Постановлению № 1119.
- Модель угроз безопасности. Описание актуальных угроз для ваших систем (разрабатывается совместно с IT/ИБ).
- Журналы учета. Журнал учета машинных носителей (флешки, жесткие диски), журнал учета обращений граждан, журнал проверок состояния защиты.
- Акты уничтожения данных. Доказательство того, что вы удаляете данные, когда цель обработки достигнута (например, после увольнения сотрудника или истечения срока согласия).
Специфика проверки IT-систем
В последние годы инспекторы все чаще требуют продемонстрировать интерфейсы программ и логи серверов. Они сверяют поля в CRM с перечнем данных в документах. Если в Политике написано, что вы собираете только телефон, а в CRM есть поле «Дата рождения», это нарушение принципа минимизации данных. Также проверяется локализация: договоры с хостинг-провайдерами и справки о нахождении серверов на территории РФ.
Мы помогаем компаниям пройти аудит готовности («Mock Audit»), восстановить недостающие акты и привести документацию в идеальное состояние, чтобы проверка прошла по сценарию «предоставили документы — получили акт без нарушений».