Проверка Роскомнадзора по персональным данным: как проходит и к чему готовиться бизнесу
Когда собственник слышит слова «проверка Роскомнадзора», первая реакция обычно не юридическая, а вполне человеческая: тревога, раздражение и желание срочно «собрать все бумаги в одну папку». Это понятная, но плохая стратегия. Потому что проверка по персональным данным почти никогда не упирается только в наличие файлов. Она очень быстро показывает, как компания на самом деле работает с сайтами, заявками, CRM, сотрудниками, подрядчиками, рассылками, архивами и доступами.
Именно поэтому к проверке нельзя готовиться в стиле «распечатать политику, назначить одного ответственного и надеяться на лучшее». Для бизнеса важнее другой вопрос: где именно в компании есть разрыв между документами и реальной обработкой персональных данных. Если этот разрыв большой, проверка обычно лишь фиксирует уже существующий беспорядок.

Что обычно проверяют в первую очередь
Если убрать лишнюю теорию, у бизнеса почти всегда есть несколько очевидных зон риска.
Уведомление и сведения об операторе
Один из самых типовых провалов, особенно у малого и среднего бизнеса, выглядит так: уведомление когда-то подали, а потом компания жила несколько лет, росла, меняла процессы, подключала новые формы, CRM и подрядчиков, но сведения никто не актуализировал. На бумаге один контур обработки, в реальности совсем другой.
Поэтому перед проверкой надо обязательно перепроверить:
- какие цели обработки реально работают сейчас;
- какие категории данных фактически собираются;
- есть ли новые процессы, которых раньше не было;
- кто из подрядчиков вовлечён в обработку;
- соответствует ли уведомление живой модели бизнеса.
Полезная связка по этой теме:
- https://152opd.ru/nuzhno-li-podavat-uvedomlenie-v-roskomnadzor/
- https://152opd.ru/kak-zapolnit-uvedomlenie-v-roskomnadzor-po-personalnym-dannym/
- https://152opd.ru/izmeneniya-v-reestr-operatorov-personalnyh-dannyh-kogda-nuzhno-obnovlyat-svedeniya/
Сайт и публичная точка входа
Сайт часто становится самым заметным местом риска. Причина проста: именно здесь наружу виден способ сбора персональных данных. Если на сайте криво настроены формы, cookies, аналитика, политика, тексты согласий и маршруты заявок, компания уже показывает свой проблемный контур без всякой внутренней проверки.
Что особенно часто всплывает на сайте:
- лишние поля в формах;
- размазанные формулировки согласия;
- политика, не соответствующая реальной обработке;
- использование внешних сервисов без понятного описания;
- передача заявок в сторонние системы, о которых никто не подумал.
Здесь важно проверить:
- https://152opd.ru/152-fz-dlya-sajta/
- https://152opd.ru/cookies-formy-i-analitika-po-152-fz/
- https://152opd.ru/dokumenty-dlya-sajta-po-152-fz/
- https://152opd.ru/6-shagov-k-sajtu-bez-lishnego-riska-po-152-fz/
Кадровый, клиентский и операционный контур
Очень часто бизнес готовит один «общий комплект документов» и думает, что этого достаточно для всех сценариев. Но в реальности разные контуры обработки живут по-разному:
- сотрудники;
- соискатели;
- клиенты;
- лиды с сайта;
- подписчики;
- обращения и жалобы;
- подрядчики и внешние исполнители.
Если всё это смешано в одну формальную логику, проверка быстро покажет, что у компании нет нормальной сегментации обработки.
Где компании проваливаются чаще всего
1. Готовят папку, а не систему
Самая распространённая ошибка — готовить только документы. Это создаёт иллюзию порядка, но не решает вопроса по существу. Если сотрудники выгружают базы в таблицы, заявки с сайта уходят подрядчику, а сроки хранения никто не контролирует, сама папка проблему не лечит.
2. Не умеют объяснить свою обработку простым языком
Плохой сигнал для любой проверки — когда компания не может внятно и коротко ответить на базовые вопросы:
- какие данные вы собираете;
- зачем вы их собираете;
- где они хранятся;
- кому передаются;
- сколько хранятся;
- когда и как уничтожаются.
Если ответы распадаются, значит, система держится хуже, чем кажется руководству.
3. Не связывают сайт, CRM и подрядчиков в одну карту
Многие считают, что сайт живёт отдельно, маркетинг отдельно, CRM отдельно, а юрист где-то отдельно пишет документы. На практике Роскомнадзор смотрит на результат как на единую цепочку обработки.
Как готовиться к проверке по уму
Шаг 1. Сделать ревизию фактической обработки
Не документов, а именно фактической работы. Нужно перечислить:
- источники сбора данных;
- цели обработки;
- категории субъектов;
- системы хранения;
- подрядчиков и получателей;
- сроки хранения;
- сценарии уничтожения.
Шаг 2. Проверить соответствие сайта и бумаг
Если сайт собирает больше, чем описано в документах, это очень плохая история. Проверка сайта должна идти не в конце, а в начале всей подготовки.
Шаг 3. Перепроверить уведомление и реестр
Это один из самых недооценённых блоков. Если компания подала уведомление давно и больше к нему не возвращалась, надо очень внимательно свериться с текущей моделью обработки.
Шаг 4. Подготовить внутреннее объяснение процессов
Компания должна уметь кратко и уверенно объяснить свою обработку не только на бумаге, но и устно. Иначе любое расхождение сразу начинает бить по доверию к системе.
Шаг 5. Закрыть самые видимые пробелы до того, как вы займётесь косметикой
Сначала убираются реальные риски:
- сайт;
- уведомление;
- подрядчики;
- доступы;
- сроки хранения;
- уничтожение;
- запросы субъектов.
И только потом шлифуются вторичные вещи.
Мини-чеклист перед проверкой
- Все ли процессы обработки реально описаны.
- Совпадают ли документы с фактической практикой.
- Нет ли старого уведомления при новой модели бизнеса.
- Проверен ли сайт как публичная точка сбора данных.
- Понимает ли компания маршруты передачи данных подрядчикам.
- Определены ли сроки хранения и порядок уничтожения.
- Могут ли ответственные объяснить обработку понятным языком.
Что даёт бизнесу нормальная подготовка
Хорошая подготовка к проверке полезна не только «на случай визита». Она даёт бизнесу несколько практических выгод сразу:
- снижает риск штрафных сценариев;
- уменьшает шанс утечки из-за хаотичной архитектуры;
- помогает убрать лишние данные и лишние доступы;
- делает сайт и заявки безопаснее;
- показывает руководителю, где компания уже живёт с незаметным, но дорогим риском.
Главный вывод
Проверка Роскомнадзора опасна не потому, что регулятор «ищет, к чему придраться». Она опасна тем, что быстро вскрывает реальную организацию работы с персональными данными. И если компания живёт в режиме формальных документов и неуправляемой практики, проверка просто делает этот разрыв видимым.
Поэтому лучшая подготовка — не истерика перед проверкой, а спокойная ревизия сайта, уведомления, подрядчиков, маршрутов данных и фактических процессов внутри бизнеса.
Если хотите понять, где у вас самое слабое место до любой проверки
Начинайте с аудита сайта, уведомления и реальных маршрутов данных. Обычно именно там и прячется главный риск.
Полезные точки входа: https://152opd.ru/audit-sajta-po-152-fz/ · https://152opd.ru/consult/ · https://152opd.ru/ekspress-proverka-152-fz/