Роскомнадзор проверяет операторов персональных данных по плану и по жалобам. С 2024 года акцент сместился с штрафов «по бумагам» на штрафы за реальные технические нарушения — отсутствие согласий, утечки, передача данных без оснований. Этот чек-лист поможет подготовиться к плановой проверке или быстро устранить нарушения после жалобы.
Если хотите общий обзор всех 14 параметров законодательства РФ — смотрите пиллар-чек-лист соответствия сайта. Эта статья — детально про 152-ФЗ и проверку РКН.
1. Регистрация в Роскомнадзоре
Любой оператор ПД обязан подать уведомление об обработке персональных данных через портал РКН до начала обработки (152-ФЗ ст. 22). Исключения — узкие, для коммерческих сайтов их обычно нет. Штраф за необоснованную обработку без уведомления — до 75 000 ₽ для юрлиц по ст. 19.7 КоАП.
Уведомление включает: цели обработки, категории субъектов и данных, способы обработки, меры защиты, контакты ответственного. Подача бесплатна и занимает 15–30 минут.
2. Политика обработки персональных данных
Документ должен быть размещён на сайте по постоянному URL и содержать:
- цели обработки;
- правовые основания (152-ФЗ ст. 6);
- категории обрабатываемых данных и субъектов;
- срок хранения и условия прекращения обработки;
- права субъекта ПД (доступ, удаление, ограничение);
- контакты оператора и DPO (если назначен).
На типовых формулировках, скаченных с интернета, попадается каждый второй сайт. Политика должна быть составлена под конкретный бизнес: то, что указано в документе, должно совпадать с тем, что реально собирается на сайте.
3. Согласие на обработку у каждой формы
Каждая форма, собирающая ПД (имя/email/телефон), должна сопровождаться явным согласием — чек-боксом или текстом с активной ссылкой на политику. Pre-checked согласия запрещены — пользователь должен явно отметить чек-бокс.
Раздельные согласия для разных целей: согласие на обработку для исполнения договора (заказа) и согласие на маркетинговые рассылки — это два разных чек-бокса. Объединять их нельзя.
4. Cookie-баннер до загрузки трекеров
Если на сайте используются аналитические или рекламные cookie (Я.Метрика, Google Analytics, ремаркетинг), баннер должен показываться до загрузки этих скриптов и давать пользователю выбор: «Принять всё», «Отклонить всё» или «Настроить».
Частая ошибка — баннер показан «для галочки», а скрипты Я.Метрики уже отправили данные о пользователе. Подробнее — в отдельной статье про cookie-согласие.
5. Защита передачи и хранения ПД
SSL-сертификат на всём сайте, актуальный пароль на админке, разграничение прав сотрудников, журналирование доступа к ПД. РКН смотрит конфигурацию, а не только бумаги.
Конкретные требования: пароли клиентов хранятся в виде хеша (не в открытом виде), панель администратора закрыта от внешнего доступа или защищена двумя факторами, журналируется кто и когда обращался к базе клиентов.
Что будет, если у вас уже плановая проверка
Если проверка назначена и дата известна, до её начала вы можете:
- устранить нарушения, которые сами видите — это смягчает ответственность;
- подготовить полный пакет документов: политика, регламенты, согласия, журналы доступа;
- назначить ответственного за обработку ПД и DPO (если ещё не назначены).
Из практики применения
В большинстве случаев РКН выписывает предписание об устранении, а не сразу штраф. Если устранили в срок — штрафа может не быть. Если игнорировали — штраф плюс повторное предписание плюс возможная блокировка сайта по ст. 15.5 152-ФЗ.
Что проверить за 5 минут
Запустите экспресс-проверку на нашем сайте — она покажет 5 базовых пунктов из этого чек-листа. Если хотя бы один из них горит красным, лучше готовиться к проверке заранее.
