Под проверку РКН подпадают все операторы персональных данных – коммерческие и некоммерческие организации, госорганы, ИП. Особое внимание инспекторы уделяют тем, кто собирает персональные данные через сайт или приложение: формы регистрации, заявки, подписки, онлайн-чаты и т.п. Даже небольшая форма обратной связи на сайте автоматически ставит компанию в поле интересов РКН. Если на вашем сайте есть любые поля для ввода имени, телефона, e‑mail, адреса и т.п. – вы уже собираете персональные данные посетителей и становитесь оператором (пусть вы даже не осознавали этого факта).
Роскомнадзор ведёт единый реестр операторов персональных данных, и отсутствие вашей организации в этом реестре считается нарушением. Типовой запрос от РКН напрямую спрашивает: почему ваша компания не включена в реестр операторов ПДн. Иными словами, если вы обрабатываете данные и не уведомили Роскомнадзор, вы изначально в зоне риска штрафа до 300 тыс. ₽ (по ч.1 ст.13.11 КоАП РФ).
Таким образом, малый бизнес и ИП не застрахованы от проверок. Напротив, мелкие компании часто попадают под выборочные инспекции или жалобы, думая, что «нас не найдут». На деле регулятор мониторит сайты автоматизированно – по оценкам, сейчас проводится свыше 1000 проверок в день – и может выявить любого оператора, особенно если обнаружит типичные нарушения. Проверки нередко проходят незаметно для владельцев сайтов: вы можете даже не догадываться, что инспектор уже посетил ваш ресурс, пока на корпоративную почту не «прилетит» официальный запрос.

Роскомнадзор проводит плановые и внеплановые проверки операторов. Плановая проверка включается в ежегодный план РКН; о ней уведомляют не позднее чем за 3 рабочих дня, направляя копию приказа с указанием даты и списка запрашиваемых документов. Внеплановая проверка может начаться в любой момент – чаще всего по жалобе пользователя или если компания не выполнила ранее выданное предписание. Закон прямо перечисляет основания для внеплановых инспекций: неисполнение предписания РКН, обращения субъектов данных, поручения Президента РФ или требования прокурора и т.д.. (В последних случаях проведение проверки должно быть согласовано с прокуратурой.)
Помимо формальных оснований, Роскомнадзор обращает внимание на типичные нарушения на сайтах. Если при сканировании ресурса обнаруживаются следующие признаки, это почти гарантированно вызовет внеплановую проверку:

• Нет актуальной политики конфиденциальности. Закон обязывает опубликовать документ, описывающий порядок обработки персональных данных, – без него сайт автоматически в группе риска. Отсутствие политики на сайте грозит штрафом до 300 тыс. ₽.
  
  
• Незаявленные метрики или аналитика. Установленные на сайте счетчики (Яндекс.Метрика, Google Analytics и др.) собирают данные о посетителях (даже если «анонимно») и считаются обработкой персональных данных. По условиям Яндекса, владелец сайта обязан получать согласие на такую обработку и информировать пользователей (обычно через всплывающий cookie-баннер). Если на сайте используется Яндекс.Метрика, а согласия пользователей не собираются, это нарушение требований ФЗ-152. Например, использование cookie-файлов без уведомления пользователей резко повышает шанс внимания РКН, и такое нарушение может стоить бизнесу от 500 тыс. до 1,5 млн руб. (в зависимости от тяжести).
  
  
• Формы сбора данных без явного согласия. Любые поля обратной связи (заявка, регистрация, подписка) должны сопровождаться пояснением, что введённые данные будут обработаны, и активным чекбоксом «Я согласен на обработку персональных данных». Предустановленные галочки (отмеченные по умолчанию) запрещены. Если на форме нет отдельного поля согласия с обработкой ПДн, Роскомнадзор квалифицирует это как нарушение ч.1 ст.6 ФЗ-152 (обработка данных без законного основания – согласия).
  
  
• Несоответствие уведомления фактической практике. Оператор обязан подать в РКН уведомление о начале обработки персональных данных, где описывает цели, основания и категории данных. Если на сайте собирается больше данных, чем указано в уведомлении, либо уведомление вовсе не подавалось – это повод для проверки. Инспекторы сверяют публичные сведения с вашими регистрационными данными: например, если в реестре заявлены только телефон и email, а форма на сайте дополнительно требует дату рождения, возникает несоответствие – повод для штрафа.
  
  

В реальном требовании Роскомнадзора из одного кейса были перечислены почти все эти нарушения: на сайте размещались формы сбора ФИО, телефона и email без получения согласий посетителей, не опубликована политика конфиденциальности, при этом стоял счетчик Яндекс.Метрики (то есть проводилась неучтённая обработка данных), а оператор даже не был зарегистрирован в реестре. Такие типовые нарушения регулярно выявляются при инспекциях РКН.

Роскомнадзор практикует четыре основных формата проверок операторов персональных данных:

• Плановая проверка. Проводится согласно официальному плану РКН. Оператор уведомляется не менее чем за 3 рабочих дня до начала проверки, в уведомлении указываются дата и запрашиваемые документы. Перечень плановых проверок на год публикуется на сайте Роскомнадзора.
  
  
• Внеплановая проверка. Инициируется внезапно по одному из внеплановых оснований (жалоба, невыполненное предписание и пр.). О начале внеплановой проверки сообщают проверяемому не позднее чем за 24 часа любым доступным способом (по телефону, email и т.д.).
  
  
• Документарная проверка. Инспекторы запрашивают у оператора необходимые документы (приказы, положения, журналы, уведомления и др.) и дистанционно проверяют их на соответствие нормам. Такая проверка без взаимодействия с компанией может при необходимости перейти в выездную.
  
  

Выездная проверка. Инспекторы РКН приезжают непосредственно в офис компании (или в ее ИТ-подразделение). Проводится всесторонняя проверка соблюдения требований ФЗ-152, включая проверку организационных и технических мер защиты: беседы с ответственным за ПДн, осмотр документации, анализ информационных систем ПДн и т.п. По итогам составляется акт, и если найдены нарушения – выдается предписание об их устранении.

Предписание Роскомнадзора (требование) – это официальный документ, в котором перечисляются выявленные нарушения с указанием конкретных норм закона и даётся распоряжение их устранить. Обычно в тексте предписания приводятся ссылки на статьи ФЗ-152, которые были нарушены. Например, об обязательной публикации политики обработки персональных данных (ст. 18.1), о получении согласия субъектов данных (ст. 9–10), об уведомлении РКН (ст. 22) и т.д. В нашем примере выше в предписании фигурировали ссылки на ч.2 ст.18.1, ч.1 ст.6, ч.1 ст.9, ч.1 ст.22 ФЗ-152 и ряд сопутствующих нормативных актов.
После констатации нарушений предписание содержит требование «привести деятельность по обработке персональных данных в соответствие с требованиями закона». Проще говоря, Роскомнадзор расписывает, что нужно сделать: получить недостающие согласия пользователей, разместить на сайте политику, подать первичное уведомление или внести в него изменения, отключить запрещённые счетчики аналитики и т.п. Далее оператору отводится определённый срок на устранение нарушений и предоставление отчёта об этом. По закону (ч.4 ст.20 ФЗ-152) стандартный срок составляет 1 месяц с момента получения предписания. В тексте требования обычно так и указывается: необходимо «принять меры» и проинформировать Роскомнадзор об этом, приложив подтверждающие документы, в течение 30 дней с даты получения предписания.
Невыполнение требования или просрочка исполнения грозит повторной проверкой и привлечением к ответственности по КоАП. Иными словами, типовое предписание – это чёткий план действий для оператора: «устранить всё и отчитаться перед РКН». В документе обычно указаны конкретные сроки и способ информирования о выполнении: как правило, надо письменно (по электронной почте или через портал РКН) уведомить ведомство о принятых мерах. В рассматриваемом случае предписание потребовало сообщить Роскомнадзору об исполнении «в срок, установленный ч.4 ст.20 Закона» (то есть за 1 месяц).

Получив предписание (требование) Роскомнадзора, не паникуйте, но реагируйте максимально оперативно. Согласно новым правилам, у компании есть всего около 10 дней с момента получения предписания, чтобы предоставить документы или внести исправления. Поэтому нельзя тянуть время – приступайте к корректировкам сразу же. Эксперты рекомендуют немедленно привлечь специалиста по персональным данным или юриста, чтобы внимательно проанализировать указанные нарушения и составить план их устранения.
Типичная последовательность действий при получении предписания:

1. Изучите предписание. Тщательно проверьте, какие именно нарушения перечислены в документе (например, отсутствие политики на сайте, неучтённые формы сбора данных, неподача уведомления и пр.). Определите, какие сотрудники или подрядчики отвечают за каждое направление (юристы, айтишники, отдел маркетинга и т.д.).
   
   
2. Устраните нарушения. Срочно выполните все указанные требования: опубликуйте недостающие документы (например, добавьте на сайт страницу с актуальной политикой конфиденциальности), обновите все формы обратной связи (добавьте флажки согласия на обработку данных без галочек по умолчанию), установите баннер уведомления о cookie-файлах, отключите незарегистрированные системы аналитики или внесите информацию о них в политику. Если у вас не было уведомления в реестре или в нём указаны не все данные, отправьте новое уведомление либо внесите изменения в старое. В целом, формально выполните каждый пункт предписания.
   
   
3. Подготовьте подтверждения. Соберите доказательства исправлений: копии новых документов (приказов, политик, положений), скриншоты страниц сайта с обновлёнными формами и текстами, выписки из журналов изменений, технические отчёты об отключении скриптов и т.д. Внутри компании желательно оформить акт выполненных работ по устранению нарушений – это пригодится для отчётности перед проверяющими.
   
   
4. Отправьте ответ в Роскомнадзор. В течение установленного предписанием срока (обычно до 1 месяца, а по новым требованиям нередко и 10 дней) направьте в ведомство письменное уведомление (письмом или через электронный портал) с перечнем принятых мер и приложением подтверждающих материалов. Желательно подробно описать, какие изменения внесены по каждому пункту. Если по каким-то причинам вы не успеваете полностью всё исправить к дедлайну – по крайней мере сообщите РКН о частично принятых мерах. Это может формально избавить от основания для немедленного штрафа.
   
   

Учтите: устранение нарушений после предписания не гарантирует полного освобождения от ответственности, но может смягчить наказание. Как отмечают специалисты, избежать штрафа вряд ли удастся, но его сумму могут снизить. Поэтому крайне важно выполнить все требования в срок. Если срок совсем сжатый, постарайтесь хотя бы оперативно уведомить РКН, что вы активно работаете над исправлениями. Важно и то, что после вашего отчёта Роскомнадзор обычно не выдаёт никакого отдельного «акта приёмки» – инспекторы просто принимают информацию к сведению. В дальнейшем при решении вопроса о штрафе они могут переквалифицировать нарушение на менее тяжкое или вовсе не штрафовать, если вы вовремя всё исправили и в дальнейшем не допускаете повторных нарушений.