📌 Персональные данные: на что смотрит Роскомнадзор прямо сейчас
Проверки по ФЗ-152 становятся всё более предметными. Инспекторы давно вышли за рамки формальных вопросов про политику конфиденциальности. Вот реальные болевые точки, которые фиксируются при аудитах.
Первое — локализация. Статья 18.1 ФЗ-152 требует хранения и первичной обработки данных российских граждан на серверах в РФ. Проверяющие запрашивают договоры с облачными провайдерами и технические подтверждения местонахождения серверов.
Второе — основания обработки. Согласие по статье 9 ФЗ-152 должно быть конкретным, информированным, отдельным для каждой цели. Предзаполненные чекбоксы и согласие на всё разом — типичное нарушение, которое выявляется почти всегда.
Третье — трансграничная передача. После поправок необходимо уведомлять РКН до начала передачи данных за рубеж и документально подтверждать, что принимающая страна обеспечивает надлежащую защиту.
Четвёртое — реакция на утечки. Оператор обязан уведомить РКН в течение 24 часов с момента обнаружения инцидента, а пострадавших субъектов — в течение 72 часов.
Штрафы по КоАП за нарушения существенно выросли и могут достигать нескольких миллионов рублей за одно нарушение.
Практический совет: проведите внутренний аудит реестра обработки ПД, проверьте актуальность форм согласий и наличие процедуры реагирования на инциденты. Это три документа, которые инспектор запросит в первую очередь.
Это черновая оценка, проверьте ссылки на нормы и актуальную практику перед использованием.