РКН проводит два вида проверок — плановые (по графику) и внеплановые (при выявлении нарушений).
Основания для внеплановой проверки — жалобы и нарушения. Причины внеплановых проверок: жалобы (со стороны сотрудников, клиентов, посетителей сайтов, конкурентов, просто недоброжелателей), утечки ПД, недостоверные ответы РКН, невыполнение требований по устранению прошлых нарушений.
Проверки бывают документарными и выездными
Документарная проверка. РКН запрашивает внутренние документы по обработке ПД, а также организационно-распорядительные и иные документы в данной сфере (согласия, акты, журналы и др.).
Выездная проверка. Должностные лица РКН посещают офис, изучают документооборот, помещения (условия хранения ПД), опрашивают сотрудников, проводят инструментальные обследования.
Методы контроля, применяемые РКН, включают в себя:
Автоматическое сканирование сайтов на наличие запрещённых скриптов, включая их скрытые реализации
Мониторинг сетевого трафика
Анализ DNS-запросов
Инспекция HTTP(S)-трафика. Анализ для обнаружения использования запрещённых сервисов.
Проведение консультаций
Заключение договора и внесение оплаты
Оценка состояния работы оператора в области обработки ПД (посредством ответов на вопросы по разработанному чек-листу, анализа действующих документов)
Разработка стратегии защиты (1–3 рабочих дня)
Подготовка (корректировка) внутренних документов оператора (3–5 рабочих дня)
Передача документов оператору в электронном виде
Подготовка ответов на запросы гос.органа и письменной позиции оператора (в установленные сроки)
Обжалование решения гос. органа (при необходимости, в установленные законодательством сроки)
Консультации/разъяснения (при необходимости)
• План пошаговой подготовки к проверке гос.органа
• Определение наиболее оптимальной стратегии защиты
• Подготовка внутренних документов оператора (корректировка существующих) для минимизации риска санкций
• Подготовка ответов на запросы гос. органа
• Подготовка письменных объяснений оператора
• Подготовка документов по реализации мер, указанных в предостережении
• Подготовка возражений на предостережение
• Сопровождение профилактического визита и помощь в устранении выявленных нарушений
• Сопровождение инспекционного визита и помощь в устранении выявленных нарушений
• Сопровождение документарной или выездной проверки и помощь в устранении выявленных нарушений
• Помощь в исполнении требований, содержащихся в выданном предписании, подготовка необходимых документов
• Обжалование решения (акта, предписания, действий) гос. органа в досудебном и судебном порядке
• Формирование позиции по требованию о блокировке доступа к интернет-ресурсу
• Устные и письменные консультации по вопросу
Как известно, мораторий на плановые проверки продлён до конца 2029 г. (постановление Правительства № 336).
Однако в руках контролирующих и надзорных органах по‑прежнему находится эффективный инструмент в виде внеплановых контрольных (надзорных) мероприятий (проверок), которые применяются в основном в случаях:
При установлении РКН фактов определённых нарушений операторами требований 152-ФЗ;
Истечения срока, отведённого оператору на исполнение ранее выданного предписания;
По требованию прокурора о проведении контрольного (надзорного) мероприятия в связи с поступившими в органы прокуратуры материалами и обращениями.
В основном поводы и основания для проведения внеплановых проверок связаны с жалобами и обращениями в РКН/ прокуратуру граждан, то есть клиентов бизнеса, посетителей сайтов и т.п. По большому счёту для представителей малого бизнеса мораторий ничего кардинального не приносит: и до моратория основные угрозы были связаны с жалобами клиентов (потребителей услуг), поэтому наиболее разумная стратегия — не полагаться на мораторий, а поддерживать состояние дел в сфере обработки ПД на приемлемом уровне.
