ГрамотаИБ ГрамотаИБ

Проводит ли Роскомнадзор автоматический мониторинг сайтов и сверяет ли обработку с политикой?

Да, Роскомнадзор ведёт дистанционный контроль сайтов без взаимодействия с оператором (по 248-ФЗ) — в том числе автоматизированными средствами, и оператор может даже не узнать о такой проверке. Разбираем, как это работает, что автоматика реально может выявить (опубликована ли политика, корректны ли формы и согласия, есть ли оператор в реестре, куда уходят данные), сверяет ли она соответствие обработки заявленной политике и где проходит граница между автоматическим наблюдением и полноценной проверкой.

Вопрос, который всё чаще задают владельцы сайтов: правда ли, что Роскомнадзор автоматически мониторит сайты на предмет обработки персональных данных и сверяет, соответствует ли обработка опубликованной политике? Короткий ответ: да, дистанционный контроль без взаимодействия с оператором существует и используется, причём узнать о нём заранее вы, как правило, не сможете. Разберём, как это устроено, что автоматика реально видит и где её возможности заканчиваются.

Правовая основа: контроль без взаимодействия

Федеральный государственный контроль за обработкой персональных данных ведёт Роскомнадзор (статья 23.1 152-ФЗ), а сами мероприятия проводятся по правилам Федерального закона №248-ФЗ. Помимо плановых и внеплановых проверок он предусматривает мероприятия без взаимодействия с контролируемым лицом — в частности, наблюдение за соблюдением обязательных требований, в том числе при размещении информации в сети Интернет (статьи 56 и 74 248-ФЗ прямо допускают сбор и анализ общедоступных интернет-данных). Роскомнадзор анализирует открытую часть сайта и сопоставляет её с открытыми реестрами. Особенность таких мероприятий: как правило, оператор не получает предварительного уведомления о самом наблюдении (в отличие от обычной проверки), хотя его итоги — предостережение или предписание — до оператора доводятся.

Как это работает на практике

Детальный алгоритм в открытых нормативных актах не раскрыт, но нормы 248-ФЗ прямо допускают анализ интернет-данных автоматическими техническими средствами. По сообщениям СМИ и практике рынка, для наблюдения могут применяться автоматизированные средства: они обходят сайты в доменных зонах .RU, .РФ и .SU, находят формы ввода персональных данных (заявки, регистрация, обратная связь, подписка), анализируют подключённые скрипты и счётчики и сверяют сайт с открытым реестром операторов. По сути это та же формальная проверка публичной части, которую при желании может сделать и сам владелец сайта — об этом подробно в статье «Роскомнадзор проверяет сайты автоматически: что сканирует».

Что видно снаружи: формальные признаки

Дистанционное наблюдение видит только внешние, видимые из браузера признаки соблюдения 152-ФЗ (полный чек-лист — в статье про автоматическую проверку сайта):

  • Опубликована ли политика и есть ли на неё рабочая ссылка на страницах со сбором данных (часть 2 статьи 18.1 152-ФЗ).
  • Как оформлены формы. Если обработка строится на согласии — корректно ли оно запрашивается (отдельный чек-бокс, не отмеченный по умолчанию, ссылка на политику), а для рекламной рассылки нужно отдельное предварительное согласие. При этом согласие не единственное основание обработки (статья 6 152-ФЗ).
  • Есть ли оператор в реестре — это может сверяться по ИНН или наименованию, если оператор идентифицируется по сайту (статья 22 152-ФЗ; см. «Уведомление в Роскомнадзор»).
  • Куда уходят данные. Иностранные счётчики и виджеты — если через них передаются персональные данные или идентификаторы пользователя — и соблюдение локализации: при сборе ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). граждан РФ их первичную запись, накопление и хранение нельзя организовывать сразу в иностранной базе (часть 5 статьи 18 152-ФЗ), а последующая трансграничная передача возможна только по статье 12.

Что снаружи не видно

Автоматическое наблюдение не может проверить то, что не отображается в браузере, — содержательную сторону обработки:

  • правовое основание по каждой цели обработки;
  • реальные сроки хранения и фактическое уничтожение данных;
  • разграничение доступа сотрудников и принятые меры защиты;
  • поручения обработчикам и где физически лежат данные;
  • ведётся ли внутренний контроль обработки.

Всё это устанавливается уже в документарной или выездной проверке либо при разборе жалобы субъекта — автоматика сюда не дотягивается.

Сверяет ли автоматика обработку с политикой

Частично — да, но только в той мере, в какой расхождение видно снаружи. Сопоставляя заявленное в политике с тем, что реально видно на сайте, наблюдение позволяет выявить характерные несоответствия — и это красный флаг, а не само по себе доказанное нарушение:

  • политика декларирует, что данные не передаются третьим лицам или за рубеж, а на сайте стоит иностранный счётчик или виджет, который их передаёт;
  • политика называет один перечень целей и категорий данных, а формы собирают заметно больше;
  • политика ссылается на согласие, но форма фактически не предусматривает его получения.

А вот проверить, что реальные внутренние процессы обработки соответствуют политике, автоматика не может — как показано выше, это снаружи не видно. Такое соответствие устанавливается уже в документарной или выездной проверке, а также при разборе жалобы субъекта. То есть автоматический мониторинг — это сито на формальные и видимые нарушения, а не полноценный аудит обработки.

Что будет по итогам наблюдения

Если наблюдение выявляет признаки нарушения, по его итогам может последовать предостережение, предписание (при наличии основания) или инициирование контрольного мероприятия, в рамках которого у оператора уже запросят пояснения и документы. Само по себе наблюдение — ещё не штраф, но игнорировать его последствия нельзя: неустранение ведёт к ответственности, размеры которой в 2025 году выросли (см. «Штрафы за персональные данные»).

Что это значит для вас

  • Политика должна совпадать с тем, что реально видно и делается на сайте, — это первое, что сопоставит автоматика.
  • Проверьте формы, чек-боксы и ссылки на политику, уберите лишние поля.
  • Убедитесь, что вы есть в реестре операторов, а данные россиян не уходят за рубеж через счётчики и виджеты.
  • Пройдите формальный чек-лист заранее — как инспектор: подробности в статье «что сканирует Роскомнадзор и как пройти без предписания», а как составить корректную политику — в статье «Как разработать политику обработки ПДн».

Главное

Да, Роскомнадзор проводит автоматизированный дистанционный мониторинг сайтов в рамках контроля без взаимодействия (248-ФЗ), и оператор может о нём не знать. Автоматика выявляет формальные, видимые из браузера признаки: опубликована ли политика, корректны ли формы и согласия, есть ли оператор в реестре, куда уходят данные. Соответствие обработки политике она сверяет лишь частично — там, где расхождение видно снаружи; полную проверку внутренних процессов проводят уже в документарной или выездной проверке либо по жалобе. Практический вывод: держите политику в соответствии с реальностью и закройте формальные пункты заранее. ГрамотаИБ помогает привести политику, согласия и уведомление в порядок и проверить готовность к контролю — попробовать можно в сервисе.

Попробовать ГрамотаИБ

Читайте также

Все по теме «Персональные данные и Роскомнадзор» →

Как самозанятому соблюсти требования по персональным данным

Касаются ли самозанятого требования 152-ФЗ по защите персональных данных? Если вы ведёте базу клиентов для своей деятельности — да, вы оператор персональных данных, и формальное «я просто самозанятый» не освобождает. Но объём требований небольшой и соразмерный: у самозанятого нет работников, нет ГИС и КИИ, обычно нет сложной информационной системы. Разбираем минимальный набор: правовое основание, уведомление Роскомнадзора, политика и согласие на сайте, базовая защита данных и чего точно делать не нужно.

Таблица Excel с персональными данными — это ИСПДн?

Список клиентов или сотрудников в Excel — это уже информационная система персональных данных (ИСПДн) со всеми требованиями 152-ФЗ или просто файл? Короткий ответ: чаще всего да, это ИСПДн, потому что Excel автоматизированно обрабатывает данные (поиск, сортировка, фильтры). Разбираем, когда таблица считается автоматизированной обработкой, какой нужен уровень защищённости и меры, почему пугаться не стоит, чем особенно рискован Excel (почта, облако, общий доступ) и что делать на практике.

Персональные данные в 1С: кто оператор, облако или свой сервер и как не попасть на штраф

В 1С почти всегда есть персональные данные — зарплата и кадры, клиенты, контрагенты-физлица. Значит, это ИСПДн со своими требованиями 152-ФЗ. Разбираем, кто здесь оператор (вы, а не фирма 1С и не хостер), чем с точки зрения закона отличается локальная 1С на своём сервере от облачной аренды (1С в облаке, хостинг, 1С:Фреш), почему облачный провайдер — это обработчик и нужно поручение на обработку с локализацией данных в России, какие документы оформить и на чём экономия превращается в штраф.

Уведомление в Роскомнадзор об обработке персональных данных: кому обязательно и как подать

Уведомление об обработке персональных данных — первый и самый дешёвый шаг к соответствию 152-ФЗ. После реформы 2022 года почти все операторы обязаны подавать его, включая ИП и работодателей, обрабатывающих данные своих сотрудников. Разбираем, кто обязан уведомлять и какие исключения статьи 22 ещё остались, как подать уведомление бесплатно через сайт Роскомнадзора или Госуслуги, что в нём указать и какой штраф грозит за неподачу (статья 13.11 КоАП РФ).