Получили уведомление от ркн по итогам проверки офсайта, aka "мероприятие по контролю без взаимодействия с контролируемыми лицами".

1 замечание. С прошлого года публикация связки ФИО+должность = распространение ПДн. Поэтому нужны отдельные согласия на распространение пдн от работников, и в политике отразить, что согласия взяты. По факту, прост нашли на сайте пдф с подписями комиссии. Да, "бухгалтер сидоров" под актом = распространение пдн.

Решение: сделать копии соглашений работников на распространение, отправить в адрес ркн.

2 замечание. В коде сайта нашли Яндекс.Метрику, а в политике про неё ничего не говорится. (На самом деле все просто про неё забыли, она там лет пять уже как прикручена была). Потребовали указать в политике, что данные собираются, и в явной форме предоставить пользователю способ согласиться/отказаться от сбора данных метрикой

Решение: удалить метрику.

3. Фактический объем собираемых ПДн не соответствуют указанному в реестре операторов, а именно: в разделе предварительной записи на сайте от пользователей требуется указывать электронную почту, а в сведениях реестра оператора ркн про электропочту ничего не написано.

Решение: уточнить сведения в реестре операторов.