Проверки Роскомнадзора по защите персональных данных

12.04.2022
0
Плановые и внеплановые проверки Роскомнадзора по защите персональных данных проводятся в соответствии с ч. 1 ст. 23 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006, Законом от 31.07.2020 № 248-ФЗ и подзаконными нормативами Эти законы наделяют ведомство правом контролировать организации, являющиеся операторами персональных данных, то есть обладающих правом на их обработку. С 1 июля 2021 года применяются новые правила проведения подобных проверок.

Законодательство о проверках Роскомнадзора в области персональных данных

Обработка персональных данных регулируется Положением о федеральном государственном контроле (надзоре), утв.  постановлением Правительства России от 29.06.2021 № 1046. Ранее, до 01.07.2021 года, действовал другой норматив — постановление от 13.02.2019 № 146.

Новое Положение было разработано для реализации основополагающего нормативного акта, который регламентирует проведение контрольно-надзорных мероприятий — Закона от 31.07.2020 № 248-ФЗ.

Отметим, что Роскомнадзор проанализировал нормативную базу в сфере защиты персональных данных и предложил операторам персданных целый список законов и постановлений, который они обязаны соблюдать. Список вы можете изучить в системе КонсультантПлюс, он предусматривает возможность перехода на текст всех нормативных актов из списка. Если вы не можете использовать нашу ссылку, попробуйте сначала оформить доступ на 2 дня к пробной версии системы КонсультантПлюс.

Виды проверок соблюдения законодательства о персональных данных

Ключевые моменты в положении о проверках, которые нужно учитывать предприятиям:

  1. Роскомнадзор проверяет две ключевые составляющие деятельности операторов ПД (п. 7 Положения по постановлению № 1046):
  • деятельность по обработке персональных данных самого оператора и третьих лиц, которые выполняют его поручения;
  • результаты деятельности оператора по разработке документов и локальных нормативов, направленных на обеспечение требований по ч. 1 ст. 18.1 Закона № 152-ФЗ.
  1. Предусмотрены профилактические мероприятия (п. 13 Положения), контрольно-надзорные мероприятия (п. 42 Положения).

Указанная классификация основана на перечнях профилактических и контрольно-надзорных мероприятий, приведенных, соответственно, в ст. 45 и 56 Закона № 248-ФЗ. Профилактические мероприятия — это «мягкие» варианты взаимодействия регулятора и контролируемого лица, контрольно-надзорные — более «строгие». Возможно, что по итогам профилактического мероприятия будет начато контрольно-надзорное (ч. 4 ст. 45 Закона № 248-ФЗ).

  1. Частота и типы профилактических и контрольно-надзорных мероприятий привязаны к категории риска, присвоенной хозяйствующему субъекту (п. 10 Положения).

Зависимость частоты и подробности проверок от категории риска

Как и в случае с иными типами проверок по Закону № 248-ФЗ, предусмотрены высокий, значительный, средний, умеренный и низкий риски. В Приложении к Положению приведены критерии отнесения предприятий к той или иной категории риска. В числе ключевых критериев — соответствие вида деятельности фирмы одной из групп тяжести потенциального нарушения требований — А, Б, В или Г, а также группе вероятности нарушения требований — 1, 2, 3 или 4.

Как следует из Приложения, самые строгие проверки будут проводиться в отношении фирм с группой тяжестью А и вероятностью 1, наименее строгие — к фирмам с тяжестью Г и вероятностью 4. Профилактическое мероприятие в виде обязательного профилактического визита проводится с учетом положений ст. 52 Закона № 248-ФЗ в отношении объектов контроля с высоким и значительным риском (п. 30 Положения).

Частота плановых контрольно-надзорных мероприятий в зависимости от категории риска определена положениями п. 12 Положения по постановлению № 1046. Например, по высокому риску частота инспекционного визита или выездной проверки — 1 раз в 2 года. По умеренному возможны документарная или выездная проверка с частотой 1 раз в 6 лет. При низком риске плановые мероприятия не проводятся. Чуть позже мы рассмотрим подробнее сроки проведения каждого типа контрольно-надзорных и профилактических мероприятий.

Плановые мероприятия, предусматривающие взаимодействие Роскомнадзора и проверяемого лица, согласуются с Прокуратурой (п. 38 Положения). Есть также мероприятия без взаимодействия — если они плановые, то с Прокуратурой их согласовывать не нужно. О них также чуть позже.

В отношении, в свою очередь, внеплановых проверок предусмотрены специальные индикаторы риска, установленные приказом Минцифры России от 15.11.2021 № 1187. Они используются при принятии решения о проведении и выборе вида внепланового контрольного (надзорного) мероприятия (ч. 9, 10 ст. 23 Закона № 248-ФЗ). Соответствующих индикаторов два:

  • установление Роскомнадзором в течение года 10 и более фактов несоответствия сведений, предоставленных фирмой по запросу в ведомство;
  • установление Роскомнадзором в течение года 10 и более актов предоставления неограниченному кругу лиц доступа к базам ПД или распространения таких баз данных через интернет.

Внеплановые контрольно-надзорные мероприятия в рамках взаимодействия Роскомнадзора и фирмами проводятся с учетом положений ст. 66 Закона № 248-ФЗ. Если это мероприятия без взаимодействия — на основании положений п. 1, 3-6 ч. 1 и ч. 3 ст. 57 Закона № 248-ФЗ.

Проверочные листы Роскомнадзора

В целях уменьшения рисков нарушений Роскомнадзор может направлять предприятиям проверочные листы с вопросами, ответы на которые могут свидетельствовать о несоблюдении требований законодательства о персональных данных (ст. 53 Закона № 248-ФЗ. На практике такие листы могут использоваться непосредственно при проверках и, соответственно, предварительное ознакомление с перечнем вопросов, приведенных там, поможет предприятию лучше подготовиться к проверке, как и устранить нарушения. Действующая форма проверочного листа по проверкам Роскомнадзора утверждена приказом ведомства от 24.12.2021 № 253.

Положением № 1046 определена особая категория мероприятий с участием Роскомнадзора и хозяйствующих субъектов — мероприятия без взаимодействия ведомства с контролируемыми лицами. На такие мероприятия не распространяется действие Закона № 248-ФЗ (п. 6 Положения). Представлены они могут быть (п. 59 Положения):

  • наблюдением за соблюдением требований при публикации сведений в интернете;
  • наблюдением за соблюдением требований с помощью анализа данных о деятельности контролируемого лица, имеющихся в распоряжении Роскомнадзора.

Проводятся рассматриваемые мероприятия в целях предупреждения, выявления, прогнозирования и пресечения нарушений на основании заданий от руководителей подразделений Роскомнадзора (п. 58 Положений). Такие задания могут быть выданы на основании поручения Президента, Правительства, руководителя ведомства, обращения государственного или муниципального органа, юрлица, ИП, физлица, публикации в СМИ (п. 60 Положений).

Результаты проверки соблюдения законодательства о персональных данных

По итогам мероприятия без взаимодействия составляется докладная записка, которая передается руководителю подразделения Роскомнадзора. Если выявлены нарушения, то оператору ПД направляется требование — об уточнении, блокировании или уничтожении незаконно используемых персональных данных. Если нарушение привело к причинению вреда или к угрозе причинения вреда охраняемым законом ценностям, то в отношении нарушителя может быть начато контрольно-надзорное мероприятие в порядке, установленном ст. 60 Закона № 248-ФЗ.

Проверки Роскомнадзора: сроки

Проверки Роскомнадзора, как мы уже определили, могут быть разными и проводиться по разным основаниям. В каждом случае правила определения сроков проверок также разные.

В случае с профилактическими мероприятиями сроки прописаны в формулировках постановления № 1046 применительно к конкретному типу таких мероприятий.

 Самое серьезное по содержанию профилактическое мероприятие Роскомнадзора, достаточно близкое к выездной проверке по существу – профилактический визит. О его проведении хозяйствующий субъект уведомляется не позднее, чем за 5 рабочих дней до проведения данного мероприятия. Общий срок его проведения не должен превышать 5 рабочих дней.

Инспекционный визит – самое "легкое" контрольно-надзорное мероприятие Роскомнадзора, проводится по плану в отношении фирм:

  • с высоким риском – с периодичностью 1 раз в 2 года;
  • со значительным риском – 1 раз в 3 года;
  • со средним риском – 1 раз в 4 года.

Инспекционный визит

Инспекционный визит может быть внеплановым (ч. 3 ст. 57 Закона № 248-ФЗ). В случаях, не попадающих под действие п. 3-6 ч. 1, ч. 3 ст. 57 и ч. 12 ст. 66 Закона № 248-ФЗ, внеплановый визит согласуется с прокуратурой (ч. 7 ст. 70 Закона № 248-ФЗ). Указанные случаи отражают в достаточной мере серьезные нарушения – например, создание угрозы для охраняемых законом ценностей.

Проводится визит – как плановый, так и внеплановый, без предварительного уведомления хозяйствующего субъекта (ч. 4 ст. 70 Закона № 248-ФЗ). Срок мероприятия – не более 1 рабочего дня (ч. 5 ст. 70 Закона № 248-ФЗ).

Документарная проверка

Документарная проверка – следующий по сложности вид контрольно-надзорных мероприятий, проводится по плану Роскомнадзором по предприятиям:

  • со средним риском – 1 раз в 4 года (может быть заменена инспекционным визитом);
  • с умеренным риском – 1 раз в 6 лет.

Возможна внеплановая документарная проверка, причем без согласования с органами прокуратуры (ч. 9 ст. 72 Закона № 248-ФЗ). Сроки проведения мероприятия не должны превышать 10 дней (ч. 7 ст. 72 Закона № 248-ФЗ). 

Выездная проверка

Выездная проверка – самое строгое контрольно-надзорное мероприятие. Роскомнадзор проводит его в плановом порядке в отношении предприятий: 

  • с высоким риском – 1 раз в 2 года (возможна замена проверки инспекционным визитом);
  • со значительным риском – 1 раз в 3 года (аналогично, может быть заменена визитом);
  • со средним риском – в раз в 4 года (может быть заменена визитом или документарной проверкой);
  • с умеренным риском – 1 раз в 6 лет (может быть заменена документарной проверкой). 

Выездная проверка проводится по основаниям, приведенным в ч. 3 ст. 73 Закона № 248-ФЗ. Например, она может быть начата, если регулятор не уверен в полноте сведений, содержащихся в его распоряжении или в запрошенных им документах. Внеплановая выездная проверка требует согласования с органами прокуратуры – опять же, за исключением случаев, что прописаня в п. 3-6 ч. 1, ч. 3 ст. 57 и ч. 12 ст. 66 Закона № 248-ФЗ. О проведении проверки фирма уведомляется не позднее, чем за 24 часа до проведения мероприятия в порядке, определенном ст. 21 Закона № 248-ФЗ. Максимальный срок проверки – 10 рабочих дней (ч. 7 ст. 73 Закона № 248-ФЗ. 

По мероприятиям без взаимодействия Положение по постановлению № 1046 не устанавливает каких-либо конкретных сроков по предупреждению хозяйствующего субъекта. Вместе с тем, если данное мероприятие выявило нарушение, то фирме могут предписать произвести то или иное действие с незаконными персональными данными в течение 10 дней с последующим информированием Роскомнадзора о том, что такое действие проведено.

Специализация: Гражданское, земельное, трудовое, уголовное право

Имеет более 15 лет юридического стажа в крупных холдингах Юга России.
Обладает опытом в области договорной и претензионной работы, мирного разрешения споров, судебного взыскания долгов и оспаривания прав на имущество.

Вы — юрист или бухгалтер?
Можете разместить интересную статью под своим авторством на нашем сайте!
Укажем вас в качестве автора и добавим в пул экспертов сайта
Пишите на почту: zabota@spmag.ru
Посмотрите другие статьи и образцы документов раздела: Проверки
Оставить комментарий