Проверки Роскомнадзора по защите персональных данных

Плановые и внеплановые проверки Роскомнадзора по защите персональных данных проводятся в соответствии со ст. 23 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006. Данная статья наделяет ведомство контрольными функциями в отношении организаций, являющихся операторами персональных данных, то есть обладающих правом на их обработку. С 23-го февраля 2019 года вступили в действие Правила проведения подобных проверок, в которых появилось немало новшеств.

Проверки Роскомнадзора по защите персональных данных: что изменилось

Правила осуществления и организации проверок по защите персональных данных (сокращенно – ПД) введены Постановлением Правительства № 146 от 13.02.2019. Ранее они осуществлялись в соответствии с Административным регламентом проведения аналогичных проверок Роскомнадзором (Приказ Минкомсвязи № 312 от 14.11.2011). Данный Регламент не отменен, он продолжает действовать и сейчас, но только в части, не противоречащей введенным Правилам.

В новых Правилах проведения проверок по защите ПД есть ряд важных изменений:

1. Оставлено только два основания для включения организации или ИП в план проверки:

• истечение трехлетнего срока со дня последней (плановой) проверки;
• истечение трехлетнего срока со дня государственной регистрации объекта проверки (в качестве юрлица или индивидуального предпринимателя).

Такое основание, как начало обработки ПД оператором, Правилами отменено.

2. Сокращен вдвое срок проведения внеплановой проверки – с 20 до 10 дней. Срок осуществления запланированной проверки оставлен прежний, он составляет 20 дней.

3. Внеплановые документарные проверки более не проводятся – они упразднены.

4. Документы по запросу инспекторов предоставляются оператором в 5-дневный срок (ранее им давалось 10 дней).

5. До начала выездной проверки оператор ПД обязан представить запрашиваемые документы в срок, указанный в запросе (он составит не меньше 2-х рабочих дней).

6. Плановые проверки Роскомнадзора по защите персональных данных, по общему правилу, организуются раз в три года. Однако в определенных случаях их разрешено проводить чаще (раз в два года):

• если оператором собирается биометрия или иные спецданные о человеке;
• если ПД обрабатываются в государственных информационных банках (системах);
• если ПД собираются и обрабатываются по поручению иностранного лица или госоргана, не зарегистрированного на территории РФ;
• если оператором осуществляется трансграничная передача ПД.

Два года отсчитывается со дня окончания последней плановой контрольной проверки (п.6 Правил).

Обращаем внимание, что на данные Правила не распространяется действие Федерального закона № 294-ФЗ от 26.12.2008, который не позволяет проводить плановые проверки бизнеса чаще, чем раз в три года (ст.1 п.3.1 пп.20 закона № 294-ФЗ). То есть Правительство, которое пока также установило трехлетний срок для проведения плановых проверок обработки ПД, вправе при желании сделать их более частыми.

Проверки Роскомнадзора по персональным данным: виды, особенности

Проверки по обработке операторами персональных данных могут быть:

• плановыми (о них оператор ПД уведомляется за 3 дня, либо сам отслеживает информацию на ]]>сайте Роскомнадзора]]>);

• внеплановыми (организуются по основаниям, указанным в п.8 Правил, например, если получена жалоба от гражданина или оператором не устранено ранее выявленное нарушение).

О внеплановой проверке оператор предупреждается за сутки до ее начала. Она может быть только выездной, то есть инспекторы приезжают по месту нахождения компании. Плановая проверка обработки ПД бывает как выездной, так и документарной (когда работниками Роскомнадзора запрашиваются и проверяются документы, без выезда на место проверки).

По итогам контрольного мероприятия составляется акт проверки Роскомнадзора по защите персональных данных. В нем либо фиксируются обнаруженные нарушения, либо отмечается, что они отсутствуют. Один из 2-х экземпляров остается у оператора, который, в случае несогласия с результатами проверки, вправе обжаловать их как судебном, так и досудебном порядке.

Операторам ПД следует учесть, что в ]]>Единый реестр проверок]]>, ежегодно формируемый Генпрокуратурой, проверки по персональным данным не входят (п.2 и п.13 Постановления Правительства № 415 от 28.04.2015).

В ожидании проверки Роскомнадзора по персональным данным операторам следует:

1. Проверить наличие и корректность оформления документов, содержащих ПД.

2. Организовать внутреннюю ревизию на предприятии (проконтролировать, как хранятся документы, как с ними ведется работа, соблюдаются ли условия безопасности и т.д.).

3. Провести дополнительный инструктаж сотрудников, ответственных за обработку и хранение ПД.

У оператора должен иметься внутренний локальный акт – Положение (Порядок) о сборе, хранении и обработки ПД. Также проверяется наличие согласия граждан на их обработку.