Проверки Роскомнадзора по защите персональных данных

proverki_roskomnadzora_po_zashchite_personalnyh_dannyh.jpg

Похожие публикации
Плановые и внеплановые проверки Роскомнадзора по защите персональных данных проводятся в соответствии со ст. 23 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006. Данная статья наделяет ведомство контрольными функциями в отношении организаций, являющихся операторами персональных данных, то есть обладающих правом на их обработку. С 23-го февраля 2019 года вступили в действие Правила проведения подобных проверок, в которых появилось немало новшеств.
Проверки Роскомнадзора по защите персональных данных: что изменилось
Правила осуществления и организации проверок по защите персональных данных (сокращенно – ПД) введены Постановлением Правительства № 146 от 13.02.2019. Ранее они осуществлялись в соответствии с Административным регламентом проведения аналогичных проверок Роскомнадзором (Приказ Минкомсвязи № 312 от 14.11.2011). Данный Регламент не отменен, он продолжает действовать и сейчас, но только в части, не противоречащей введенным Правилам.
В новых Правилах проведения проверок по защите ПД есть ряд важных изменений:
-
Оставлено только два основания для включения организации или ИП в план проверки:
- истечение трехлетнего срока со дня последней (плановой) проверки;
- истечение трехлетнего срока со дня государственной регистрации объекта проверки (в качестве юрлица или индивидуального предпринимателя).
Такое основание, как начало обработки ПД оператором, Правилами отменено.
-
Сокращен вдвое срок проведения внеплановой проверки – с 20 до 10 дней. Срок осуществления запланированной проверки оставлен прежний, он составляет 20 дней.
-
Внеплановые документарные проверки более не проводятся – они упразднены.
-
Документы по запросу инспекторов предоставляются оператором в 5-дневный срок (ранее им давалось 10 дней).
-
До начала выездной проверки оператор ПД обязан представить запрашиваемые документы в срок, указанный в запросе (он составит не меньше 2-х рабочих дней).
-
Плановые проверки Роскомнадзора по защите персональных данных, по общему правилу, организуются раз в три года. Однако в определенных случаях их разрешено проводить чаще (раз в два года):
- если оператором собирается биометрия или иные спецданные о человеке;
- если ПД обрабатываются в государственных информационных банках (системах);
- если ПД собираются и обрабатываются по поручению иностранного лица или госоргана, не зарегистрированного на территории РФ;
- если оператором осуществляется трансграничная передача ПД.
Два года отсчитывается со дня окончания последней плановой контрольной проверки (п.6 Правил).
Обращаем внимание, что на данные Правила не распространяется действие Федерального закона № 294-ФЗ от 26.12.2008, который не позволяет проводить плановые проверки бизнеса чаще, чем раз в три года (ст.1 п.3.1 пп.20 закона № 294-ФЗ). То есть Правительство, которое пока также установило трехлетний срок для проведения плановых проверок обработки ПД, вправе при желании сделать их более частыми.
Проверки Роскомнадзора по персональным данным: виды, особенности
Проверки по обработке операторами персональных данных могут быть:
-
плановыми (о них оператор ПД уведомляется за 3 дня, либо сам отслеживает информацию на сайте Роскомнадзора );
-
внеплановыми (организуются по основаниям, указанным в п.8 Правил, например, если получена жалоба от гражданина или оператором не устранено ранее выявленное нарушение).
О внеплановой проверке оператор предупреждается за сутки до ее начала. Она может быть только выездной, то есть инспекторы приезжают по месту нахождения компании. Плановая проверка обработки ПД бывает как выездной, так и документарной (когда работниками Роскомнадзора запрашиваются и проверяются документы, без выезда на место проверки).
По итогам контрольного мероприятия составляется акт проверки Роскомнадзора по защите персональных данных. В нем либо фиксируются обнаруженные нарушения, либо отмечается, что они отсутствуют. Один из 2-х экземпляров остается у оператора, который, в случае несогласия с результатами проверки, вправе обжаловать их как судебном, так и досудебном порядке.
Операторам ПД следует учесть, что в Единый реестр проверок , ежегодно формируемый Генпрокуратурой, проверки по персональным данным не входят (п.2 и п.13 Постановления Правительства № 415 от 28.04.2015).
В ожидании проверки Роскомнадзора по персональным данным операторам следует:
-
Проверить наличие и корректность оформления документов, содержащих ПД.
-
Организовать внутреннюю ревизию на предприятии (проконтролировать, как хранятся документы, как с ними ведется работа, соблюдаются ли условия безопасности и т.д.).
-
Провести дополнительный инструктаж сотрудников, ответственных за обработку и хранение ПД.
У оператора должен иметься внутренний локальный акт – Положение (Порядок) о сборе, хранении и обработки ПД. Также проверяется наличие согласия граждан на их обработку.
Полные тексты нормативных документов в актуальной редакции вы всегда сможете посмотреть в КонсультантПлюс.