ЕСТЬ РЕШЕНИЕ

Возможности Роскомнадзора при осуществлении контроля обработки персональных данных

В ИЮНЕ 2021Г . ИЗМЕНИЛСЯ ПОРЯДОК ПРОВЕДЕНИЯ ПРОВЕРОК РОСКОМНАДЗОРОМ ОПЕРАТОРОВ ПЕРСОНАЛЬНЫХ ДАННЫХ : глобально возможности регулятора и преследуемые им цели остались прежними , но появились нюансы . Какими могут быть проверки ? Какая у них периодичность ? Какие профилактические меры проводятся регулятором ? На эти и другие вопросы отвечает Елизавета Тутова , руководитель группы консалтинга Cross Technologies .

Сейчас существуют следующие регулирующие проведение проверок документы , на которые буду опираться далее :

Федеральный закон от 31.07.2020 г . № 248-ФЗ « О государственном контроле ( надзоре ) и муниципальном контроле в Российской Федерации » ( далее – 248-ФЗ ).

Постановление Правительства РФ от 29.06.2021 г . № 1046 « О федеральном государственном контроле ( надзоре ) за обработкой персональных данных » ( далее – ПП-1046 ).

Приказ Минкомсвязи России от 14.11.2011 г . № 312 « Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи , информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля ( надзора ) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных » ( далее – Приказ № 312 ).

Профилактика

У Роскомнадзора теперь достаточно широкий спектр методов проведения мероприятий по контролю и надзору , а также полномочий по получению интересующей их информации . Один из них – профилактика . Она бывает следующих видов , согласно разделу III ПП-1046 :

информирование операторов по вопросам соблюдения обязательных требований . Осуществляется посредством размещения соответствующих сведений на сайте Роскомнадзора ;

размещение доклада о правоприменительной практике на сайте Роскомнадзора ;

объявление предостережения . В случае наличия у Роскомнадзора сведений о готовящихся со стороны оператора нарушениях , регулятор объявляет ему предостережение и предлагает принять меры по обеспечению соблюдения обязательных требований по обработке и защите персональных данных . У оператора есть 10 рабочих дней на возражение ;

Роскомнадзор осуществляет консультирование оператора по вопросам обработки и защиты персональных данных по телефону , посредством видеоконференц-связи или на личном приеме ;

обязательные профилактические визиты проводятся Роскомнадзором в отношении операторов , отнесенных к категориям высокого и значительного риска , согласно разделу II ПП-1046 . А также в отношении операторов , приступающих к осуществлению деятельности в сфере обработки персональных данных . Уведомление о визите оператор получит за пять рабочих дней , длительность визита – не более пяти рабочих дней . Негативным итогом может стать внеплановая проверка ;

контроль без взаимодействия . Роскомнадзор наблюдает за деятельностью оператора в интернете ( в т . ч . за публикациями с СМИ об утечках персональных данных или ином нарушении прав субъектов персональных данных со стороны оператора ) и получает информацию о деятельности оператора при межведомственном взаимодействии . Такой контроль может быть запущен после поручения Президента / Правительства / Руководителя Роскомнадзора , обращения в Роскомнадзор государственных органов , юридических и физических лиц , публикаций в СМИ / интернет . Негативным итогом может стать требование об устранении нарушений в течение 10 рабочих дней и / или внеплановая проверка .

Проверка

Проверки от Роскомнадзора бывают трех видов :

инспекционный визит . Его длительность один рабочий день , без предварительного уведомления . Внеплановый инспекционный визит может проводиться только по согласованию с органами прокуратуры , за исключением случаев его проведения в соответствии с п . 3 – 6 ч . 1 , ч . 3 ст . 57 и ч . 12 ст . 66 248-ФЗ .

документарная проверка . Ее длительность не более 10 рабочих дней , и еще 10 рабочих дней дается оператору на дачу пояснения . Внеплановая документарная проверка проводится без согласования с органами прокуратуры . Роскомнадзор запрашивает все документы , касающиеся обработки и защиты персональных данных , и пояснения к ним .

выездная проверка : плановая ( указана в Плане плановых проверок , размещенном на сайте Роскомнадзора , оператор получает уведомление за три рабочих дня ) и внеплановая ( оператор получает уведомление за 24 ч .).

Результат у проверок стандартный – акт в течение пяти рабочих дней после завершения . Но в случае нарушений оператору выдается предписание об их устранении . При неустранении – протоколы об административных правонарушениях , суд , штрафы .

Выездные проверки

Остановлюсь подробнее на выездных проверках . Они бывают двух видов : плановые и внеплановые . Сначала разберем первый . Их план размещен на официальном сайте Роскомнадзора , а длительность составляет 10 рабочих дней . При этом есть возможность продления , но не более , чем на 20 рабочих дней .

В течение 2 – 5 рабочих дней оператору необходимо предоставить информацию по запросам регулятора . За непредставление может быть административная ответственность . Уполномоченный представитель / ответственный за обработку персональных данных ( назначенный приказом и наделенный полномочиями общаться с регулятором ) должен быть все дни проверки на рабочем месте при проверяющем , иначе проверку могут приостановить и возобновить в течение года в любой момент .

Периодичность плановых проверок зависит от уровня риска , который Роскомнадзор присваивает организации ( согласно разделу II ПП-1046 ):

высокий риск : инспекционный визит или выездная проверка с периодичностью один раз в два года ;

значительный риск : инспекционный визит или выездная проверка с периодичностью один раз в три года ;

средний риск : инспекционный визит или документарная проверка , или выездная проверка с периодичностью один раз в четыре года ;

умеренный риск : документарная проверка или выездная проверка с периодичностью один раз в шесть лет ;

низкий риск : плановые контрольные ( надзорные ) мероприятия не проводятся .

Периодичность внеплановых проверок может быть любой , а длительность составляет 10 рабочих дней с возможностью продления не более , чем на 20 рабочих дней .

При этом могут быть следующие основания для внеплановых выездных проверок :

жалобы субъектов персональных данных , чьи права были нарушены , при условии предоставления подтверждающих материалов ;

нарушения , выявленные в результате контроля без взаимодействия с оператором ;

нарушения , выявленные по итогам профилактического визита .

При плановых и внеплановых выездных проверках Роскомнадзор обладает следующими полномочиями :

осмотр ( помещения ) – фотосъемка , видеозапись ;

опрос – аудиозапись ;

получение письменных объяснений : инспектор может спросить любого сотрудника , задействованного в процессе обработки ( необязательно того , на кого ему укажут ) их дать , а потом сверить с фактом – фотосъемка , видеозапись ;

истребование документов – фотосъемка , аудио- и видеозапись ;

инструментальное обследование ( информационных систем персональных данных ) – фотосъемка , видеозапись ;

экспертиза – фотосъемка , видеозапись .

Основная цель регулятора – проверка выполнения требований по обработке и защите персональных данных . Сами требования , которым должен следовать оператор , остались неизменными . Появились нововведения в виде разделения операторов по уровням риска и проведения контрольных мероприятий без прямого взаимодействия с оператором . Срок проведения плановой выездной проверки сократился в два раза .

Таким образом , оператору необходимо выполнять требования следующих нормативно-правовых актов :

Федеральный закон « О персональных данных » от 27.07.2006 г . № 152-ФЗ .

Постановление Правительства РФ от 01.11.2012 г . № 1119 « Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных ».

Постановление Правительства РФ от 15.09.2008 г . № 687 « Об утверждении Положения об особенностях обработки персональных данных , осуществляемой без использования средств автоматизации ».

Если оператор персональных данных будет их соблюдать , то новый вид и длительность проверок регулятора не окажут значительное влияние на деятельность оператора . Только в выделении ресурсов при подготовке ответов на запросы Роскомнадзора . Очевидно , что из-за сокращения срока проверки запросы будут поступать более интенсивно .