Утвержден новый порядок проведения проверок Роскомнадзором
13 февраля 2019 года было принято постановление правительства РФ № 146, которое устанавливает Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее - Правила).
Данные правила определяют порядок проведения проверок индивидуальных предпринимателей и юридических лиц, а также порядок осуществления надзора за операторами персональных данных. Правила не распространяются на контроль и надзор за выполнением организационных и технических мер согласно ФЗ «О защите персональных данных», ст. 19 Закона.
Данные Правила определяют порядок действий:
Кто попадает под плановые проверки;
Основания проведения внеплановых проверок;
Порядок проведения проверок;
Порядок проведения документарных проверок;
Порядок проведения выездных проверок;
Порядок обжалования результатов проведения проверки;
Кто попадает под плановые проверки?
Запланированные проверки производятся в соответствии с ежегодными планами проверок, которые размещаются на официальных сайтах государственных органов.
Критерием для включения организации в план проверок является истечение 3 лет со дня государственной регистрации компании или проведения последней плановой проверки.
Правила также устанавливают возможность проведения плановых проверок не чаще 1 раза в 2 года в следующих случаях:
Обработка персональных данных в государственных информационных системах ГИС;
При обработке биометрических персональных данных или специальных категорий персональных данных;
При трансграничной передаче персональных данных в страны, не обеспечивающие адекватную защиту прав субъектов. Список таких стран.
При обработке персональных данных по поручению иностранного государства.
Основания проведения внеплановых проверок
Правила содержат исчерпывающий перечень оснований для инициирования процедуры проведения внеплановой проверки:
В случае неисполнения или частичного исполнения предписания Роскомнадзора;
По результатам рассмотрения заявлений граждан, в случае установления факта нарушения прав граждан, определенных в ст. 14-17 ФЗ «О защите персональных данных»;
Согласно поручению президента РФ или правительства РФ;
Согласно требованию прокурора об осуществлении внеплановой проверки;
По решению руководителя Роскомнадзора при проведении мероприятий по контролю за операторами без взаимодействия с ними.
Следует отметить, что проведение выездной проверки без согласования с прокуратурой невозможно, если проверка инициирована на основании жалоб граждан или по решению оператора в соответствии с результатами контрольных мероприятий.
Порядок проведения проверок
Проверки производятся в документарной (запрос документов) или выездной форме. Документарные проверки не могут быть внеплановыми. Все проверки проводятся на основании приказа, изданного должностным лицом.
Роскомнадзор должен уведомить оператора о проведении плановой проверки не позднее чем за 3 рабочих дня до даты ее начала, путем направления приказа заказным письмом или отправкой документа на адрес электронной почты.
При проведении внеплановой проверки Роскомнадзор должен уведомить оператора не менее чем за 24 часа до ее начала.
В отношении чего проводится проверка?
Проверка проводится в отношении документов и локальных актов оператора, указанных в ст. 18.1. ФЗ «О защите персональных данных», а также в отношении принимаемых мер оператором персональных данных.
Дополнительная информация по данному вопросу доступна в открытых источниках в интернете.
Также проверка производится в отношении деятельности оператора и информационных систем персональных данных оператора, касающихся обработки. В данном аспекте Роскомнадзор на основе выборки изучает, каким образом производятся сбор и хранение персональных данных, кому они передаются в ходе обработки. Проверяются сроки хранения, порядок и способы прекращения обработки данных.
Какой срок проведения проверки?
Срок проведения плановой проверки составляет 20 рабочих дней, может быть продлен еще на 20 рабочих дней.
Срок проведения внеплановой проверки составляет 10 рабочих дней, может быть продлен еще на 10 дней.
Если проверка проводится в отношении организации, которая осуществляет деятельность на территории нескольких субъектов, то для каждого филиала устанавливается свой срок, при этом общий срок проведения проверки для компании не может превышать 60 рабочих дней.
На основании чего сроки проверки продлеваются?
Если в ходе проверки контролирующим органом будут получены данные, свидетельствующие о нарушении оператором закона о персональных данных;
При возникновении обстоятельств непреодолимой силы в месте проведения проверки (пожар, затопления и т.д.);
В случае непредоставления оператором документов, запрашиваемых контролирующим органом в ходе проверки;
При затруднениях в связи с большим объемом проверяемых данных или сложностью технологических процессов обработки.
Порядок проведения документарных проверок
Документарная проверка проводится только при проведении плановой проверки посредством анализа запрашиваемых документов. Многие коллеги зачастую неправильно расценивают запросы, направленные оператору в рамках ФЗ «О порядке рассмотрения обращений граждан РФ» по существу вопросов, указанных в обращении с документарной проверкой. Еще раз обращаю внимание, что эти запросы не являются документарной проверкой!
Сроки проведения документарной проверки
В ходе проведения документарной проверки Роскомнадзору необходимо предоставлять документы в течение 5 рабочих дней с момента получения запроса. При этом, моментом получения таких документов будет являться дата с отметкой органа о получении. Таким образом, на оператора возлагается ответственность за соблюдение сроков, даже при отправке документов почтой. Однако, Правилами предусмотрена возможность предоставления документов в электронной форме, подписанных усиленной электронной цифровой подписью.
В случае непредоставления документов в указанный срок или пояснений по предоставленным документам в трёхдневный срок, Роскомнадзор в праве инициировать проведение выездной проверки.
Порядок проведения выездных проверок
Выездная проверка должна начинаться:
с предъявления служебного удостоверения должностного лица;
c ознакомления с приказом о назначении выездной проверки и полномочиями должностных лиц, а также целями, задачами и основаниями проведения выездной проверки.
До начала проведения процедуры должностные лица должны предъявить письменный запрос о предоставлении документов и информации, необходимых для проверки. Предоставляемые документы должны быть заверены печатью организации и подписью руководителя организации. Если, какие-либо документы отсутствуют или их невозможно предоставить, то оператор обязан дать письменные пояснения по этому обстоятельству.
Важно оказывать содействие должностным лицам Роскомнадзора при проведении выездной проверки в т.ч. по предоставлению доступа к помещениям оператора или оборудованию, через которое может производится обработка персональных данных. В противном случае проверяющая сторона может составить акт о воспрепятствовании проведению выездной проверки. На основании такого акта могут быть привлечены сотрудники правоохранительных органов для оказания содействия в проведении проверки.
Сроки проведения выездной проверки
Срок для предоставления документов и информации не может составлять менее 2 рабочих дней со момента вручения запроса. Если полученных документов недостаточно для осуществления проверки, Роскомнадзор вправе запросить дополнительные сведения.
В случае воспрепятствования проведению выездной проверки, контролирующий орган может приостановить проведение проверки на срок не более одного месяца с момента составления акта. Если причины приостановки не устранены, то Роскомнадзор в праве составить акт о невозможности проведения проверки.
При таких обстоятельствах, проверяющий орган в праве провести плановую и внеплановую выездную проверку в течение 3 месяцев без предварительного уведомления оператора.
Результаты проведения проверки
Тут все просто. По результатам проверки устанавливается факт отсутствия нарушений либо их наличие с указанием нормативных актов, которые были нарушены. Эти обстоятельства фиксируются в акте проверки, который составляется в двух экземплярах. Если оператор уклоняется от подписания акта, то в нем делается соответствующая отметка, акт проверки направляется оператору на обычную или электронную почту в 10-дневный срок со дня подписания.
К акту должны быть приложены протоколы, справки, пояснения оператора и иные документы подтверждающие результаты проверки.
Спорный акт можно обжаловать во внесудебном порядке в вышестоящий орган Роскомнадзора, либо в судебном порядке с соблюдением правил подсудности.
