Роскомнадзор — новый порядок проведения проверок в 2020 году

Роскомнадзор контролировал обработку персональных данных на соответствие требованиям законодательства на основании Приказа Минсвязи No 312 от 14.11.2011. Приказ действует и поныне, однако 13.02.2019 принято постановление No 146. В нем устанавливается порядок реализации проведения проверки Роскомнадзора:

• механизмы надзора за ИП и юрлицами — операторами ПД;
• госконтроль и наблюдение за тем, как обрабатываются ПД иными лицами, выступающими в качестве оператора персональных данных.

В рамках новых правил полномочия Роскомнадзора ограничены и не влияют на контроль за реализацией организационных и технических мероприятий по сохранности ПД, которые установлены ст.19 N 152-ФЗ.

На что распространяется действие ПП N146:

• вид проверок; порядок проведения и сроки;
• перечень документов, оформляемых при инспектировании.

По своему виду проверки делят на плановые и незапланированные.

Плановый контроль за обработкой ПД

Ежегодные планы инспекций операторов ПД размещены на официальном сайте РКН. В Постановлении установлен не только порядок реализации проведения проверки Роскомнадзора, но и их периодичность. Для включения оператора в план проверки необходимо, чтобы прошло 3 года с:

• госрегистрации в качестве юрлица или ИП;
• даты последней проверки.

Не чаще одного раза в 2 года проверяются операторы, осуществляющие:

• обработку ПД в ИСПДн со статусом государственных инфосистем в соответствии с федеральным законодательством;
• сбор ПД категорий “специальные” и биометрические;
• трансграничную передачу ПД, если иностранное государство не обеспечивает достаточную защиту прав владельцев данных;
• обработку ПД по поручению иностранного: госоргана, юрлица, физлица, — если они не оформлены в РФ в установленном порядке.

Проверки Роскомнадзора по персональным данным проводятся в форме запроса документов — документарная, или с выездом на место— выездная, что проверяют:

1. Документарная — в рамках проведения плановой инспекции анализируются документы и информация, полученная от оператора по письменному запросу РКН, который направлен оператору любым доступным способом. Проводится по месту локализации проверяющего органа.
2. Выездная проверка проводится по месту расположения оператора и (или) по месту его фактической деятельности по обработке персональных данных.

Внеплановый контроль

В отдельных случаях Роскомнадзор проводит незапланированное инспектирование на основании приказа, подписанного уполномоченным должностным лицом. Правила, утвержденные ПП N 146 содержат полный перечень оснований для инициирования внеплановой проверки Роскомнадзора:

• выявления неисполненного или исполненного не полностью предписания, выданного по итогам планового инспектирования;
• нарушения прав граждан, перечисленных ст. 14-17 152-ФЗ, выявленные в результате анализа заявлений пострадавших, поступивших в орган по контролю и надзору;
• поручение органов власти, Президента;
• требование прокурора;
• резолюция руководства Роскомнадзора на основании изучения выводов о наличии нарушений после проведенных проверок без взаимодействия с оператором.

Как Роскомнадзор проверяет операторов персональных данных

В отношении кого проводятся проверки, и что конкретно проверяет Роскомнадзор по персональным данным:

• операторов, которые обрабатывают ПД с применением (или без) АИС. Проверяются соответствие требованиям, меры, которые применяются для реализации этих требований;
• разработанных ЛНА и других документов, перечисленных в п.1 ст.18.1 No 152-ФЗ и принятых мер, указанных там же;
• информационные системы в части обработки персданных.

Управление Роскомнадзора уведомляет о проведении плановой проверки надлежащим способом, затем в организацию выезжает инспектор, если проверка выездная, или запрашиваются документы.

Сроки проведения проверки

Плановая инспекция не может длиться дольше 20 рабочих дней. Продление проверки возможно один раз на аналогичный срок.

Сроки проверки персональных данных в организации вне плана не превышают 10 дней. На такой же срок можно продлить, при необходимости, один раз.

Если проверяется оператор, работающий в нескольких субъектах РФ, длительность проверки определяется по каждому представительству отдельно. Однако общий срок инспектирования организации не должен быть больше 2 месяцев.

Результаты проверки

Выводы инспектирования проверяющие оформляют актом. Факт выездной проверки фиксируется в специальном журнале учета. Если такого журнала нет, запись об этом вносится в акт. Заключение акта содержит:

• факт отсутствия нарушения требований обработки ПДн;
• перечень выявленных нарушений с указанием статей (пунктов) нарушенных нормативных актов.

Акт изготавливается в двух экземплярах, подписывается ответственным, проводившим проверку. В акте выездной проверки уполномоченный специалист оператора расписывается в ознакомлении с ним. При отказе или уклонении от подписи, соответствующая запись делается в самом акте.

Один экземпляр акта остается у проверяющего, второй:

• вместе с копиями приложений передается проверяемому оператору под расписку;
• отправляется почтой в виде заказного письма с уведомлением о вручении, которое хранится у проверяющего органа вместе с первым экземпляром акта;
• направляется в форме электронного документа, подписанного усиленной квалифицированной ЭП ответственного сотрудника Роскомнадзора, проводившего проверку.

Срок отправки — 10 дней со дня подписания. Прилагаются все сопутствующие документы: протоколы, справки, разъяснения оператора, другие бумаги, свидетельствующие обоснованность выводов проверяющих.

Коллеги, а у вас проводились проверки Роскомнадзора? Поделитесь в комментариях — ваш опыт будет очень полезен.