Как проверяет компании Роскомнадзор в сфере персональных данных?

Мы уже писали, что все операторы должного будут подавать отчеты, т.к. вступят в силу поправки Федерального закона от 14.07.2022 № 266-ФЗ.

Речь идет о персональных данных, которые составляются сотрудники, клиенты и если вы их храните для учета, для выплаты зарплаты, обслуживания, то вы автоматически становитесь оператором. Осуществляет контроль за исполнением закона ведомство Роскомнадзор (РКН).

Мероприятия контроля можно условно разделить на бесконтактные (когда нет взаимодействия с контролируемым лицом) и контактные.

Бесконтактные мероприятия проводятся на основании заданий, утверждаемых руководителем (его уполномоченным заместителем) контрольного (надзорного) органа.

Закрытый перечень контактных мероприятий устанавливается положением о виде контроля. Роскомнадзор (РКН) в рамках контроля (надзора) за обработкой персональных данных проводит следующие мероприятия:

• инспекционный визит;
• документарную проверку;
• выездную проверку.

Контактные мероприятия могут быть плановыми и внеплановыми. Плановые проводятся на основании ежегодного плана, который согласуется с органами прокуратуры. Планы на очередной календарный год формируются по Правилам, утвержденным Постановлением Правительства РФ от 31.12.2020 № 2428. Внеплановые мероприятия проводятся только при наличии оснований (например, истек срок исполнения решения об устранении нарушения).

Особенности проведения плановых и внеплановых контрольных) мероприятий в 2022 г.В 2022 г. по общему правилу плановые мероприятия не проводятся, за исключением отдельных случаев (п. 1 Постановления Правительства РФ от 10.03.2022 № 336). Обратите внимание: Постановление Правительства РФ от 08.09.2021 № 1520, установившее особенности проведения в 2022 г. плановых мероприятий в отношении СМП, не отменено. Внеплановые мероприятия проводятся только по определенному перечню оснований, например, по согласованию с прокуратурой при непосредственной угрозе (п. 3 Постановления Правительства РФ от 10.03.2022 № 336):

• причинения вреда жизни и тяжкого вреда здоровью граждан;
• причинения ущерба обороне страны и безопасности государства;
• возникновения ЧС.

Предписания об устранении нарушений выдаются только в случаях, когда в ходе мероприятия были выявлены факты нарушения, влекущие непосредственную угрозу причинения вреда жизни и тяжкого вреда здоровью людей, возникновения ЧС, ущерба обороне страны и безопасности государства. По итогам мероприятий, проведенных без взаимодействия с контролируемым лицом, предписания не выдаются (п. 7 Постановления Правительства РФ от 10.03.2022 № 336).

Срок исполнения предписаний, выданных до 10.03.2022 и действующих на эту дату, продлевается на 90 календарных дней со дня истечения срока исполнения. Ходатайство (заявление) подавать не нужно, срок продлевается автоматически. Вы можете направить ходатайство (заявление) о дополнительном продлении. Сделайте это не позднее предпоследнего дня срока, продленного автоматически (п. 8 Постановления Правительства РФ от 10.03.2022 № 336).

Не обо всех мероприятиях предварительно уведомляют. Например, инспекционный визит проводится без такого уведомления. О выездной проверке предварительно уведомят не позднее чем за 24 часа до начала.

Какими способами ещё Роскомнадзор контролирует соблюдение законодательства

На контрольные (надзорные) мероприятия, осуществляемые без взаимодействия с контролируемым лицом, не распространяются положения Закона № 248-ФЗ.

Кроме того, необходимость взаимодействовать с контролирующим органом у вас может появиться и за рамками этих мероприятий. Так, РКН может запросить у вас информацию, если она необходима для реализации его полномочий (например, для рассмотрения и ответа гражданину по его жалобе). При этом вы обязаны предоставить такую информацию в 30-дневный срок с даты получения запроса (ч. 4 ст. 20, п. 1 ч. 3 ст. 23 Закона о персональных данных). Если вы этого не сделаете, то вас могут привлечь к ответственности по ст. 19.7 КоАП РФ (предупреждение или штраф на граждан в размере от 100 до 300 руб.; на должностных лиц — от 300 до 500. руб.; на юридических лиц — от 3 тыс. до 5 тыс. руб.).

Чтобы избежать негативных последствий (например, привлечения к административной ответственности) при взаимодействии с органами РКН, необходимо принять меры, чтобы своевременно получать корреспонденцию от него. В большинстве случаев направить ее в ваш адрес могут любым доступным способом, в том числе по электронной почте.

Вы не в реестре операторов РКН

Для органов РКН не имеет значения, подавали вы уведомление о начале обработки персональных данных или нет. Они могут контролировать соблюдение вами требований в любом случае. Ни Закон о персональных данных, ни Положение о госконтроле (надзоре) за обработкой персональных данных прямо об этом не говорят. В этих документах речь идет об операторах персональных данных. Таковыми признаются любые лица, организующие и (или) осуществляющие обработку данных, а также определяющие цели и содержание такой обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными. Роскомнадзор подчеркивает, что лицо признается оператором персональных данных вне зависимости от того, включено оно или нет в реестр операторов, который ведет Роскомнадзор (п. 2 ст. 3 Закона о персональных данных).

Периодичность, сроки

Периодичность плановых мероприятий зависит от категории риска причинения вреда (ущерба), присвоенной объекту контроля. Для этого используют установленные критерии. Чем выше категория риска, тем чаще мероприятия назначаются. Если категория риска низкая, то плановые мероприятия не проводятся. Периодичность проведения мероприятий определена в п. 12 Положения о госконтроле (надзоре) за обработкой персональных данных. Так, в отношении объектов контроля категории высокого риска инспекционный визит или выездная проверка проводятся с периодичностью один раз в 2 года, а в отношении объектов контроля категории значительного риска эти мероприятия проводятся один раз в 3 года.

Нарушение периодичности проведения планового контрольного (надзорного) мероприятия относится к числу грубых нарушений требований госконтроля (надзора). Решения, принятые по результатам таких мероприятий, подлежат отмене (ч. 1, п. 4 ч. 2 ст. 91 Закона № 248-ФЗ).

Роскомнадзор информирует контролируемых лиц по вопросам соблюдения обязательных требований, в частности, размещая сведения на своем сайте, через личный кабинет контролируемого лица в информационной системе (ч. 2 ст. 46 Закона № 248-ФЗ, п. 14 Положения о госконтроле (надзоре) за обработкой персональных данных).

Отметим, что информация о контрольных (надзорных) мероприятиях с взаимодействием включается в единый реестр контрольных (надзорных) мероприятий) (п. 1 ч. 1 ст. 19 Закона № 248-ФЗ).

Вы можете получить доступ к сведениям о вас, содержащимся в едином реестре, через Единый портал госуслуг, региональный портал и (или) в личный кабинет контролируемого лица в ведомственных информационных системах (ч. 4 ст. 21 Закона № 248-ФЗ, п. 23 Правил формирования и ведения единого реестра контрольных (надзорных) мероприятий).

При этом проведение контрольных (надзорных) мероприятий, информация о которых на момент начала их проведения в едином реестре контрольных (надзорных) мероприятий отсутствует, не допускается (ч. 4 ст. 19 Закона № 248-ФЗ).

Например, срок проведения документарной проверки не может превышать 10 рабочих дней (ч. 7 ст. 72 Закона № 248-ФЗ, п. 46 Положения о госконтроле (надзоре) за обработкой персональных данных).

Однако в указанный срок не включаются периоды (ч. 7 ст. 72 Закона № 248-ФЗ):

· с момента направления контрольным органом требования представить необходимые для рассмотрения в ходе документарной проверки документы до момента представления указанных в требовании документов в контрольный орган;

· с момента направления контролируемому лицу информации контрольного органа о выявлении ошибок и (или) противоречий в представленных документах либо о несоответствии сведений, содержащихся в этих документах, сведениям, имеющимся у контрольного органа, и требования представить необходимые пояснения в письменной форме до момента представления указанных пояснений в контрольный орган.

Срок проведения выездной проверки не может превышать 10 рабочих дней (ч. 7 ст. 73 Закона № 248-ФЗ, п. 51 Положения о госконтроле (надзоре) за обработкой персональных данных).

В отношении одного субъекта малого предпринимательства общий срок взаимодействия в ходе проведения выездной проверки не может превышать (ч. 7 ст. 73 Закона № 248-ФЗ):

• ·50 часов — для малого предприятия;
• ·15 часов — для микропредприятия. Исключение — выездная проверка, основанием для проведения которой является п. 6 ч. 1 ст. 57 Закона № 248-ФЗ и которая для микропредприятия не может продолжаться более 40 часов.

Отметим, что если вы осуществляете деятельность на территории нескольких субъектов РФ, то срок проверки будет установлен для каждого филиала (представительства) (ч. 7 ст. 73 Закона № 248-ФЗ).

Ответственность

Если в результате проведения контрольных (надзорных) мероприятий у вас были обнаружены нарушения в сфере персональных данных, то вас могут привлечь к административной ответственности. Так, за обработку персональных данных в случаях, которые не предусмотрены законом, грозит штраф. В частности, для юрлиц он составляет от 60 000 до 100 000 руб., а при повторном нарушении — от 100 000 до 300 000 руб. (ч. 1, 1.1 ст. 13.11 КоАП РФ).

Кроме того, Роскомнадзор может требовать в судебном порядке блокировки доступа к вашему интернет-ресурсу (п. 3.1 ч. 3 ст. 23 Закона о персональных данных). Полагаем, что сделать это он может как по результатам контрольных (надзорных) мероприятий, так и не в связи с ними.

При наличии оснований должностные лица РКН могут передать материалы для возбуждения уголовного дела в органы прокуратуры или правоохранительные органы (п. 7 ч. 3 ст. 23 Закона о персональных данных).

Обжалование решений и действий (бездействий) Роскомнадзора

Оспорить решения и действия (бездействие) должностных лиц можно как в досудебном порядке, так и в суде (п. 5 ст. 36, ч. 1 ст. 39, ч. 4 ст. 40 Закона № 248-ФЗ, п. 6 ст. 23 Закона «О персональных данных»).

Учтите, что обратиться в суд возможно только после досудебного обжалования (ч. 13 ст. 98 Закона № 248-ФЗ, п. 14 Перечня видов федерального госконтроля (надзора), в отношении которых применяется обязательный досудебный порядок рассмотрения жалоб).

Должностные лица РКН обязаны соблюдать установленный порядок проведения контрольных (надзорных) мероприятий. В противном случае их действия и бездействие могут нарушать ваши права и интересы. Решения, принятые по результатам контрольного (надзорного) мероприятия, проведенного с грубым нарушением требований к организации и осуществлению государственного контроля (надзора), подлежат отмене (ч. 1 ст. 91 Закона № 248-ФЗ).

Обратите внимание, что в рамках досудебного обжалования на портале госуслуг можно подать жалобу на проверку, проведение которой нарушает введенный мораторий (ограничения) на проведение подобных проверок в 2022 г. (Информация Минэкономразвития России от 11.04.2022). Срок рассмотрения жалобы — один рабочий день. В случае выявления нарушения проверку должны отменить.