Проверки Роскомнадзора по защите персональных данных

Роскомнадзор имеет право проводить плановые и внеплановые проверки по защите персональных данных. Контрольные функции в отношении организаций, являющихся операторами персональных данных, то есть обладающих правом на их обработку, определены ст. 23 Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006.  Согласно ст. 3 того же Федерального закона   оператором персональных данных является государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Исчерпывающего списка, что является ими нет, но обычно к ним относят:  ФИО, адрес проживания, номер телефона, электронный адрес, дату и место рождения, национальность, вероисповедание, место работы, должность, рост и вес. То есть, формально практически любую организацию можно отнести к оператору персональных данных.

С 23 февраля 2019 года вступили в силу правила проведения проверок Роскомнадзором, среди них есть немало нововведений. Новые требования введены постановлением Правительства №146 от 13.02.2019. Ранее аналогичные действия регламентировал приказ Минкомсвязи №312 от 14.11.2011. Впрочем, документ продолжает действовать, за исключением частей противоречащих введенным правилам.

Основные изменения:

1. Существует только 2 основания для включения ИП или организации в план проведения проверки: истечение 3-го срока со дня проведения последней плановой проверки и истечение 3-го срока со дня государственной регистрации объекта проверки (в любой организационно-правовой форме).

2. Сокращен  срок проведения внеплановой проверки с 20 до 10 дней (период плановой не изменился и по-прежнему составляет 20 дней).

3. Упразднены внеплановые документарные проверки.

4. Внимание! Документы по запросу контролеров необходимо предоставить в течение 5-ти дней (раньше давалось 10).

5. До начала выездной проверки оператор обязан предоставить по запросу инспекторов указанные документы в течение 2-х рабочих дней.

6. Плановые проверки Роскомнадзора проводятся 1 раз в 3 года, но есть исключения: если оператор собирает биометрию или другие специальные данные о гражданах, если данные обрабатываются в государственных информационных банках (системах), если информация собирается и обрабатывается по поручению иностранного лица или госоргана, не зарегистрированного на территории РФ, если оператор осуществляет трансграничную передачу данных.

Проверки могут быть двух видов: плановыми (о них оператор персональных данных уведомляется за 3 дня) или внеплановыми (основания указаны в п.8 правил, оператор уведомляется за сутки до начала).

По итогам контрольного мероприятия составляется акт проверки Роскомнадзора. В документе либо фиксируют обнаруженные нарушения, либо отмечают их отсутствие.

Внимание! Акт должен составляться в 2-х экземплярах, это необходимо в случае обжалования проверки.

Стоит отметить, что проверки по персональным данным не входят в единый реестр проверок, который ежегодно формирует и публикует Генпрокуратура.

После уведомления о проведении проверки оператором персональных данных рекомендуется провести следующие действия:

1. Проверить наличие и корректность оформления документов, содержащих ПД.

1.Организовать внутреннюю ревизию на предприятии (проконтролировать, как хранятся документы, как с ними ведется работа, соблюдаются ли условия безопасности и т.д.).

2. Провести дополнительный инструктаж сотрудников, ответственных за обработку и хранение ПД.

Обращаем ваше внимание, что у оператора должен быть внутренний локальный акт – Положение (Порядок) о сборе, хранении и обработки ПД. Дополнительно проверяется наличие согласия граждан на их обработку.