Правительство РФ утвердило специальные правила для проверки операторов персональных данных. В них определено, как должны проходить и в каких случаях назначаются плановые, внеплановые, выездные и документарные проверки, а также как обжаловать действия и решения должностных лиц Роскомнадзора.
Раньше проверки операторов персональных данных были регламентированы общим Федеральным законом от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Теперь же Правительство РФ утвердило специальные правила проведения проверок именно для операторов персональных данных (постановление Правительства РФ от 13.02.2019 № 146). В целом порядок проведения проверок остался прежним, но многие моменты детализированы.
Плановые и внеплановые проверки
Плановые проверки операторов персональных данных проводят на основании ежегодных планов, размещенных на сайте Роскомнадзора. Основанием для включения компании в план проверок является истечение трех лет со дня регистрации юридического лица (индивидуального предпринимателя) либо со дня окончания предыдущей плановой проверки.
Плановая проверка проводится не чаще одного раза в два года, если оператор персональных данных:
-
обрабатывает персональные данные в государственных информационных системах;
-
собирает и обрабатывает биометрические и специальные категории персональных данных;
-
осуществляет трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;
-
осуществляет обработку персональных данных по поручению иностранного госоргана, юридического или физического лица, которые не зарегистрированы на территории РФ.
Внеплановые проверки проводятся в следующих случаях:
-
при неисполнении или частичном исполнении оператором предписания об устранении выявленного нарушения;
-
по результатам обращения физлиц в случае нарушения их прав;
-
в соответствии с поручением президента;
-
по требованию прокурора;
-
на основании решения руководителя Роскомнадзора по итогам рассмотрения докладной записки о нарушениях, выявленных по результатам проведения мероприятий по контролю без взаимодействия с оператором.
Порядок проведения проверок
Роскомнадзор должен уведомить о проведении плановой проверки за три рабочих дня. Также проверяющие должны направить копию приказа по почте заказным письмом или в виде электронного документа по электронной почте оператора, если она указана на сайте оператора или если он предоставлял ее ранее. Также указано, что Роскомнадзор вправе уведомить о проверке другим доступным способом. О проведении внеплановой проверки проверяющие должны сообщать за 24 часа любым доступным способом.
Проверку обязано проводить то должностное лицо, которое указано в приказе. Если состав проверяющих меняется, об этом оператора персональных данных должны предупредить за три рабочих дня.
Срок проведения плановой проверки — не более 20 рабочих дней. Ее могут продлить только один раз и на срок не более 20 рабочих дней. Внеплановую проверку проведут быстрее — за 10 рабочих дней. Возможно однократное продление еще на 10 рабочих дней. Если Роскомнадзор проверяет компанию, у которой филиалы и представительства расположены на территории нескольких субъектов РФ, то срок проверки устанавливается отдельно по каждому филиалу или представительству оператора. Но общий срок проверки не должен быть более 60 рабочих дней.
Продлить срок проведения проверки Роскомнадзор может:
-
если получены от правоохранительных органов или из иных источников документы, свидетельствующие о нарушении требований оператором;
-
если на территории, где проводится проверка, произошли обстоятельства непреодолимой силы (затопление, пожар и т.д.);
-
если в ходе проверки оператор не представил необходимые документы;
-
если выявлены большой объем проверяемых документов, большое количество видов деятельности по обработке персональных данных, разветвленная структура компании, сложные технологические процессы обработки персональных данных.
Документарная проверка
В рамках проведения плановой проверки возможна документарная проверка. В этом случае оператор персональных данных обязан направить документы и информацию в течение пяти рабочих дней со дня получения запроса. Эти документы нужно представить в виде заверенных руководителем копий либо в форме электронных документов, подписанных усиленной квалифицированной электронной подписью. Если проверяющие найдут ошибки или противоречия в документах, то они направят запрос о представлении пояснений. Ответ нужно направить в течение трех рабочих дней. Если документы или пояснения не будут представлены, то Роскомнадзор назначит выездную проверку.
Выездная проверка
При выездной проверке должностное лицо обязано показать служебное удостоверение. Также оно должно ознакомить руководителя или иное уполномоченное лицо с приказом о назначении выездной проверки, с полномочиями проверяющих, а также с целями, задачами, основаниями проведения проверки, видами и объемом мероприятий по контролю, сроками и условиями проведения проверки. Оператор должен представить проверяющим документы, указанные в запросе. Срок на предоставление этих документов не может быть менее двух рабочих дней со дня вручения запроса. Если документы или информация не могут быть переданы, например, из-за отсутствия директора, необходимо представить письменное мотивированное объяснение.
Если оператор персональных данных препятствует проведению выездной проверки, то проверяющие составят акт о воспрепятствовании проведению проверки. За содействием они смогут обратиться в правоохранительные органы. Если проверка невозможна из-за отсутствия оператора по месту нахождения, то принимается решение о приостановлении проверки на срок не более одного месяца.
В случае неустранения причин приостановления составляется акт о невозможности провести проверку. В этом случае проверяющие могут в течение трех месяцев принять решение о проведении плановой или внеплановой выездной проверки без внесения плановой проверки в план и без уведомления оператора.
Оформление результата проверки
Результат проверки оформляется в виде акта. Если проводилась выездная проверка, то в журнале учета проверок оператора персональных данных должностное лицо должно поставить отметку о проведении проверки. Если такого журнала у оператора нет, то об этом указывается в акте о проведении проверки. Также после выездной проверки руководитель оператора или иное уполномоченное лицо должно поставить отметку об ознакомлении с актом. Акт проверки также может быть оформлен в электронном виде.
Обжалование
Жалобу на решения и действия проверяющих можно направить в бумажном или электронном виде. На действия должностных лиц из территориальных органов Роскомнадзора жалобу следует подать руководителю этого территориального органа. А если пожаловаться нужно на руководителя территориального органа или должностное лицо Роскомнадзора, то жалоба подается руководителю Роскомнадзора. Жалоба рассматривается в течение 30 дней со дня ее регистрации.