Проверки Роскомнадзора операторов персональных данных
Юридическое сопровождение проверок Роскомнадзора операторов персональных данных
Соблюдение правил по обработке персональных данных является обязательным для всех операторов персональных данных. При этом государственный контроль за соблюдением таких требований осуществляется Роскомнадзором в виде проведения проверок операторов персональных данных. Порядок организации и осуществления проверок определяется постановлением Правительства России от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».
Основными видами проверок, проводимых Роскомнадзором, являются:
- Плановые проверки, которые проводятся по заранее составленному плану проверок, который публикуется на официальном сайте Роскомнадзора. Контролирующий орган должен оповестить оператора персональных данных о проведении в отношении него плановой проверки.
- Внеплановые проверки. Как правило, такая проверка проводится по жалобам физических лиц, чьи права в отношении персональных данных были нарушены. Вместе с тем, внеплановая проверка может проводиться по требованию прокурора или в случае неисполнения ранее выданного предписания. Уведомление о проведении такой проверки направляется за 24 часа до ее начала.
Кроме того проверки классифицируются на:
- Выездные проверки. При проведении таких проверок сотрудники контролирующего органа приезжают непосредственно к оператору персональных данных и на месте осуществляют проверку соблюдения законодательства в области персональных данных.
- Документарные проверки. Такие проверки проводятся без посещения проверяемой организации, в этом случае Роскомнадзор направляет список документов, копии которых необходимо предоставить в контролирующий орган в соответствующие сроки, установленные в уведомлении.
- Инспекционный визит. Такой вид проверок проводится в организациях, которые отнесены к категориям высокого и значительного риска, вместе с тем и в отношении лиц, которые начинают деятельность в сфере обработки персональных данных. Уведомление о такой проверке должно поступить в проверяемую организацию не позднее чем за 5 рабочих дней до даты начала такого визита.
Вместе с тем, как и большинство контролирующих органов, Роскомнадзор может осуществлять помимо проверок профилактические мероприятия, например, такие как: объявление предостережения о недопустимости нарушения законодательства, профилактический визит, информирование, консультирование, обобщение правоприменительной практики.
Как правило, при проведении проверок в рамках исполнения законодательства о персональных данных контролирующие органы проверяют:
- Документы, локальные акты в области обработки персональных данных. Такое требование отражено в части 1 статьи 18.1 федерального закона «О персональных данных. В проверяемой организации должны быть разработаны, утверждены и введены в действие локальные акты, регламентирующие деятельность организации в области персональных данных. Вместе с тем, должно быть назначено ответственное лицо за организацию обработки персональных данных, а также разработана и применяться политика обработки персональных данных.
- Непосредственно обработку персональных данных. Обработка персональных данных должна соответствовать требованиям законодательства в этой сфере.
- Информационные системы, с помощью которых осуществляется обработка персональных данных, в том числе каким образом осуществляется защита таких систем.
- Деятельность третьих лиц, которые осуществляют обработку персональных данных по поручения оператора персональных данных.
Необходимо отметить, что в соответствии с Постановлением № 1046 поднадзорные объекты относятся к одной из следующих категорий риска причинения вреда (ущерба):
- высокий риск;
- значительный риск;
- средний риск;
- умеренный риск;
- низкий риск.
Отнесение объектов государственного контроля к определенной категории риска осуществляется на основании критериев отнесения объектов государственного контроля к определенной категории риска. От категории риска причинения вреда зависят виды и периодичность плановых контрольных мероприятий.
Необходимо также учитывать уровень ответственности, которые может наступить при нарушении законодательства о персональных данных:
- Административная. Санкция при наступлении административной ответственности наступает в виде штрафа или предупреждения.
- Уголовная. Уголовная ответственность, как правило, если применяются штрафные санкции, то они гораздо выше, чем при наступлении административной ответственности, при этом могут применяться исправительные работы, принудительные работы, арест или лишение свободы на срок, определяемый в зависимости от тяжести правонарушения.
- Гражданско-правовая. Такая ответственность, наступает в виде возмещения вреда или компенсации морального вреда и регламентируется Гражданским кодексом РФ.
- Дисциплинарная. К видам дисциплинарной ответственности от носят замечание, выговор, увольнение, при этом, такой вид ответственности наступает в соответствии с трудовым законодательством.
Для недопущения наступления ответственности за нарушение законодательства в области обработки персональных данных, важно операторам персональных данных четко следовать требованиям, установленным в нормативных актах, регламентирующих эту деятельность. Вместе с тем, участие квалифицированного юриста позволяет снизить риск появления нарушения законодательства о персональных данных, минимизирует возможность нарушения такого законодательства и приводит всю необходимую документацию к требованиям, установленным в нормативных документах в этой сфере деятельности.
Юридические услуги
- Консультирование по вопросам обработки персональных данных
- Проверка имеющихся у организации документов в области обработки персональных данных
- Сопровождение организаций при проведении проверок Роскомнадзора
- Подготовка необходимых документов в области обработки персональных данных
- Представление интересов оператора персональных данных при взаимодействии с Роскомнадзором