Проверки Роскомнадзора: что важно знать?

Проверка – это всегда стресс для компаний. Обычно это связано с боязнью сделать ошибку при подготовке и получить за это штраф. Что можно сделать, чтобы такая ситуация не произошла?

Какие мероприятия проводит Роскомнадзор?

К сожалению, штрафы при проверке не редкость: забыли предоставить какой-то документ, не учли изменение в законе и так далее. Чтобы понять, как готовиться к проверке Роскомнадзора, нужно прежде разобраться в их специфике.

К тому же, сейчас Роскомнадзор оценивает вероятность несоблюдения обязательных правил и требований. Это может негативно отразится на работе организации.

Виды проверок Роскомнадзора

Проверки Роскомнадзора делят на 4 вида:

• плановые;
• внеплановые;
• документарные;
• выездные.

Совсем недавно появился такой вид проверки как инспекционный визит.

Разберем каждый вид по отдельности.

Плановая проверка

Такая проверка Роскомнадзора никогда не бывает внезапной. Роскомназдор обязуется предупреждать организацию о своем визите с плановой проверкой. За три дня до самого процесса на официальную почту компании приходит письмо с уведомлением. В нем указаны дата и срок проверки.

При этом, любая организация имеет право узнать, включена ли она Роскомнадзором в список проверяемых в текущем году компаний. Обычно итоговый план проверок можно найти на сайте проверяющего органа.

Внеплановая проверка

Как и все внеплановое эта проверка происходит в силу определенных обстоятельств. К примеру, если на организацию поступают жалобы от клиентов о спаме, нежелательных SMS-рассылках, постоянных и назойливых телефонных звонках и так далее. В таком случае Роскомнадзор назначает внеплановую проверку.

Очевидно, что узнать о внеплановой проверке сильно заранее нельзя. Организацию предупреждают о ней лишь за 24 часа.

Выездная проверка

В этой ситуации в организацию уже пожалуют инспекторы Роскомнадзора. Обычно в состав проверочной группы входит несколько человек. Инспекторы на месте проверяют как работает организация и как она выполняет требования закона.

Документарная проверка

Для совершения этой проверки инспекторы не выезжают. Они лишь запрашивают необходимые для проверки документы. Обычно это список с названиями документов, которые нужно отослать в территориальный орган Роскомнадзора.

Инспекционный визит

Самый непонятный вид проверки, так как он появился не так давно. Данный визит проводят в отношении тех организаций, которые относятся к той или иной категории риска. Речь идет о высоком и значительном рисках.

Кроме того, инспекционный визит проводят в отношении контролируемых лиц, которые планируют приступать к деятельности по обработке персональных данных или как-то работать в данной сфере.

О подобной проверке контролирующий орган уведомляет организации заранее, за 5 рабочих дней до принятой даты визита.

Профилактические мероприятия

Кроме проверок, Роскомнадзор периодически приводит и профилактические мероприятия. Среди них:

• информирование;
• объявление предостережения;
• консультирование;
• профилактический визит;
• обобщение правоприменительной практики.

Такие мероприятия помогают организациям узнать, все ли у них в порядке и есть ли смысл бояться проверок. Однако если мероприятия не помогли, а плановая или внеплановая проверка уже на пороге, лучше заранее исключить возможные проблемы.

Как Роскомнадзор проводит проверки: группы риска

Новые правила Роскомнадзора касаемо проверок организации действуют с 1 июля 2021 года. Причем список изменений оказался довольно внушительным.

До введения новых правил Роскомнадзор использовал для проверок риск-ориентированный подход. Сейчас же контролирующий орган оценивает организации по категориям риска, которые позже им присваивает. Именно от присвоенной категории риска зависит частота проверок для организации.

Категории риска утверждены следующие:

• высокий;
• значительный;
• средний;
• умеренный;
• низкий.

Для контроля за обработкой персональных данный Роскомнадзор осуществляет проверку по следующим пунктам:

• Деятельность и результаты деятельности операторов персональных данных и третьих лиц, которые действуют по указанию оператора. Речь идет об обработке персональных данных с помощью или без помощи средств автоматизации процесса. Сотрудники Роскомнадзора наблюдают за работой организации с персональными данными: получение, хранение, обработка, уничтожение. Кроме того, инспекторы изучают документацию, которая регламентируют работу всех вышеуказанных процессов.
• Результаты деятельности по разработке документов и локальных актов контролируемых лиц по обработке имеющихся персональных данных и мер, принятых оператором. Контролируемые лица перечислены в ч. 1 ст. 18.1 152-ФЗ. Этот пункт означает, что в компании должен быть назначен ответственный за организацию обработки персональных данных. Кроме того, Роскомнадзор обязует выкладывать в свободный доступ политику обработки персональных данных. Такая проверка позволяет инспекторам понять, все ли в порядке с регламентирующими документами и как они оформлены, все ли участвующие в процессе лица ознакомлены с ними, а также соблюдена ли техника безопасности при работе с персональными данными.

Обновления в законе коснулись и фиксации нарушений. Теперь это можно делать с помощью фотосъемки, видеосъемки и аудиозаписей. Кроме этого по правилам проверок не запрещается использовать компьютеры, ноутбуки, съемные электронные носители с информацией, копировальные машины, сканеры, сотовые телефоны, технические и механические средства, в том числе находящиеся в собственности у контролируемого лица.

Последствия при некорректной обработке персональных данных и группы тяжести

В соответствии с новыми правилами проверок, Роскомнадзор учитывает тяжесть потенциальных последствий, которые могут произойти в случае несоблюдения операторами персональных данных требований по их обработке. Выделяют 4 группы тяжести последствий – А, Б, В, Г. Для каждой группы характерны определенные виды деятельности.

• Группа А. К данной группе относятся организации, обрабатывающие специальные категории персональных данных, а также биометрических данных. К ним относится деятельность по сбору персональных данных, которая осуществляется с использованием баз данных, не присутствующих на территории РФ; трансграничная передача персональных данных на территорию государств за границей РФ, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также не включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих надежную и законную защиту прав субъектов персональных данных; передача персональных данных третьим лицам, из-за обезличивания выбранных данных.
• Группа Б. К данной группе относятся организации, которые обрабатывают персональные данные не в тех целях, которые заявляли изначально на этапе сбора. Среди них факт обработки данных лиц, не достигших совершеннолетнего возраста в случаях, не указанных в федеральных законах; обработка данных в информационных системах, содержащих персональные данные более чем 20 000 их субъектов; сбор персональных данных, реализуемый с использованием иностранных программ или сервисов.
• Группа В. К данной группе относятся те операторы, чья деятельность относится к обработке персональных данных близких родственников субъекта этих данных. Сюда входит деятельность по обработке данных в информационных системах с количеством данных от 1000 до 20 000 субъектов; трансграничная передача персональных данных на территорию государств заграницы, которые не являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных; обезличивание данных и обработка, полученных после обезличивания данных, с использованием способов обезличивания, но не осуществляя передачу этих данных третьим лицам.
• Группа Г. К этой группе относятся деятельность операторов по обработке персональных данных в информационных системах с количеством данных менее чем 1000 субъектов. В группу входит деятельность по обработке персональных данных без их предоставления в Роскомнадзор; обработка данных, которые можно найти в открытых источниках; трансграничная передача персональных данных на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

В ряде случаев критерии позволяют контролирующему органу отнести организацию к разным группам тяжести последствий. При этом используется тот критерии, который относит деятельность компании к более серьезной категории риска.

Группы вероятности и обработка персональных данных

Группы вероятности – это также новинка в законодательстве. Теперь они используются наравне с группами тяжести, указанными выше. Групп 4 – 1,2,3 и 4 соответственно. При разделении деятельности операторов персональных данных будет учитываться оценка вероятности несоблюдения ими обязательных требований.

Ответственность за нарушения описана для всех групп и прописана в конкретных частях ст. 13.11 КоАП.

Таблица с разделением представлена ниже.

Чтобы понять к какой в итоге категории риска относится та или иная организация, Роскомнадзор провидит сравнение ее группы тяжести и группы вероятности. В этом случае используют специальную таблицу, размещенную в Постановлении Правительства РФ от 29.06.2021 № 1046.

По результатам данного сравнения Роскомнадзор определяет, как часто нужно проводить проверку и есть ли смысл привлекать организацию к ответственности.

Подведем итог. Чтобы вашу организацию не коснулись штрафные санкции за несоблюдение требований по обработке персональных данных, нужно заранее выявить всевозможные риски. Регулярно проверяйте документы, изменения в законодательстве, обучайте этому ответственных сотрудников, будьте всегда готовы к плановым проверкам и не заставляете пользователей жаловаться на ваши звонки или рассылки.