Проверка – это всегда стресс для компаний. Обычно это связано с боязнью сделать ошибку при подготовке и получить за это штраф. Что можно сделать, чтобы такая ситуация не произошла?
Какие мероприятия проводит Роскомнадзор?
К сожалению, штрафы при проверке не редкость: забыли предоставить какой-то документ, не учли изменение в законе и так далее. Чтобы понять, как готовиться к проверке Роскомнадзора, нужно прежде разобраться в их специфике.
К тому же, сейчас Роскомнадзор оценивает вероятность несоблюдения обязательных правил и требований. Это может негативно отразится на работе организации.
Виды проверок Роскомнадзора
Проверки Роскомнадзора делят на 4 вида:
- плановые;
- внеплановые;
- документарные;
- выездные.
Совсем недавно появился такой вид проверки как инспекционный визит.
Разберем каждый вид по отдельности.
Плановая проверка
Такие проверки никогда не бывают внезапными. Роскомназдор обязуется предупреждать организацию о своем визите с плановой проверкой. За три дня до самого процесса на официальную почту компании приходит письмо с уведомлением. В нем указаны дата и срок проверки.
При этом, любая организация имеет право узнать, включена ли она Роскомнадзором в список проверяемых в текущем году компаний. Обычно итоговый план проверок можно найти на сайте проверяющего органа.
Внеплановая проверка
Как и все внеплановое эта проверка происходит в силу определенных обстоятельств. К примеру, если на организацию поступают жалобы от клиентов о спаме, нежелательных SMS-рассылках, постоянных и назойливых телефонных звонках и так далее. В таком случае Роскомнадзор назначает внеплановую проверку.
Очевидно, что узнать о внеплановой проверке сильно заранее нельзя. Организацию предупреждают о ней лишь за 24 часа.
Выездная проверка
В этой ситуации в организацию уже пожалуют инспекторы Роскомнадзора. Обычно в состав проверочной группы входит несколько человек. Инспекторы на месте проверяют как работает организация и как она выполняет требования закона.
Документарная проверка
Для совершения этой проверки инспекторы не выезжают. Они лишь запрашивают необходимые для проверки документы. Обычно это список с названиями документов, которые нужно отослать в территориальный орган Роскомнадзора.
Инспекционный визит
Самый непонятный вид проверки, так как он появился не так давно. Данный визит проводят в отношении тех организаций, которые относятся к той или иной категории риска. Речь идет о высоком и значительном рисках.
Кроме того, инспекционный визит проводят в отношении контролируемых лиц, которые планируют приступать к деятельности по обработке персональных данных или как-то работать в данной сфере.
О подобной проверке контролирующий орган уведомляет организации заранее, за 5 рабочих дней до принятой даты визита.
Профилактические мероприятия
Кроме проверок, Роскомнадзор периодически приводит и профилактические мероприятия. Среди них:
- информирование;
- объявление предостережения;
- консультирование;
- профилактический визит;
- обобщение правоприменительной практики.
Такие мероприятия помогают организациям узнать, все ли у них в порядке и есть ли смысл бояться проверок. Однако если мероприятия не помогли, а плановая или внеплановая проверка уже на пороге, лучше заранее исключить возможные проблемы.
Как Роскомнадзор проводит проверки: группы риска
Новые правила Роскомнадзора касаемо проверок организации действуют с 1 июля 2021 года. Причем список изменений оказался довольно внушительным.
До введения новых правил Роскомнадзор использовал для проверок риск-ориентированный подход. Сейчас же контролирующий орган оценивает организации по категориям риска, которые позже им присваивает. Именно от присвоенной категории риска зависит частота проверок для организации.
Категории риска утверждены следующие:
- высокий;
- значительный;
- средний;
- умеренный;
- низкий.
Для контроля за обработкой персональных данный Роскомнадзор осуществляет проверку по следующим пунктам:
- Деятельность и результаты деятельности операторов персональных данных и третьих лиц, которые действуют по указанию оператора. Речь идет об обработке персональных данных с помощью или без помощи средств автоматизации процесса. Сотрудники Роскомнадзора наблюдают за работой организации с персональными данными: получение, хранение, обработка, уничтожение. Кроме того, инспекторы изучают документацию, которая регламентируют работу всех вышеуказанных процессов.
- Результаты деятельности по разработке документов и локальных актов контролируемых лиц по обработке имеющихся персональных данных и мер, принятых оператором. Контролируемые лица перечислены в ч. 1 ст. 18.1 152-ФЗ. Этот пункт означает, что в компании должен быть назначен ответственный за организацию обработки персональных данных. Кроме того, Роскомнадзор обязует выкладывать в свободный доступ политику обработки персональных данных. Такая проверка позволяет инспекторам понять, все ли в порядке с регламентирующими документами и как они оформлены, все ли участвующие в процессе лица ознакомлены с ними, а также соблюдена ли техника безопасности при работе с персональными данными.
Обновления в законе коснулись и фиксации нарушений. Теперь это можно делать с помощью фотосъемки, видеосъемки и аудиозаписей. Кроме этого по правилам проверок не запрещается использовать компьютеры, ноутбуки, съемные электронные носители с информацией, копировальные машины, сканеры, сотовые телефоны, технические и механические средства, в том числе находящиеся в собственности у контролируемого лица.
Хотите работать с персональными данными законно? Получите Аттестат соответствия 152–ФЗ с «ГЭНДАЛЬФ»!
Получить аттестатПоследствия при некорректной обработке персональных данных и группы тяжести
В соответствии с новыми правилами проверок, Роскомнадзор учитывает тяжесть потенциальных последствий, которые могут произойти в случае несоблюдения операторами персональных данных требований по их обработке. Выделяют 4 группы тяжести последствий – А, Б, В, Г. Для каждой группы характерны определенные виды деятельности.
- Группа А. К данной группе относятся организации, обрабатывающие специальные категории персональных данных, а также биометрических данных. К ним относится деятельность по сбору персональных данных, которая осуществляется с использованием баз данных, не присутствующих на территории РФ; трансграничная передача персональных данных на территорию государств за границей РФ, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также не включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих надежную и законную защиту прав субъектов персональных данных; передача персональных данных третьим лицам, из-за обезличивания выбранных данных.
- Группа Б. К данной группе относятся организации, которые обрабатывают персональные данные не в тех целях, которые заявляли изначально на этапе сбора. Среди них факт обработки данных лиц, не достигших совершеннолетнего возраста в случаях, не указанных в федеральных законах; обработка данных в информационных системах, содержащих персональные данные более чем 20 000 их субъектов; сбор персональных данных, реализуемый с использованием иностранных программ или сервисов.
- Группа В. К данной группе относятся те операторы, чья деятельность относится к обработке персональных данных близких родственников субъекта этих данных. Сюда входит деятельность по обработке данных в информационных системах с количеством данных от 1000 до 20 000 субъектов; трансграничная передача персональных данных на территорию государств заграницы, которые не являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных; обезличивание данных и обработка, полученных после обезличивания данных, с использованием способов обезличивания, но не осуществляя передачу этих данных третьим лицам.
- Группа Г. К этой группе относятся деятельность операторов по обработке персональных данных в информационных системах с количеством данных менее чем 1000 субъектов. В группу входит деятельность по обработке персональных данных без их предоставления в Роскомнадзор; обработка данных, которые можно найти в открытых источниках; трансграничная передача персональных данных на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
В ряде случаев критерии позволяют контролирующему органу отнести организацию к разным группам тяжести последствий. При этом используется тот критерии, который относит деятельность компании к более серьезной категории риска.
Группы вероятности и обработка персональных данных
Группы вероятности – это также новинка в законодательстве. Теперь они используются наравне с группами тяжести, указанными выше. Групп 4 – 1,2,3 и 4 соответственно. При разделении деятельности операторов персональных данных будет учитываться оценка вероятности несоблюдения ими обязательных требований.
Ответственность за нарушения описана для всех групп и прописана в конкретных частях ст. 13.11 КоАП.
Таблица с разделением представлена ниже.
| Группа вероятности | Конкретные части статьи. 13.11 КоАП | Обстоятельства деятельности |
| 1 | 1.1, 2.1, 5.1, 9 | Вступление в силу в течение трех календарных лет, которые предшествовали дате принятия решения об отнесении деятельности оператора к категории риска, о назначении определенного административного наказания. |
| 2 | 1, 2, 5, 6, 8 | В последние два года выданы несколько важных предписаний: об устранении найденных при проверках нарушений, требование об устранении данных нарушений, предупреждение о недопущении нарушений в будущем; вступили в силу в течение трех календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении определенного административного наказания. |
| 3 | 4,7 | При наблюдении за организацией и ее возможными нарушениями в течение последних двух лет выдан ряд важных предписаний: об устранении найденных при проверках нарушений, требование об устранении данных нарушений, предупреждение о недопущении нарушений в будущем; вступили в силу в течение трех календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении определенного административного наказания. |
| 4 | - | Нет |
Чтобы понять к какой в итоге категории риска относится та или иная организация, Роскомнадзор провидит сравнение ее группы тяжести и группы вероятности. В этом случае используют специальную таблицу, размещенную в Постановлении Правительства РФ от 29.06.2021 № 1046.
| Категория риска | Группа тяжести | Группа вероятности |
| Высокий риск | А | 1 |
| Б | 1 | |
| Значительный риск | А | 2 |
| А | 3 | |
| Средний риск | Б | 2 |
| В | 1 | |
| В | 2 | |
| А | 4 | |
| Б | 3 | |
| Умеренный риск | В | 3 |
| Г | 1 | |
| Г | 2 | |
| Низкий риск | Б | 4 |
| В | 4 | |
| Г | 3 | |
| Г | 4 |
По результатам данного сравнения Роскомнадзор определяет, как часто нужно проводить проверку и есть ли смысл привлекать организацию к ответственности.
Подведем итог. Чтобы вашу организацию не коснулись штрафные санкции за несоблюдение требований по обработке персональных данных, нужно заранее выявить всевозможные риски. Регулярно проверяйте документы, изменения в законодательстве, обучайте этому ответственных сотрудников, будьте всегда готовы к плановым проверкам и не заставляете пользователей жаловаться на ваши звонки или рассылки.
Нет времени разбираться в требованиях 152–ФЗ?
Закажите аудит вашей системы в «ГЭНДАЛЬФ»
Оставить заявку
