Плановые проверки Роскомнадзором соответствия обработки персональных данных требованиям законодательства

В связи с вступлением с 01.07.2021 в силу Закона о государственном контроле (надзоре) в РФ и поправок в Закон о персональных данных проверки обработки персональных данных и иные контрольные надзорные мероприятия в этой сфере надзора будут проводиться по новым правилам.

Кроме того, Правительство РФ утвердило положение о федеральном государственном контроле (надзоре) за обработкой персональных данных. Материал будет актуализирован в ближайшее время.

Требования Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (далее - Закон N 294-ФЗ) не распространяются на проверки в области контроля и надзора за обработкой персональных данных (п. 20 ч. 3.1 ст. 1 Закона N 294-ФЗ). Полагаем, что запрет на плановые проверки малого бизнеса в 2021 году не действует в этой сфере (см. постановление Правительства РФ от 30.11.2020 N 1969).

Роскомнадзор проводит плановые проверки на основании ежегодного плана проведения плановых проверок на текущий календарный год (п. 5 Правил N 146, п. 30 Регламента). Планы проведения проверок размещаются на официальных сайтах территориальных органов Роскомнадзора - Управлений Роскомнадзора по субъектам РФ и по федеральным округам (п. 31 и Приложение N 1 к Регламенту, приказ Минсвязи от 02.06.2015 N 193). Ссылки на эти планы должны быть также на официальных сайтах Роскомнадзора http://rkn.gov.ru, www. роскомнадзор. Рф (п. 15.6 Регламента).

Однако не стоит искать плановые проверки в области персональных данных среди проверок, включенных в Ежегодный сводный план проверок (тот, который формирует прокуратура): дело в том, что этот сводный план формируется в соответствии с требованиями Закона N 294-ФЗ, а проверки в области соблюдения требований к обработке персданных выведены из-под действия этого закона (п. 20 ч. 3.1. ст. 1 Закона N 294-ФЗ) и в сводный план не включаются (п. 1.2 Порядка, утв. приказом Генеральной прокуратуры РФ от 08.11.2019 N 783). По этой же причине не стоит искать информацию о проверке в Едином реестре проверок (пп. "а" п. 2 Правил, утв. постановлением Правительства РФ от 28.04.2015 N 415 "О Правилах формирования и ведения единого реестра проверок").

Роскомнадзор проводит плановые проверки в отношении операторов - как включенных в Реестр операторов, осуществляющих обработку персональных данных, так и не включенных в этот Реестр (п. 32 Регламента).

Очевидно, операторами являются практически каждый орган власти и каждое юридическое лицо, поскольку даже самые минимальные отчетность и делопроизводство предполагает обработку персональных данных. ИП тоже обрабатывают персональные данные, если у них есть работники, контакты покупателей и других контрагентов-физических лиц.

Оператор может попасть в план, если (п. 6, п. 7 Правил N 146):

-прошло три года с момента включения оператора в ЕГРЮЛ и ЕГРИП,

-прошло три года после окончания последней плановой проверки оператора,

-прошло два года после окончания последней плановой проверки оператора, который обрабатывает ПДн в государственных ИС, или по поручению иностранного лица, не зарегистрированного в РФ, или собирает биометрические и специальные категории ПДн, или трансгранично передает ПДн в страну без адекватной защиты прав субъектов ПДн.

Проверки планируются в порядке и сроки, установленные Роскомнадзором (п. 35 Регламента), другими словами, ведомство полностью свободно в этом отношении.

Плановые проверки могут быть и документарными, и выездными (п. 25 Правил N 146).

О плановой проверке Роскомнадзор обязательно уведомит оператора за три рабочих дня до ее начала - заказным письмом с уведомлением, либо E-mail с УКЭП, либо как-то иначе. В письме будут копия приказа на проверку и запрос с перечнем документов и сведений, которые нужны для проверки (п. 11 Правил N 146, п. 34 Регламента).

Поскольку проверки Роскомнадзора в области контроля и надзора за обработкой персональных данных проводятся не по правилам Закона N 294-ФЗ (п. 20 ч. 3.1. ст. 1 Закона N 294-ФЗ), то информация о них не вносится в Единый реестр проверок (п. 2 Правил, утв. постановлением Правительства РФ от 28.04.2015 N 415 "О Правилах формирования и ведения единого реестра проверок") и на них, кроме того, не распространяется мораторий на проверки малого бизнеса (ст. 26.2 Закона N 294-ФЗ).