Акт проверки Роскомнадзором соответствия обработки персональных данных требованиям законодательства

В связи с вступлением с 01.07.2021 в силу Закона о государственном контроле (надзоре) в РФ и поправок в Закон о персональных данных проверки обработки персональных данных и иные контрольные надзорные мероприятия в этой сфере надзора будут проводиться по новым правилам.

Кроме того, Правительство РФ утвердило положение о федеральном государственном контроле (надзоре) за обработкой персональных данных. Материал будет актуализирован в ближайшее время.

Требования Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (далее - Закон N 294-ФЗ) не распространяются на проверки в области контроля и надзора за обработкой персональных данных (п. 20 ч. 3.1 ст. 1 Закона N 294-ФЗ).

Любая проверка Роскомнадзора заканчивается составлением акта проверки (п. 42 Правил N 146, 76, п. 10.1 Регламента). Акт составляется по форме, утв. приказом Минэкономразвития России от 30.04.2009 N 141 (п. 23 Правил N 146, п. 77 Регламента), всегда в двух экземплярах (п. 44 Правил N 146). Количество экземпляров акта проверки не зависит от того, проверялись ли подразделения на территории нескольких регионов или одного: по итогам проверки оператора персональных данных, работающего на территории одного субъекта РФ, акт составляется в двух экземплярах; первый с копиями всех приложений вручается руководителю или иному уполномоченному представителю под расписку или направляется заказным почтовым отправлением с уведомлением о вручении, второй экземпляр остается у Роскомнадзора (п. 80 Регламента). По итогам проверки лица, работающего в нескольких субъектах РФ, ответственное управление Роскомнадзора составляет обобщенный акт в двух экземплярах, а остальные (не ответственные) управления, проводящие проверку на своих территориях, составляют и подписывают не акты проверок, а заключения об итогах мероприятия по контролю в двух экземплярах. Один экземпляр каждого такого заключения с копиями приложений направляется в ответственное управление для составления обобщенного акта проверки, второе хранится у себя (п. 81 Регламента).

Акт может быть составлен в виде бумажного документа либо электронного, заверенного УКЭП сотрудника Роскомнадзора, проводившего проверку (абз. второй п. 44 Правил N 146).

В акте проверки (обобщенном акте проверки) указываются (п. 78 Регламента): дата, время и место составления акта проверки; дата и номер приказа о проведении проверки; ФИО проверяющих; дата, время, продолжительность и место проведения проверки; итоги проверки, в том числе факт выявленных нарушений обязательных требований в области персональных данных, характер этих нарушений и сведения о лицах, их допустивших. В акт также вписывают, что руководитель (иное уполномоченное лицо) ознакомился с актом проверки или отказался от ознакомления, а также, что запись о проверке внесена (или нет) в журнал учета проверок (п. 78.8 Регламента). Ключевым в содержании акта является его заключение: заключение об отсутствии в деятельности лица нарушений требований Закона N 152-ФЗ либо заключение о выявленных в деятельности лица нарушений требований Закона N 152-ФЗ с указанием конкретных статей и/или пунктов нормативных правовых актов (п. 43 Правил N 146, п. 79.2 Регламента).

Акт подписывается всеми теми должностными лицами, которые проводили проверку (п. 44 Правил N 146, п. 78.9 Регламента). После этого в акт запрещено вносить какие-либо дополнения или исправления (абз.2 п. 83 Регламента).

Если проверяющие (а их всегда не менее двух, п. 29 Регламента) не могут договориться о том, что писать в акте, то окончательное решение принимает должностное лицо Роскомнадзора, исполняющее функции руководителя этой проверки. Остальные проверяющие, а также представители проверяемого лица, не согласные с принятым решением, вправе изложить в письменной форме свое особое мнение, которое прилагается к акту (п. 45 Правил N 146, п. 83 Регламента).

К акту прилагаются протоколы, справки, объяснительные работников проверяемого лица, на которых возложены обязанности по обработке персональных данных, и другие документы, подтверждающие выявление (устранение) нарушения (абз. третий п. 44 Правил N 146, абз. 3 п. 83 Регламента).

Если руководитель (иное уполномоченное лицо) проверенного оператора отсутствует или отказывается давать расписку об ознакомлении либо об отказе в ознакомлении с актом проверки, в акте делается соответствующая запись, подтверждаемая подписями проверяющих (п. 44 Правил N 146, п. 82 Регламента). В таком случае акт с копиями приложений направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в Роскомнадзоре.