Документарная проверка Роскомнадзором соответствия обработки персональных данных требованиям законодательства

В связи с вступлением с 01.07.2021 в силу Закона о государственном контроле (надзоре) в РФ и поправок в Закон о персональных данных проверки обработки персональных данных и иные контрольные надзорные мероприятия в этой сфере надзора будут проводиться по новым правилам.
Кроме того, Правительство РФ утвердило положение о федеральном государственном контроле (надзоре) за обработкой персональных данных. Материал будет актуализирован в ближайшее время.

Требования Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (далее - Закон N 294-ФЗ) не распространяются на проверки в области контроля и надзора за обработкой персональных данных (п. 20 ч. 3.1. ст. 1 Закона N 294-ФЗ).

В документарной форме проводятся исключительно плановые проверки (п. 25 Правил N 146). Документарные - значит, сводятся лишь к изучению и анализу документов и информации, полученных по запросу от оператора ПДн (п. 24 Правил N 146, п. 70.1 Регламента).

О документарной проверке Роскомнадзор предупреждает оператора ПДн заранее - как минимум, за три рабочих дня до проверки (п. 11 Правил N 146, п. 70.3, п. 34 Регламента):

-либо заказным письмом с уведомлением о вручении,

-либо E-mal с УКЭП по тому адресу, который содержится на интернет-сайте оператора либо был представлен в Роскомнадзор ранее,

-либо иным доступным способом.

Во всех трех случаях оператору отсылается копия приказа о проведении проверки (п. 11 Правил N 146) и запрос с перечнем интересующих ведомство документов (п. 24 Правил N 146, п. 70.4, п. 6.5 Регламента). Эти запрошенные документы нужно представить в течение недели, точнее, пяти рабочих дней со дня получения запроса (п. 27 Правил N 146, см также п. 1 ч. 3 ст. 23 Закона N 152-ФЗ, п. 6.1 Положения N 228). Есть смысл поторопиться с их отправкой, потому что дату их получения установит сам Роскомнадзор в отметке о принятии (п. 28 Правил N 146), а если опоздать, то документарная проверка превратится в выездную (п. 31 Правил N 146).

Однако здесь имеется очень важный нюанс. Существует перечень документов и информации, которые Роскомнадзор не вправе запрашивать у проверяемых лиц, - вместо этого он обязан запросить и получить их в рамках межведомственного информационного взаимодействия от иных госорганов, органов МСУ и подведомственных им лиц, в распоряжении которых находятся эти документы (п. 1 распоряжения Правительства РФ от 19.04.2016 N 724-р). Например, это сведения из ЕГРЮЛ и ЕГРИП (п. 129 и п. 131 Перечня, утв. распоряжением Правительства РФ от 19.04.2016 N 724-р). Документы и сведения из этого перечня Роскомнадзор требовать не вправе (абз. 2 п. 74.3 и п. 7.11 Регламента).

Если Роскомнадзор присылает запрос, в котором он ссылается на Закон 59-ФЗ о порядке рассмотрения обращений граждан РФ, то, значит, никакой документарной проверки оператора ПДн нет, - во всяком случае, пока (п. 26 Правил N 146).

Роскомнадзор, скорее всего, заинтересуют следующие документы проверяемого (пп. "б" п. 15 Правил N 146):

-приказ о назначении ответственного за организацию обработки ПДн (п. 1 ч. 1 ст. 18.1 Закона N 152-ФЗ);

-документ о политике оператора в отношении обработки ПДн, локальные акты по этим же вопросам (п. 2 ч. 1 и ч. 2 ст. 18.1 Закона N 152-ФЗ);

-документы об обучении работников, непосредственно осуществляющих обработку ПДн, либо об их ознакомлении с законодательством РФ о ПДн (п. 6 ч. 1 ст. 18.1 Закона N 152-ФЗ);

-сведения о реализуемых требованиях к защите ПДн (п. 3 ч. 1 и ч. 2 ст. 18.1 Закона N 152-ФЗ);

-письменные согласия субъектов ПДн на обработку данных; документы, подтверждающие соблюдение требований законодательства при обработке специальных категорий и биометрических данных; документальное подтверждение уничтожения ПДн по достижении цели их обработки; внутренние документы, регламентирующие порядок и условия обработки ПДн (ст. 9 Закона N 152-ФЗ, п.п. 67.1.4 - 67.1.7 Регламента).

Документы можно передать на флешке или отправить по E-mail с УКЭП, а можно в традиционном бумажном варианте - в любом случае в виде копий, заверенных печатью и подписью руководителя (п. 27 Правил N 146, п. 70.6 Регламента).

Если в полученных документах Роскомнадзор усмотрит несоответствия, ошибки и т.п., то потребует письменно пояснить эти несоответствия в три дня (п. 30 Правил N 146, п. 70.8 Регламента, см. также п. 1 ч. 3 ст.23 Закона N 152-ФЗ, п. 6.1 Положения N 228), пояснения могут сопровождаться дополнительными документами (п. 70.9 Регламента).

Если документы, а затем (по необходимости) пояснения будут представлены в срок, то документарная проверка закончится составлением акта. Если же нет - Роскомнадзор назначит выездную проверку оператора ПДн (п. 31 правил ПДн, п. 70.10 и п. 71, п. 76 Регламента). Об этой проверке Роскомнадзор оформит новый приказ.