Проверки по соблюдению порядка обработки персональных данных, проводимые Роскомнадзором, все еще не настолько часты и вызывают у представителей Операторов ряд вопросов. 





Роскомнадзор, являясь на основании ст.23 Федерального закона от 27.07.2006 №152-ФЗ уполномоченным органом по защите прав субъектов персональных данных, осуществляет проверки порядка обработки персональных данных в рамках реализации своих функций, определённых Административным регламентом (Утвержден Приказом Минкомсвязи России от 14.11.2011 № 312). 

Предметом проверки со стороны Роскомнадзора являются

  • документы, характер информации в которых предполагает или допускает включение в их состав персональных данных; 
  • деятельность по обработке персональных данных; 
  • информационные системы персональных данных. 
Предмет проверки со стороны Роскомнадзора по персональным данным
Что проверяет Роскомнадзор
Для полноты картины необходимо уточнить, что проверки порядка обработки персональных данных проводит не только Роскомнадзор, но также сотрудники Прокуратуры, Трудовой инспекции, а также, в отдельных случаях, сотрудники ФСТЭК России и ФСБ России. Но данные проверки достойны отдельного рассмотрения. 

 Проверки делятся на плановые и внеплановые и могут проводиться сотрудниками Роскомнадзора в форме документарной или выездной проверки. 

Плановая проверка Роскомнадзора. 

Плановые проверки Операторов осуществляются по утверждаемому на год вперед плану, который доступен онлайн с середины декабря текущего года на официальном сайте Роскомнадзора (https://rkn.gov.ru/plan-and-reports/) и на сайтах территориальных управлений (https://%номер-региона%.rkn.gov.ru). План утверждается руководителем территориального органа Роскомнадзора после завершения органами прокуратуры процедуры рассмотрения на предмет законности включения в него объектов государственного контроля (надзора) и внесения предложений о проведении совместных плановых проверок. (С 1 сентября 2015 года Роскомнадзору не требуется согласовывать с органами прокуратуры планы проверок по персональным данным). 

 Плановые проверки проводятся как в отношении организаций, включенных в реестр Операторов персональных данных, так и в отношении Операторов, не включенных в реестр, но осуществляющих обработку персональных данных. Бытует мнение, что если не подавать уведомление об обработке персональных данных в Роскомнадзор, то возможно избежать включение в план проверок. Практика показывает, что такое мнение ошибочно. 

 Основаниями для включения в план проверок Роскомнадзора по персональным данным являются: 

  • начало обработки персональных данных Оператором; 
  • истекли 3 года после осуществления государственной регистрации организации – Оператора; 
  • истекли 3 года после последней плановой проверки организации - Оператора. 


 О том, что в организацию направляется плановая проверка Роскомнадзора, будет сообщено Оператору в направляемом не позднее чем за 3 (три!) дня до начала проверки почтовом (!!!) сообщении. Как правило, уведомление о проверке будет направлено на электронный адрес лица, указанного как ответственный за организацию обработки в организации. Приложением к уведомлению будет «Программа проведения … проверки в области персональных данных». 

 Согласно Административного регламента, продолжительность проведения плановой проверки не может превышать 20 рабочих дней. Но на самом деле срок может быть больше: «de jure» если требуются сложные экспертизы в порядке, указанном в Регламенте возможно продление еще на 20 дней, «de facto» путем затягивания выдачи Акта проведения проверки. 

Внеплановая проверка Роскомнадзора.


 Предупреждение о внеплановом посещении комиссии "ревизоров" организация получит за 24 часа любым доступным сотрудникам Роскомнадзора способом (но только, если Оператор не причиняет вред здоровью граждан - тогда предупреждения не будет). Как правило, предупреждение делается по телефону, электронной почте или факсу. 

 Основаниями для проведения внеплановой проверки Роскомнадзора являются:

  • истечение срока ранее выданного предписания Роскомнадзора об устранении выявленного нарушения требований законодательства о персональных данных. Как правило, проводится такая проверка в след за плановой проверкой в форме документарной с целью выяснения сведений об устраненных Оператором замечаниях. 
  • приказ руководителя Роскомнадзора (руководителя тер.органа), изданный во исполнение поручения Президента России, Правительства РФ, и на основании требования прокурора по поступившим в прокуратуру материалам и обращениям. 
  • заявления и обращения (жалобы), поступившие в Роскомнадзор от граждан, юридических лиц, индивидуальных предпринимателей, информация от органов государственной власти, органов местного самоуправления, из средств массовой информации. 


 Еще одним основанием для проведения внеплановой проверки являются нарушения, выявленные при систематическом контроле, проводимом Роскомнадзором.

 Продолжительность проведения внеплановой проверки, также как плановой не может превышать 20 рабочих дней. 

Документарная проверка.


 Документарные проверки проводятся в форме запроса Роскомнадзором необходимых документов и предоставления заверенных копий этих документов в адрес Роскомнадзора в 10 дневный срок. Зачастую, формулировки в запросе не дают четкого понимания о перечне требуемых Роскомнадзором документов. "Копии документов, подтверждающих применение правовых, организационных и технических мер по обеспечению безопасности ПДн" - как характерный пример реальной строчки из запроса Роскомнадзора. Предоставляйте в Роскомнадзор копии только тех документов, которые были запрошены. Рекомендуется придерживаться правила "Лучшее - враг хорошего".

 Если по содержанию присланного Роскомнадзором запроса у вас остаются вопросы, то в конце письма всегда указаны контактные данные исполнителя – рекомендуется позвонить и уточнить неясные моменты. Как говорится, за спрос ... 

 Следует так же учитывать, что одним из неприятных для Оператора последствий проведения документарных проверок является тот факт, что проверка может при определенных условиях перетечь в выездную. Например, игнорирование запросов Роскомнадзора гарантированно приведет к выездной внеплановой проверке организации – Оператора персональных данных.

Выездная проверка. 


 Выездная проверка осуществляется по месту осуществления деятельности Оператором. Подавляющее большинство плановых проверок проводится в форме выездных проверок, в то время как внеплановые проверки чаще проводятся в форме документарных проверок. 

 Не секрет, что техническая составляющая защиты персональных данных Роскомнадзором при проверках не проверяется. Основная задача Роскомнадзора проверить легитимность обработки Оператором персональных данных, оправданность заявленных Оператором целей обработки и соответствие объемов указанным целям. 

 Несмотря на то, что проверка выездная – это вовсе не означает, что комиссия из Роскомнадзора будут находиться в организации все 20 рабочих дней, предписанные на выполнение проверки. Как правило, комиссия проверяющих посещают офис Оператора 3-4 раза. 

 По опыту проверок, процесс выездной проверки выглядит следующим образом: 

  1. Команда проверяющих прибывает в офис Оператора для представления комиссии, знакомства с руководителем или иным назначенным ответственным лицом, вручения копии Приказа и Программы проведения проверки, уточнения круга вопросов, решаемых в процессе проверки (где, что, когда будут осматривать). 
  2. Следующим шагом представители Роскомнадзора требуют предоставить доступ к документации по вопросам обработки персональных данных. Требование как правило оформляются в виде «Перечня документов, представление которых необходимо для достижения целей и задач проведения проверки» 
  3. Для ознакомления с предоставляемыми документами сотрудники Роскомнадзора либо просят предоставить копии документов для дальнейшего их изучения в территориальном органе (в последнее время это происходит в подавляющем числе случаев), либо будут изучать представленные документы в офисе Оператора. На часть вопросов возможно потребуется написание справок 
  4. Документы могут быть запрошены сотрудниками Роскомнадзора как превентивно, так и в процессе обсуждения организации обработки ПДн, который будет проходить в виде интервью сотрудников основных отделов Оператора, занятых в обработке ПДн. В связи с этим крайне желательно заранее определиться со списком таких сотрудников и их подготовить к общению с сотрудниками Роскомнадзора. 
  5. После уточнения вопросов организации процесса обработки ПДн сотрудники Роскомнадзора, как правило, переходят к осмотру мест обработки ПДн и исследованию ИС. Особое внимание всегда уделяется отделу кадров и организации процесса обработки ПДн работников Оператора. Так же без внимания не остаются бухгалтерия и охрана. 
  6. Завершается проверка оформлением результатов проверки в виде Акта. Выявленные нарушения будут зафиксированы, составлено Предписание об устранении выявленных нарушений и, при определенных условиях, будет составлен Протокол об административном правонарушении. Если есть повод для уголовного преследования – материалы будут направлены в прокуратуру. Финальная стадия завершается, как правило, по месту нахождения территориального органа Роскомнадзора, проводившего проверку. Собственный опыт и опыт коллег по цеху говорит о том, что выдача Акта  проверки, как правило, затягивается.

Общие рекомендации по подготовке к проверке Роскомнадзора и её прохождению - рассмотрим в отдельной статье.