Энциклопедия решений. Процедура документарных проверок Роскомнадзора в сфере обработки ПДн (декабрь 2024)

Документарная проверка Роскомнадзором за соответствием обработки персональных данных требованиям законодательства

Внимание

Требования Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (далее - Закон N 294-ФЗ) не распространяются на проверки в области контроля и надзора за обработкой персональных данных (п. 20 ч. 3.1. ст. 1 Закона N 294-ФЗ).

И плановая, и внеплановая проверка может проводиться в форме документарной проверки (т.е. по месту нахождения управления Роскомнадзора, п. 70 Регламента) или выездной (т.е. там, где находится или осуществляет деятельность проверяемое лицо, п. 73 Регламента).

При документарной проверке Роскомнадзор ограничивается изучением документов, относящихся к деятельности проверяемого лица, в том числе документов, используемых при осуществлении деятельности по обработке персональных данных и связанных с исполнением обязательных требований в этой сфере (п. 70.1 Регламента).

О любой документарной проверке Роскомнадзор заранее (не позднее чем в течение трех рабочих дней до начала ее проведения) уведомляет проверяемого оператора (п. 70.3, п. 34 Регламента). Сначала Роскомнадзор изучает те документы, которые у него уже имеются (если имеются): уведомление об обработке песональных данных, акты предыдущих проверок, материалы рассмотрения дел об административных правонарушениях и иные (п. 70.2 Регламента). Если имеющихся у Роскомнадзора сведений недостаточно, чтобы оценить деятельность проверяемого лица, или они вызывают сомнения, Роскомнадзор направит мотивированный запрос с требованием представить иные необходимые в ходе документарной проверки документы. К запросу прилагается заверенная печатью копия приказа о проведении документарной проверки (п. 70.4, п. 6.5 Регламента).

Документы, перечисленные в запросе, проверяемое лицо обязано представить в течение 10 рабочих дней со дня получения запроса (п. 70.5 Регламента, см. также п. 1 ч. 3 ст. 23 Закона N 152-ФЗ, п. 6.1 Положения N 228). Точнее, представляются не сами документы, а их копии, заверенные печатью и подписью руководителя (или иного уполномоченного представителя) организации (п. 70.6 Регламента).

Однако здесь имеется очень важный нюанс. Существует перечень документов и информации, которые Роскомнадзор не вправе запрашивать у проверяемых лиц, - вместо этого он обязан запросить и получить их в рамках межведомственного информационного взаимодействия от иных госорганов, органов МСУ и подведомственных им, в распоряжении которых находятся эти документы (п. 1 распоряжения Правительства РФ от 19.04.2016 N 724-р). Например, это сведения из ЕГРЮЛ и ЕГРИП (п. 129 и п. 131 Перечня, утв. распоряжением Правительства РФ от 19.04.2016 N 724-р). Документы и сведения из этого перечня Роскомнадзор требовать не вправе (абз. 2 п. 74.3 и п. 7.11 Регламента).

Роскомнадзор, скорее всего, попросит представить следующие документы проверяемого: письменные согласия субъектов персональных данных на обработку их персональных данных; документы, подтверждающие соблюдение требований законодательства при обработке специальных категорий и биометрических данных; документальное подтверждение уничтожения персданных по достижении цели их обработки; внутренние документы, регламентирующие порядок и условия обработки персданных (п.п. 67.1.4 - 67.1.7 Регламента). Если проверка проводится в связи с истечением срока исполнения предписания, потребуются документы, подтверждающие исполнение предписания (п. 67.1.3 Регламента). Если проверка проводится в связи с сообщениями о нарушении законодательства о персональных данных, Роскомнадзор затребует документы, необходимые для проверки сообщенных фактов (п. 67.1.2 Регламента).

После представления запрошенных документов Роскомнадзор станет их изучать. Если в них обнаружатся несоответствия, ошибки и противоречия, Роскомнадзор сообщит об этом проверяемому лицу и потребует представить письменные пояснения в течение 10 рабочих дней (п. 70.8 Регламента). Такие пояснения следует представить - во-первых, это в интересах самого проверяемого, во-вторых, эта обязанность установлена законом (п. 1 ч. 3 ст.23 Закона N 152-ФЗ, п. 6.1 Положения N 228). Вместе с пояснениями можно представить новые, дополнительные документы, которые подтверждают достоверность ранее представленных (п. 70.9 Регламента).

Если представленные документы удовлетворят Роскомнадзор, документарная проверка закончится составлением акта (п. 10.1, п. 76 Регламента).

Если вопреки представленным документам Роскомнадзор установит в деятельности проверяемого лица признаки нарушения обязательных требований в области персональных данных, или если дополнительные пояснения и документы не были представлены, или если вообще не были представлены никакие запрошенные документы в срок, Роскомнадзор назначит выездную проверку оператора (п. 70.10 и п. 71 Регламента). Для этого прежний приказ (о проведении документарной проверки) будет изменен в части изменения вида проверки и продления ее сроков (п. 72 Регламента).

Тема

Проверки Роскомнадзором исполнения требований в области персональных данных

См. также

Выездная проверка Роскомнадзором за соответствием обработки персональных данных требованиям законодательства

Внеплановые проверки Роскомнадзором за соответствием обработки персональных данных требованиям законодательства

Плановые проверки Роскомнадзором за соответствием обработки персональных данных требованиям законодательства

Срок проверки Роскомнадзором за соответствием обработки персональных данных требованиям законодательства

Процедура проверки Роскомнадзором за соответствием обработки персональных данных требованиям законодательства

Приказ о проведении проверки за соответствием обработки персональных данных требованиям законодательства

Акт проверки Роскомнадзора за соответствием обработки персональных данных требованиям законодательства

Предписание Роскомнадзора об устранении нарушений в области обработки персональных данных требованиям законодательства