Энциклопедия решений. Процедура проверок Роскомнадзора в сфере обработки персональных данных (ноябрь 2024)

Процедура проверки Роскомнадзором за соответствием обработки персональных данных требованиям законодательства

Внимание

Требования Федерального закона от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (далее - Закон N 294-ФЗ) не распространяются на проверки в области контроля и надзора за обработкой персональных данных (п. 20 ч. 3.1 ст. 1 Закона N 294-ФЗ).

Проверка может проводиться только на основании приказа о проведении проверки (п. 42, п. 7.3 Регламента). Приказ издается управлением Роскомнадзора по субъекту или федеральному округу по форме, утвержденной приказом Минэкономразвития РФ от 30.04.2009 N 141 (абз. 2 п. 42 Регламента). В некоторых случаях (это зависит от вида проверки и ее основания) Роскомнадзор заранее предупредит о проверке. Затем, если это документарная проверка, то должностное лицо Роскомнадзора отсылает проверяемому лицу копию приказа о проведении проверки и запрашивает необходимые документы (п. 70.4, п. 6.5 Регламента). Эти документы нужно представить в течение 10 рабочих дней со дня получения запроса (п.70.5 Регламента, см. также п. 1 ч. 3 ст.23 Закона N 152-ФЗ, п. 6.1 Положения N 228). Документы представляются в виде копий, заверенных печатью и подписью руководителя (или иного уполномоченного представителя) организации (п. 70.6 Регламента). Если в полученных документах Роскомнадзор усмотрит несоответствия, ошибки и т.п., то потребуется представить письменные пояснения по этим несоответствиям (п. 70.8 Регламента), сопровождаемые, возможно, дополнительными документами (п. 70.9 Регламента).

Если представленные документы удовлетворят Роскомнадзор, документарная проверка закончится составлением акта (п. 76 Регламента). Если же нет, Роскомнадзор назначит выездную проверку оператора персональных данных (п. 70.10 и п. 71 Регламента).

Выездная поверка проводится по месту нахождения поверяемого лица либо по месту осуществления им деятельности (п. 73 Регламента). Для проведения выездной проверки туда приезжают не менее двух проверяющих из Роскомнадзора (п. 29 Регламента) и эксперты, если они привлекаются к проведению выездной проверки (абз. 2 п. 73.2.3, п. 6.10 Регламента). Приехать с проверкой могут только те должностные лица (и эксперты), которые поименованы в приказе о проведении выездной проверки (п. 62, п. 42 Регламента). Все они представляются (предъявляют свое служебное удостоверение) и вручают руководителю или иному уполномоченному лицу копию приказа о проверке (п. 73.2.3, п. 7.4 и п. 60 Регламента). О получении копии приказа следует расписаться в другой копии приказа (п. 61 Регламента). И проверяющие, и эксперты должны быть поименованы в приказе.

Если руководитель или уполномоченное лицо проверяемой организации отсутствует, то проводить проверку проверяющие не вправе (п. 64 и п. 74.2 Регламента), за исключением проверки, проводимой в связи поступившей с информацией о причинении вреда жизни и здоровью граждан (п. 64, п. 74.2 и п. 38.2 Регламента). Однако руководитель, иной уполномоченный представитель проверяемого лица должен обеспечить необходимые условия для проведения проверки (п. 65 Регламента) под угрозой административного наказания (ст. 19.4.1 КоАП РФ).

Перед началом проверки (если об этом специально попросит руководитель проверяемого лица) сотрудники Роскомнадзора должны ознакомить его с положениями Регламента проверок (п. 7.12 Регламента). Затем проверяющие беспрепятственно проходят на территорию проверяемого лица: в его здания, строения, сооружения, помещения, где осуществляется обработка персональных данных, к используемому оборудованию (п. 65, п. 9 Регламента).

Во время проведения выездной проверки проверяющие могут запросить интересующие их документы по теме проверки. Отказать в их предоставлении можно только в том случае, если этой выездной проверке предшествовала документарная, и эти же самые документы уже были представлены Роскомнадзору, в остальных случаях документы и информацию необходимо предоставить проверяющим (п. 9 Регламента). После изучения документов (или параллельно с ним) Роскомнадзор проверит информационные системы персональных данных (п. 67.2 Регламента), в режиме просмотра и выборки необходимой информации (п. 6.6 Регламента).

Руководитель проверяемого лица вправе присутствовать при проведении проверки и давать необходимые пояснения (п.8.1, п. 7.5 Регламента). Если же у него самого возникают какие-нибудь вопросы по предмету проверки, то проверяющие, в свою очередь, сами обязаны давать необходимые пояснения (п. 7.6, п. 8.2 Регламента).

Проверяемое лицо вправе пригласить к участию в проверке Уполномоченного при Президенте РФ по защите прав предпринимателей либо уполномоченного по защите прав предпринимателей в субъекте РФ (п. 8.5 Регламента).

Проверка должна быть закончена в те сроки, которые указаны в приказе о проведении проверки (п. 7.10, п. 74.5 Регламента).

Внимание

Роскомнадзор не имеет права проверять выполнение обязательных требований, установленных нормативными правовыми актами в области персональных данных, если такие требования не относятся к его полномочиям (п.74.1 Регламента).

По окончании проверки будет составлен акт проверки (п. 10.1, п. 76 Регламента) и сделана запись в журнал учета проверок, если он имеется у проверяемого (п. 7.13, п. 89 Регламента). Если проверялись подразделения на территории нескольких регионов, то каждое проверяющее управление Роскомнадзора составит свое заключение об итогах мероприятия по контролю (это служебный документ), которое будет отослано в ответственное управление Роскомнадзора. Это ответственное управление составит и оформит обобщенный акт проверки (п. 81 Регламента). Проверяемый, не согласный с содержанием акта проверки, вправе изложить в письменной форме свое особое мнение, которое прилагается к акту (п. 83 Регламента).

С актом проверки (либо обобщенным актом проверки) обязательно знакомят руководителя проверенного лица (п. 8.3, п. 7.7 Регламента).

Если проверка Роскомнадзора обнаружила какие-нибудь нарушения требований в области персональных данных, то вместе с актом проверяемому лицу обязаны выдать предписание об устранении выявленных нарушений (п. 85 Регламента).

Если проверка выявила такие нарушения в сфере обработки персональных данных, за которые предусмотрена административная ответственность, либо установлен факт неисполнения выданного ранее предписании Роскомнадзора, проверяющие либо сами составляют протокол о подведомственном им административном правонарушении, либо направляют материалы в соответствующие органы (п. 88 Регламента).

В дальнейшем Роскомнадзор (или суд, в зависимости от конкретного состава) рассмотрит оформленные протоколы об административном правонарушении и вынесет по ним постановления о назначении административного наказания (либо о прекращении производства по делу, см. ст. 29.9 КоАП РФ).

Действия (и бездействие) должностных лиц Роскомнадзора при проведении проверки можно обжаловать в административном и (или) судебном порядке (п. 8.4 Регламента). Административное наказание, наложенное по итогам проверки, можно обжаловать в порядке гл. 30 КоАП РФ.

Тема

Проверки Роскомнадзором исполнения требований в области персональных данных

См. также

Срок проверки Роскомнадзором за соответствием обработки персональных данных требованиям законодательства

Приказ о проведении проверки за соответствием обработки персональных данных требованиям законодательства

Выездная проверка Роскомнадзором за соответствием обработки персональных данных требованиям законодательства

Документарная проверка Роскомнадзором за соответствием обработки персональных данных требованиям законодательства

Акт проверки Роскомнадзора за соответствием обработки персональных данных требованиям законодательства

Предписание Роскомнадзора об устранении нарушений в области обработки персональных данных требованиям законодательства