Энциклопедия решений. Основания для проверок Роскомнадзора в сфере обработки персональных данных (ноябрь 2024)

Основания для проверок Роскомнадзора в сфере обработки персональных данных Смотрите в этом материале: - план проверок; - жалоба или сообщение в СМИ; - достоверность жалобы; - индикатор риска нарушения; - поручение Президента РФ, Правительства РФ, вице-премьеров; - поручение Президента РФ, Правительства РФ, вице-премьеров в рамках моратория на проверки; - требование прокурора; - контроль за исполнением предписания; - слив в Интернет базы данных; - проверка без оснований Прийти с контрольным (надзорным) мероприятием (далее также - КНМ) просто так, без повода, инспектор не может, поэтому какая-нибудь причина - основание для проведения проверочных мероприятий - у него обязательно будет. Из этих причин лишь две - дата в плане КНМ на календарный год и выполнение ранее полученного предписания - поддается определенному контролю со стороны бизнеса, остальные, зачастую, - такая же неприятная неожиданность для Роскомнадзора, как и для оператора ПДн. Основание для КНМ указывается в решении о его проведении (п.3 ч.1 ст. 64 Федерального закона от 31.07.2020 N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в РФ", далее - Закон о госконтроле), кроме наблюдения за соблюдением обязательных требований и выездного обследования - решения об их проведении не оформляются в принципе (ч. 3 ст. 64 закона о госконтроле). Внимание В связи "проверочным" мораторием, установленным постановлением Правительства РФ от 10.03.2022 N 336, проведение большинства плановых и внеплановых КНМ в 2024 году невозможно. Подробнее - в Энциклопедии решений "Мораторий на проверки - 2024". Наступление даты плановой проверки Из текста ПП 1046 неясно, проводит ли Роскомнадзор плановые КНМ без взаимодействия с проверяемым лицом (а это наблюдение за соблюдением требований при размещении информации в Интернет, и наблюдение за соблюдением требований посредством анализа информации о деятельности оператора ПДн, которая представляется в Роскомнадзор или иные органы власти, см. п. 59 ПП 1046, также, теоретически, - выездное обследование): п. 38 и п. 60 ПП 1046 говорят лишь о внеплановых заданиях на проведение таких "заочных" КНМ без взаимодействия (см. также ч. 2 ст. 57 Закона о госконтроле). Плановые КНМ с взаимодействием с проверяемым лицом проводятся на основании заранее утвержденных планов проведения контрольных (надзорных) мероприятий с взаимодействием (п. 2 ч. 1 ст. 57, ч. 1 ст. 61 Закона о госконтроле, п. 38 ПП 1046). Эти планы Роскомнадзор готовит заранее и согласовывает с прокуратурой (ч. 1, ч. 3 ст. 61 Закона о Госконтроле, пп. "а" п. 2, п. 9 Правил, утв. постановлением Правительства РФ от 31.12.2020 N 2428, далее - Правила 2428). Проверка конкретного оператора ПДн может быть включена в План КНМ на очередной год, если именно в этом очередном году истекли 2-3-4 или 6 лет (зависит от категории риска) с начала деятельности или предыдущего планового КНМ (п. 12 ПП 1046, п. 7 Правил 2428). Для этого объекта в Плане КНМ указывают адрес и ФИО/наименование и ИНН оператора ПДн (пп. "е", пп. "ж" п. 8 Правил 2428). После одобрения Плана на будущий год прокурором, он до 15 декабря текущего года утверждается и в течение недели публикуется в сети Интернет (п. 12, п. 13 Правил 2428). До 2030 года в планы проведения плановых КНМ разрешено включать плановые КНМ исключительно в отношении объектов контроля, отнесенных к категориям чрезвычайно высокого и высокого риска! (п. 11.3 Постановления N 336), кроме государственных и муниципальных или частных образовательных организаций, реализующих образовательные программы дошкольного, начального общего, основного общего, среднего общего, среднего профессионального образования, а также образовательных организаций высшего образования, государственных и муниципальных медорганизаций, а также организаций социального обслуживания детей, общественного питания детей (в организациях, осуществляющих образовательную деятельность, оказание услуг по воспитанию и обучению, отдыху и оздоровлению, предоставлению мест временного проживания, социальных, медицинских услуг) (п. 11.4 Постановления N 336). При осуществлении федерального государственного контроля (надзора) за обработкой ПДн применяется система оценки и управления рисками (см. главу 5 Закона о госконтроле), а все объекты контроля распределены по категориям риска (п. 9, п. 10 ПП 1046), см. также материал "Управление рисками при организации Роскомнадзором плановых КНМ в рамках надзора за обработкой ПДн". Поэтому именно присвоенная объекту категория риска - а она зависит от характеристик объекта контроля и репутации оператора ПДн - определяет, как часто объект будут включать в ежегодный План КНМ (с взаимодействием), и что это будут за КНМ (п. 12 ПП 1046): категория риска, к которой отнесен объект периодичность плановых КНМ вид планового КНМ высокий риск 1 раз в 2 года инспекционный визит или выездная проверка значительный риск 1 раз в 3 года инспекционный визит или выездная проверка средний риск 1 раз в 4 года инспекционный визит, документарная проверка или выездная проверка умеренный риск 1 раз в 6 лет документарная проверка или выездная проверка низкий риск вообще не проводятся! Кроме, собственно, проверочных мероприятий, инспекторы проводят и плановые "предупредительные" выезды на объект - профилактические визиты (ст. 52 Закона о госконтроле, п. 30 ПП 1046). Выдать предписание по итогам профвизита нельзя, но можно организовать по его итогам выездную проверку (ч. 7 ст. 52 Закона о госконтроле, п. 35 ПП 1046); правда, о таком профвизите предупреждают, минимум, за неделю, и от него можно отказаться (ч.ч. 5, 6 ст. 52 Закона о госконтроле, п. 30, п. 31 ПП 1046). Обязательные профилактические визиты проводят в течение первого года с момента, как оператор ПДн приступил к обработке ПДн, а также и в иные периоды - для операторов ПДН, чья деятельность отнесена к категориям высокого и значительного риска (п.30, п. 32 ПП 1046). Подробнее об отнесении к категориям риске см. в отдельном материале. Жалоба или любой сигнал о нарушениях требований обработки ПДн Основанием для внепланового КНМ могут быть достоверные, подтвержденные сведения, появившиеся у Роскомнадзора, о том, что - причинен вред (ущерб) или - существует угроза причинения вреда (ущерба) охраняемым законом ценностям,  - или объект контроля соответствует параметрам, утвержденным индикаторами риска нарушения обязательных требований (п. 1 ч. 1 ст. 57, ст. 58, ч. 1 ст. 66 Закона о госконтроле). Другими словами, одних только сведений о нарушении / наличии индикаторов недостаточно для проведения КНМ, - эту информацию Роскомнадзор сначала должен оценить, а по итогам оценки - признать ее достоверной (ч. 2 ст.58 Закона о госконтроле). Первоначальные - до их оценки на предмет достоверности - сведения о возможном нарушении правил обработки ПДн Роскомнадзор черпает (ч. 1 ст. 58 Закона о госконтроле): - во-первых, "изнутри", - при проведении надзорных мероприятий, в том числе КНМ без взаимодействия или даже КНМ в отношении других лиц; - во-вторых, - из уведомлений, которые направил в роскомнадзор сам оператор ПДн; - в-третьих, "снаружи", - из информации иных органов власти (например, что при проверке законности монтажа видеонаблюдения в МКД не были обнаружены согласия на обработку биометрических ПДн), из сообщений СМИ, а также - и главным образом, - из поступивших жалоб/заявлений. Однако вовсе не любая жалоба может вызвать проверку оператора ПДн - а только такая, чье авторство на 100% подтверждено. Поэтому Роскомнадзор принимает к рассмотрению (как повод к проверке) только такие жалобы: - поданные в Роскомнадзор лично с паспортом (либо по доверенности) или же устно высказанные на личном приеме в Роскомнадзоре (п. 1 ч. 1 ст. 59 Закона о госконтроле); - поданные в Роскомнадзор через МФЦ, также с паспортом (п. 1 ч. 1 ст. 59 Закона о госконтроле); - поданные онлайн после идентификации в ЕСИА - на портале госуслуг, аналогичных региональных порталах, через форму на сайте Роскомнадзора (п. 2 ч. 1 ст. 59 Закона о госконтроле); - любые другие, если в ходе проверки достоверности инспектор Роскомнадзора отыщет истинного автора и установит и подтвердит его личность (п. 3 ч. 1 ст. 59 Закона о госконтроле). Если автор не захочет афишировать себя, инспектор Роскомнадзора составит бумагу, что оснований для КНМ - нет (п. 3 ст. 60 Закона о госконтроле). Анонимки не рассматриваются вообще, а всякие "сомнительные" доносы Роскомнадзор вправе рассмотреть просто по правилам Закона N 59-ФЗ о порядке рассмотрения обращений граждан РФ (ст. 11 Закона N 59-ФЗ, ч. 3 ст. 59 Закона о госконтроле). Каким образом инспектор оценивает саму жалобу/сообщение? Задача органа Роскомнадзора - выяснить, насколько правдива жалоба и насколько она обоснована - ведь автор-неспециалист мог неправильно интерпретировать то, о чем написал, или сгустил краски, или просто ошибся. Для оценки достоверности жалобы у инспектора Роскомнадзора есть несколько инструментов: 1. можно запросить, в том числе устно, у автора жалобы/сообщения всякие дополнительные сведения и материалы (п. 1 ч. 3 ст. 58 Закона о госконтроле) - другими словами, описать подробности или даже фото/видео. Для этого необязательно встречаться лично - можно общаться по телефону, в мессенджерах и т.п. (ч. 2 ст. 59 Закона о госконтроле); 2. можно запросить пояснения у предполагаемого оператора ПДн-нарушителя, правда, именно в этом случае тот не обязан отвечать и может не давать комментариев (п. 2 ч. 3 ст. 58 Закона о госконтроле, см. также п. 50 ПП 1046); 3. провести выездное обследование (анонимно выехать на место и осмотреть все, что открыто для публики, см. ст. 75) и/или наблюдение за соблюдением требований (изучить досье на потенциального нарушителя, посмотреть данные из межведомственных и интернет-источников и т.п., см. ст. 74 Закона о госконтроле, п. 59, пп. "б" п. 60 ПП 1046). Если по итогам оценки жалобы или заметки в СМИ они оказались заведомой ложью, то Роскомнадзор вправе взыскать с таких жалобщика/СМИ расходы, понесенные в связи с рассмотрением их опусов (ч. 4 ст. 58 Закона о госконтроле); если же ошибся госорган или ОМСУ - с него взятки гладки. Одновременно составляется бумага о том, что нет оснований дл проведения КНМ (п. 3 ст. 60 Закона о госконтроле). Если же по итогам оценки жалоба оказалась правдивой, то: - либо инспектор пишет руководителю тероргана Роскомнадзора (заму) представление о проведении внепланового КНМ, каковое затем и проводится, - если в наличии точно имеются индикаторы риска нарушения обязательных требований, либо причинен вред/ущерб охраняемым законом ценностям, либо еще не причинен, но угроза уже есть (п. 1 ч. 1 ст. 57, п. 1 ст. 60 Закона о госконтроле, ч. 4 ст. 23.1 Закона о ПДн), при этом ФИО жалобщика-гражданина не выдается инспектором без согласия самого этого гражданина (ч. 4 ст. 59 Закона о госконтроле), указывать ФИО в Решении о проведении КНМ запрещено (см. формы решений о проведении КНМ, утвержденные приказом Минэкономразвития России от 31.03.2021 N 151, например, примечание к пп.1 п. 2 Типовой формы решения о проведении выездной проверки); - либо инспектор составляет представление о направлении предостережения о недопустимости нарушения обязательных требований, каковое затем и объявляется (п. 2 ст. 60, ст. 49 Закона о госконтроле), - если и оснований для КНМ нет, но и полного соблюдения закона - тоже: основания для объявления предостережения нарушения обязательных требований пока еще нет но, по имеющимися сведениям, оно потенциально готовится но, по имеющимися сведениям, есть признаки (но не доказательства) их нарушения нарушение обязательных требований произошло нет подтвержденных данных о том, что оно причинило вред (ущерб) охраняемым законом ценностям нет подтвержденных данных о том, что оно создало угрозу причинения вреда (ущерба) охраняемым законом ценностям невозможно достоверно подтвердить сведения о наличии индикаторов риска нарушения обязательных требований Индикаторы риска нарушения обязательных требований по федеральному государственному контролю (надзору) за обработкой ПДн Кроме сведений об ущербе/вреде или соответствующей угрозе, п. 1 ч.1 ст. 57 Закон о госконтроле предлагает еще одно основание для внепланового КНМ: выявление соответствия объекта контроля параметрам, утвержденным индикаторами риска нарушения обязательных требований, или отклонения объекта контроля от таких параметров. Соответствующие индикаторы утверждены приказом Минцифры России от 15.11.2021 N 1187, который предусматривает 4 индикатора: - 10 и более жалоб граждан на незаконную обработку их ПДн, если сам оператор ПДн это отрицает (сам индикатор сформулирован так - "установление в течение календарного года 10 и более фактов несоответствия сведений, предоставляемых контролируемым лицом по запросу Роскомнадзора, и информации, поступившей в Роскомнадзор от граждан, в части, касающейся наличия в деятельности контролируемого лица признаков неправомерной обработки их ПДн", но суть именно в наличии противоречий между жалобами граждан и объяснениями оператора ПДн. А если оператор даже и не отрицает нарушений со своей стороны - то это уже не индикатор риска, а "сведения о вреде охраняемым законом ценностям"); - 10 и более фактов утечки баз ПДН, имеющих признаки принадлежности оператору ПДн, в течение календарного года; - 3 и более фактов несоответствия между информацией, указанной в направленных в Роскомнадзор уведомлениях, и тем сведениям, что размещены на сайте оператора ПДн; - 2 и более (в течение календарного года) факта несоответствия информации, связанной с применением рекомендательных технологий, правилам их применения, размещенным на информационном ресурсе, если указанная информация получена Роскомнадзором по его запросу на основании ч.4 ст.10.2.2 Закона об информации, информационных технологиях и о защите информации, при ее предоставлении контролируемым лицом - владельцем сайта / страницы сайта, или при проведении Роскомнадзором оценки соответствия применения рекомендательных технологий в рамках предоставленного контролируемым лицом доступа к программно-техническим средствам рекомендательных технологий Поручение Президента РФ или Правительства РФ и Зампреда Правительства РФ Внеплановая проверка, согласно п. 3 ч. 1 ст. 57, ч. 1 ст. 66 Закона о госконтроле, может быть проведена по поручению Президента РФ или Правительства РФ о проведении КНМ в отношении конкретных контролируемых лиц, при этом ч. 2 ст. 62 того же Закона разрешает проводить ее уже по поручению вице-премьера, если в таком поручении будут перечислены: - конкретные контролируемые лица или группы контролируемых лиц, в отношении которых должны быть проведены контрольные мероприятия; - вид и предмет проверки, - период, в течение которого нужно их провести. Федеральный конституционный закон от 06.11.2020 N 4-ФКЗ "О Правительстве РФ" разрешает вице-премьерам давать поручения Роскомнадзору на основании распоряжений и поручений Президента РФ (п. 4 ч. 1 ст.28). Такие поручения выдаются в соответствии с распределением обязанностей между вице-премьерами (п. 46 Регламента Правительства РФ, утв. постановлением Правительства РФ от 01.01.2004 N 260). Поручение может содержаться, согласно п. 47 этого же Регламента: - в акте Правительства РФ (доводится до Роскомнадзора путем направления копии этого акта), - в протоколе заседания Правительства РФ (доводится до Роскомнадзора путем направления выписки из протокола заседания), - в протоколах совещаний, проводимых Председателем Правительства или вице-премьерами, и в резолюциях по рассмотренным ими документам (доводятся до Роскомнадзора путем направления протокола совещания, или выписки из него, или оформленной в установленном порядке резолюции). Реквизиты этих документов вносятся - в формате текстового поля - в ЕРКНМ, в раздел "Основания для проведения контрольного (надзорного) мероприятия" (см. примечание 11 к ПП 604). На основании поручения Президента РФ, Правительства РФ, либо просто руководителя Роскомнадзора выдаются и задания на проведение КНМ без взаимодействия (пп. "а" п. 60 ПП 1046). Профилактический визит по поручениям Президента и Правительства РФ В рамках "проверочного" моратория Правительство РФ на 2023-2029 годы ввело новый вид контрольного (надзорного) мероприятия, не предусмотренный Законом о госконтроле, - профилактический визит без возможности отказаться от его проведения, зато с возможностью проведения контрольных (надзорных) действий: - такие визиты проводятся исключительно в рамках тех видов надзора, которые подчиняются Закону о госконтроле, - такие визиты проводятся исключительно по поручению Президента РФ, премьер-министра РФ, вице-премьеров (в последнем случае - по согласованию с руководителем Аппарата Правительства РФ), - в поручениях премьер-министра, вице-премьеров должны быть указаны перечень контролируемых лиц (или критерии определения круга таких лиц) и период времени, в течение которого должны быть проведены профилактические визиты; для поручения Президента РФ это не предусмотрено (п. 11.5 Постановления N 336). В рамках такого визита можно проводить: - осмотры, - отборы проб (образцов), - истребования документов, - испытания, - инструментальные обследования, - экспертизы (п. 11.6 Постановления N 336). Срок такого визита - 1 день, но этот срок: - может быть продлен на срок, необходимый для инструментального обследования, но не более 4 рабочих дней; - может быть приостановлен на срок осуществления экспертиз или испытаний (п. 11.6 Постановления N 336). Если во время визита обнаружены нарушения, то контролируемому лицу выдается предписание, если контролируемое лицо является государственным или муниципальным учреждением, то предписание выдается либо самому учреждению, либо его учредителю (в первом случае учредителю направят копию предписания) (п. 11.6 Постановления N 336). Требование прокурора о проведении внепланового КНМ Внеплановая проверка может быть проведена, если того потребует прокурор, - но не просто так, а в связи с теми жалобами (обращениями, материалами и прочим), которые: - поступили в прокуратуру в рамках прокурорского надзора за исполнением законов, соблюдением прав и свобод человека и гражданина, - и при этом свидетельствуют о причинении вреда (ущерба) охраняемым законом ценностям или об угрозе такого причинения (п. 4 ч. 1 ст. 57, ст. 63, ч. 1 ст. 66 Закона о госконтроле, п. 1.1 ст. 22 Закона о прокуратуре, п. 2 Порядка направления требований, утв. приказом Генеральной прокуратуры РФ от 02.06.2021 N 294, далее - Приказ 294). Требование оформляется по типовой форме (приложение N 1 к Приказу 294), в нем прокурор должен сообщить, в том числе, об обращениях и материалах, из-за которых он требует проведения КНМ (п. 2 ч. 1 ст.63 Закона о госконтроле). Прокурору запрещено требовать проведения КНМ дважды в отношении одного и того же лица по одним и тем же основаниям (абз. 2 п. 1.1 ст. 22 Закона о прокуратуре, п. 6 Порядка направления требований). Прокурор сам выбирает тот вид КНМ, который будут проводить инспекторы Роскомнадзора (п. 1 ч. 1 ст. 63 Закона о госконтроле, приложение N 1 к Приказу 294). Истечение срока исполнения предписания Если по итогам ранее проведенных КНМ оператор ПДн получил предписание об устранении выявленных нарушений с указанием срок их устранения (п. 1 ч. 2 ст. 90 Закона о госконтроле), он обязан это предписание исполнить, а Роскомнадзор - принять меры по осуществлению контроля за устранением выявленных нарушений (п. 4 ч. 2 ст. 90 Закона о госконтроле) под угрозой административной ответственности по ч. 4 ст. 19.6.1 КоАП РФ. Что это могут быть за меры? Во-первых, рассмотрение документов и сведений, представленных адресатом предписания (если в предписании было требование о том, что эти документы и сведения были предоставлены). Во-вторых, рассмотрение информации, полученной в рамках наблюдения за соблюдением обязательных требований. В-третьих - новое КНМ с взаимодействием, предмет которого - контроль за исполнением предписания (ч. 1 ст. 95, п. 5 ч. 1 ст. 57, ч. 1 ст. 66 Закона о госконтроле). Такая новая проверка проводится только в том случае, если проверяемое лицо не представило никаких сведений об исполнении предписания (кстати, предписание этого может изначально не требовать), либо из этих документов /сведений, добытых в ходе наблюдения за соблюдением обязательных требований, неясно - исполнено предписание или все же нет (ч. 1 ст. 95 Закона о госконтроле). Таким образом, можно предположить, что перед назначением полноценного КНМ с взаимодействием (для контроля предписания) Роскомнадзор для начала проведет наблюдение за соблюдением обязательных требований. В какой форме будет проведено это КНМ - зависит от того, по итогам какого именно КНМ было выдано предписание (ч. 1 ст. 95 Закона о госконтроле): предписание выдано по итогам выездной проверки исполнение предписания можно проконтролировать: - выездной или документарной проверкой, - инспекционным визитом предписание выдано по итогам документарной проверки исполнение предписания можно проконтролировать: - документарной проверкой, - инспекционным визитом предписание выдано по итогам инспекционного визита Обнаружение в сети Интернет базы данных , содержащих ПДн С 14.02.2023 по 31.12.2024 Роскомнадзор вправе проводить в отношении аккредитованных IT-компаний (к ним относятся аккредитованные российские организации, осуществляющие деятельность в области информационных технологий, и включенные в соответствующий реестр) внеплановые КНМ в сфере надзора за обработкой персональных данных, если: - обнаружилась утечка в Интернет баз данных, содержащих персональне данные, - и эти базы имеют признаки принадлежности аккредитованной IT-компании, - а проведение такого внепланового КНМ согласовано с прокуратурой ( п.1, п. 2.1 ПП-448). Решение о таком КНМ принимает руководитель Роскомнадзора или его заместитель. Проверки (иные внеплановые КНМ) иных операторов ПДн (не являющихся аккредитованными IT-компаниеями) из-за утечки в Интернет баз данных с персональными данными, также можно проводить до конца 2024 года по решению руководителя, замруководителя Роскомнадзора с предварительным согласованием в прокуратуре ( абз. 10 пп. "а" п. 3 Постановления N 336). КНМ проведено по незаконному основанию Инспектор Роскомнадзора обязан проводить КНМ исключительно на законном основании (п. 3 ч. 1 ст. 29 Закона о госконтроле). Проведение контрольного мероприятия без законного основания - это грубое нарушение требований к организации и осуществлению государственного надзора (п. 1 ч. 2 ст. 91 Закона о госконтроле), которое и влечет несколько важных последствий: - принятые по итогам такого незаконного КНМ предписания и иные решения (а к ним п. 3 ч. 2 ст. 90 Закона о госконтроле относит, в том числе, "меры по привлечению виновных лиц к установленной законом ответственности") должны быть отменены - либо самим органом Роскомнадзора, который проводил такое КНМ, либо вышестоящим, либо судом, причем этого может требовать и прокурор (ч. 1 ст. 91 Закона о госконтроле); - если это нарушение выявлено самим Роскомнадзором, уполномоченное должностное лицо "провинившегося" органа принимает решение о признании результатов такого КНМ недействительными (ч. 1 ст. 91 Закона о госконтроле); - повторное КНМ в отношении того же лица, независимо от его вида и основания, обязательно согласовывается с прокурором (ч. 3 ст. 91 Закона о госконтроле); - должностные лица органа Роскомнадзора могут быть привлечены к административной ответственности по ст. 19.6.1 КоАП РФ (исключительное право привлекать по этой статье есть у прокурора, см. ч. 1 ст. 28.4 КоАП РФ). Аналогичные последствия предусмотрены для частных случаев безосновательно КНМ - если нарушена периодичность проведения плановых КНМ (п. 4 ч. 2 ст. 91) или если "плановое" КНМ проведено, но в Ежегодном плане КНМ его не было (п. 5 ч. 2 ст. 91 Закона о госконтроле).

Тема Проверки Роскомнадзора в сфере обработки персональных данных (общие сведения) Формы документов Заявление о признании недействительными результатов контрольного (надзорного) мероприятия (грубые нарушения) Практические ситуации Построить список