задать вопросОформить подпискуНайти экспертаСтать экспертом
Назад
Рубрика: Защита и правовое сопровождение бизнеса
Алексейчук Андрей
Старший юрист практики по интеллектуальной собственности и информационным технологиям адвокатского бюро «Качкин и Партнеры»
26 февраля 2019
Советы
Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.

Операторов обработки персональных данных начнут проверять по новым правилам

Как теперь будут проводиться проверки юрлиц и индивидуальных предпринимателей и как к ним подготовиться?

Операторов обработки персональных данных начнут проверять по новым правилам

13 февраля 2019 г. Правительством РФ были приняты1 Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее – Правила). Они вступили в силу 23 февраля и обязательны к применению Роскомнадзором, который и должен контролировать обработку таких данных.

Если вы собираете, храните и используете персональные данные, то мы рекомендуем вам ознакомиться с нововведениями в процедуре проведения плановых и внеплановых проверок, внесенными новыми Правилами.

Кто считается оператором обработки персональных данных и кого будут проверять?

Операторами являются лица, которые обрабатывают персональные данные, т.е. совершают любые действия с ними или определяют цель и способ обработки данных и их состав (п. 2 ст. 3 Закона о персональных данных). Проверки операторов осуществляются согласно п. 1 Правил и ч. 1.1 ст. 23 Закона о персональных данных2.

В то же время из п. 6 Правил следует, что плановые проверки проводятся в отношении юридических лиц и индивидуальных предпринимателей. В отношении иных лиц, судя по всему, будут проводиться только внеплановые проверки.

Стоит учитывать, что на порядок осуществления таких проверок не распространяются положения Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»3 (п. 20 ч. 3.1 ст. 1 этого закона). Это означает, что правительство вправе устанавливать иной порядок организации и проведения проверок, чем тот, который определен данным законом. Принятые Правила на данный момент в целом соответствуют Закону о проверках, но в последующем они могут быть изменены. Оператору при этом необходимо будет руководствоваться именно положениями Правил, а не нормами Закона о проверках.

По каким правилам раньше проводились проверки?

Ранее проверки и иные подобные мероприятия проводились на основании Административного регламента Роскомнадзора (далее – Регламент).

Он не был изменен и не утратил силу на момент подготовки данного материала. Однако применяться Регламент будет лишь в той части, которая не противоречит Правилам, поскольку они утверждены нормативным актом более высокого уровня. Можно ожидать, что Регламент будет приведен в соответствие с Правилами в ближайшее время.

Как часто будут осуществляться проверки?

Пунктом 33 Регламента установлено, что плановые проверки проводятся один раз в три года. Данный срок указан и в п. 6 Правил.

Кроме того, определено специальное правило в отношении операторов:

  • обрабатывающих персональные данные в государственных информационных системах;
  • осуществляющих сбор биометрических или специальных категорий персональных данных;
  • осуществляющих трансграничную передачу персональных данных на территорию, на которой не обеспечивается адекватная защита прав субъектов;
  • осуществляющих обработку персональных данных по поручению иностранного лица или органа власти, которые не зарегистрированы в России.

Плановые проверки таких операторов будут проводиться один раз в два года.

Как узнать, когда будет проводиться проверка?

Сведения о проведении плановых проверок должны быть включены в ежегодный план, размещаемый Роскомнадзором на своем официальном сайте. Кроме того, о плановой проверке ведомство должно уведомить оператора не позднее чем за три рабочих дня до начала ее проведения. Сообщается об этом заказным письмом или по электронной почте, если ее адрес размещен на сайте оператора.

О проведении внеплановой проверки Роскомнадзор обязан уведомить оператора любым способом не позднее чем за 24 часа до начала ее проведения.

Как долго проверка будет длиться?

Пунктом 20 Регламента было установлено, что срок проведения плановых и внеплановых проверок не может превышать 20 рабочих дней и может быть продлен не более чем на 20 рабочих дней. Для субъектов малого предпринимательства были определены иные сроки проведения проверок: не более 50 часов для малого предприятия и не более 15 часов для микропредприятия.

В новых Правилах сократили срок проведения внеплановых проверок. Теперь он составляет не более 10 рабочих дней и может быть продлен в исключительных случаях не более чем на 10 рабочих дней (п. 17 Правил). При этом в Правилах отсутствует указание на другие сроки проведения проверок для субъектов малого предпринимательства.

Также установлено правило исчисления сроков проведения проверок операторов, действующих на территории нескольких субъектов РФ. Они исчисляются в отношении каждого филиала, однако совокупный срок проверки не может превышать более 60 рабочих дней (п. 18 Правил).

В каких случаях возможны внеплановые проверки?

Регламентом предусмотрены следующие основания для проведения внеплановых проверок:

  • неисполнение оператором выданного Роскомнадзором предписания об устранении нарушений;
  • поступление в Роскомнадзор информации о причинении вреда жизни и здоровью граждан или возникновении угрозы причинения такого вреда вследствие ненадлежащего исполнения оператором своих обязанностей;
  • приказ руководителя Роскомнадзора или его территориального подразделения, изданный в соответствии с поручением президента, правительства или прокуратуры.

В п. 8 Правил основания для проведения внеплановых проверок несколько изменены:

  • они могут быть назначены после поступления в Роскомнадзор любых сведений о нарушении прав субъектов персональных данных, предусмотренных гл. 3 Закона о персональных данных. Например, если такой субъект сообщил об утечке информации;
  • поручения президента и правительства, а также требования прокурора являются теперь самостоятельным основанием для проведения внеплановых проверок;
  • они также могут быть назначены по решению руководителя Роскомнадзора на основании проведенных сотрудниками этого ведомства мероприятий по контролю без взаимодействия с операторами (о них далее).

Как будет проходить проверка?

Проверки могут проходить в двух формах – документарной (когда Роскомнадзор проверяет предоставленные оператором документы без личной явки к нему) и выездной (когда проверка осуществляется сотрудниками Роскомнадзора по месту нахождения оператора).

Документарными могут быть только плановые проверки (п. 25 Правил). В этом случае Роскомнадзор запрашивает у оператора интересующие документы, которые он обязан представить в течение пяти рабочих дней со дня получения запроса. Непредставление сведений является основанием для привлечения к административной ответственности (ст. 19.7 КоАП РФ).

Если в документах будут выявлены ошибки или неточности, Роскомнадзор направит дополнительный запрос. Ответ на него оператор должен дать в течение трех рабочих дней. В противном случае Роскомнадзор вправе назначить выездную проверку. Она осуществляется по месту нахождения оператора и не может проводиться в отношении физических лиц, не являющихся индивидуальными предпринимателями (п. 32 Правил).

Оператор обязан обеспечить сотрудникам Роскомнадзора все условия для проведения проверки, в том числе представить запрошенные ими документы. По итогам составляется акт проверки (п. 42 Правил). В случае выявления нарушений оператору выдается предписание об их устранении. Также он может быть привлечен к административной ответственности.

Возможна проверка без взаимодействия с оператором?

Правилами регламентирована новая форма осуществления контроля – это мероприятия, которые проводятся без взаимодействия с операторами. В их рамках осуществляются:

  • проверка информации, размещенной оператором в интернете и СМИ, – например, сведений о политике обработки персональных данных;
  • анализ информации, предоставленной оператором или полученной Роскомнадзором от органов государственной власти в рамках межведомственного взаимодействия, – например, сведений, указанных оператором в уведомлении об обработке персональных данных.

Основаниями для проведения данных мероприятий являются поручения президента, правительства или руководителя Роскомнадзора, а также поступление в Роскомнадзор информации от физических или юридических лиц, из интернета или СМИ о нарушении прав субъектов персональных данных или обязательных требований. Например, причиной такой проверки могут стать размещенные в СМИ сведения о допущенной оператором утечке персональных данных.

Как подготовиться к проверке?

Следует учитывать, что Роскомнадзор в первую очередь обращает внимание на следующие моменты:

  • было ли подано в Роскомнадзор уведомление об обработке персональных данных, которое требуется для включения в реестр операторов (ст. 22 Закона о персональных данных). Необходимо представить сведения о его направлении или сослаться на одно из оснований, позволяющих обрабатывать данные без уведомления Роскомнадзора. Перечень таких оснований предусмотрен ч. 2 ст. 22 Закона о персональных данных;
  • если уведомление было подано – соответствует ли реальное положение дел данным, указанным в нем;
  • соблюдены ли требования к неавтоматизированной обработке персональных данных: кто из сотрудников работает с ними, как хранятся документы;
  • соблюдены ли требования к автоматизированной обработке данных (за исключением требований, связанных с безопасностью);
  • утверждена ли политика обработки персональных данных. Если данные собираются через сайт компании – размещены ли сведения об этой политике на сайте;
  • данные каких субъектов обрабатываются и на каком основании. Допустимые основания перечислены в ч. 1 ст. 6 Закона о персональных данных;
  • если обработка осуществляется на основании согласия субъекта персональных данных – соблюдены ли требования закона к такому согласию (ст. 9 Закона о персональных данных);
  • передаются ли персональные данные третьим лицам. Если да, соблюдаются ли требования закона, касающиеся передачи: наличие согласия субъекта; соответствующие условия в договоре с третьими лицами; требования, касающиеся трансграничной передачи данных;
  • обрабатываются ли специальные категории персональных данных и биометрические данные. Соблюдены ли условия для такой обработки;
  • соблюдаются ли требования о локализации персональных данных (ч. 5 ст. 18 Закона о персональных данных).

Если осуществляется внеплановая проверка в связи с поступлением в Роскомнадзор сведений о нарушениях прав субъектов персональных данных или если ведомство выявило такие нарушения в ходе проведения дистанционного контроля – рекомендуется заранее предоставить пояснения по выявленным нарушениям.

Следует учитывать, что утвержденные Правила не распространяются на контроль и надзор за обеспечением безопасности обработки персональных данных, которая осуществляется в информационных системах, установленных в соответствии со ст. 19 Закона о персональных данных. Контролируют выполнение этих требований закона ФСБ и ФСТЭК.

Что будет, если проверяющие выявят нарушения?

В этом случае оператору направляется требование об устранении нарушений, которое должно быть исполнено в течение 10 дней. Также может быть назначена внеплановая проверка.

Невыполнение предписания уполномоченного органа является основанием для привлечения к административной ответственности (ч. 1 ст. 19.5 КоАП РФ) и наложения штрафа в размере до 500 руб. на граждан, до 2 тыс. руб. – на должностных лиц, до 20 тыс. руб. – на организации. Должностное лицо может быть также дисквалифицировано на срок до трех лет.

Кроме того, оператор может быть привлечен к административной ответственности (ст. 13.11 КоАП РФ), если в его действиях будут выявлены признаки правонарушения в сфере персональных данных. Например, если станет известно, что оператор не опубликовал сведения о политике обработки персональных данных, то он может быть привлечен к ответственности по ч. 3 ст. 13.11 КоАП РФ.

Что делать оператору, если он не согласен с результатами проверки?

Оператор может обжаловать действия проверяющих и их решения. Жалоба направляется руководителю территориального подразделения Роскомнадзора или руководителю ведомства, если нарушения допущены сотрудниками центрального подразделения. Жалоба может быть устной или письменной, в том числе в форме электронного документа, и должна быть рассмотрена должностным лицом в течение 30 дней со дня ее регистрации.

Акт проверки, составленный сотрудниками Роскомнадзора, может быть оспорен в досудебном порядке, описанном выше, либо в судебном порядке.

Привлечение оператора к административной ответственности может быть обжаловано в порядке, предусмотренном КоАП РФ.

1 Постановление Правительства РФ от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».

2 Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

3 Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Читайте также:

17 апреля 2024
Защита и правовое сопровождение бизнеса
Лидерские навыки для головокружительного карьерного роста
Как стать и оставаться эффективным управленцем – рассказал успешный менеджер Андрей Мысов. Многолетний опыт работы на руководящих должностях в компаниях Adidas и Zara помогли ему построить карьеру в государственной организации МФЦ. Как обладатель премии в номинации «Лучший руководитель» он на своем примере показывает начинающим лидерам, что любая профессиональная цель достижима
Лидерские навыки для головокружительного карьерного роста
15 апреля 2024
Семейные правоотношения, Административная и уголовная ответственность
Если жена тайком потратила все деньги мужа…
…ее привлекут к уголовной ответственности. Но при условии, что ранее они оформили брачный договор. А вот за повреждение семейного имущества супруга могут наказать и без договора
Демидов Эдуард
Перепелица Мария
Если жена тайком потратила все деньги мужа…
Все материалы темы
Предпринимателям – о проверках контролирующих органов
04 мая 2023
Советы
Мораторий на проверки продлили до 2030 года
Плановых проверок будет мало. Но предписания снова выдают при любых нарушениях, и для этого достаточно профилактического визита, от которого нельзя отказаться
26 апреля 2022
Советы
Мораторий на экологические проверки
В каком случае организацию или индивидуального предпринимателя проверят, несмотря на введенный запрет на проведение проверок? Чем могут заменить экологические проверки? И как во время моратория будут исполняться выданные предписания?
23 августа 2021
Советы
Роструд будет проверять работодателей по новым правилам
Какие профилактические и контрольные мероприятия предусмотрены и что поможет работодателям защитить свои права?
20 июля 2021
Советы
Новый Закон о госконтроле: бизнесу нужно быть начеку
Теперь под предлогом защиты охраняемых законом ценностей могут внезапно проверить любого предпринимателя. Кроме внеплановых контрольных мероприятий бизнес ждут мониторинг безопасности, выездные обследования, контрольные закупки и рейдовые осмотры. Во всем этом лучше разобраться до того, как к вам нагрянут с проверкой
01 июня 2021
Советы
Обжаловать решения чиновников станет сложнее
Теперь до обращения в суд юрлицам и ИП обязательно нужно будет пожаловаться на решение контрольного органа или действия чиновника в вышестоящий орган власти или руководителю должностного лица. Но ведомственная солидарность может добавить проблем
20 мая 2021
Советы
Правомерно ли истребование налоговым органом документов вне рамок проверок?
Статья 93.1 Налогового кодекса это допускает, но полномочия налогового органа не безграничны
27 апреля 2021
Советы
Проверки Росфинмониторинга
За неисполнение предписания Росфинмониторинга организации назначат штраф до 1 млн руб. А за легализацию имущества, приобретенного другими лицами преступным путем, предпринимателю грозит до 7 лет лишения свободы. Для минимизации рисков следует ознакомиться с нормативными документами, где определены порядок проведения проверок бизнеса и критерии оценки «необычных» сделок
02 апреля 2021
Советы
Генпрокуратура разъяснила ограничения на проверки бизнеса
Эти разъяснения понадобились, поскольку на практике возник вопрос о пределах действия моратория на проведение контрольных мероприятий в 2021 г.
04 марта 2021
Советы
Как предпринимателю обжаловать решение налогового органа?
Не согласны с привлечением к налоговой ответственности – подайте жалобу в вышестоящий налоговый орган. С 17 марта можно будет попросить приостановить ее рассмотрение, если нужно представить дополнительные документы. При этом расширится перечень случаев, когда жалобу оставят без рассмотрения
17 февраля 2021
Советы
Предпринимателям больше не придется соблюдать ненужные обязательные требования
«Регуляторная гильотина» освободила бизнес от обременительных обязанностей: теперь во время государственных проверок будет оцениваться выполнение новых правил, а не устаревших. Но эта реформа законодательства не коснулась некоторых важных сфер – налоговой, таможенной и др.
30 октября 2020
Советы
Выездная налоговая проверка: как избежать проблем?
Чтобы не допустить доначисления налогов, пени и штрафов, готовиться к проверке надо еще до того, как о ней стало известно. Также нужно точно знать, что делать после получения решения о проведении проверки и в случае истребования или выемки документов, как подготовить сотрудников к допросам и как обжаловать решение налогового органа
02 октября 2020
Новости
Налогоплательщикам – о допросах налоговых органов
ФНС напомнила о правилах проведения допроса свидетеля с участием представителя. Руководитель налоговой практики Bryan Cave Leighton Paisner (Russia) LLP рассказал, кого могут допросить, как вести себя свидетелю и кого лучше взять в сопровождающие, а также что поможет налогоплательщику пережить проверку
25 сентября 2020
Советы
Как компании урегулировать налоговый спор до суда?
Средняя сумма доначислений по результатам налоговых проверок составляет 32 млн руб. Свою невиновность выгоднее доказать до обращения в суд
12 августа 2020
Советы
Как подать жалобу в налоговый орган через ТКС?
Налогоплательщики могут направлять жалобы на решения и действия налоговиков с помощью телекоммуникационных каналов связи теперь на всей территории страны
29 июля 2020
Новости
Как с налогоплательщика взыщут миллионную недоимку?
С апреля действуют новые правила взыскания с организаций и ИП недоимки в сумме от 1 млн руб. С этой целью налоговые органы будут истребовать документы об имуществе должника, перечень которых ФНС утвердила в июле
13 июля 2020
Советы
Юрлица и ИП смогут обжаловать решения контролирующих органов без суда
На территории России проведут эксперимент, который позволит оспаривать проведение проверок и их результаты в досудебном порядке. Предприниматели смогут защитить свои права и избежать расходов на судебное обжалование
13 сентября 2019
Советы
Почему после налоговой проверки счета компании могут заблокировать?
Налоговый орган вправе приостановить операции по счетам организации не только спустя месяц после выявления недоимки по налогам, когда вступит в силу решение о привлечении к ответственности из-за неуплаты доначисленных сумм, но и сразу после проверки
13 августа 2019
Советы
Как налоговый орган оценивает платежеспособность налогоплательщика
При планировании выездных проверок налоговики оценивают финансовое и имущественное положение налогоплательщика и определяют перспективы взыскания налоговой задолженности, анализируя информацию из внутренних и внешних источников ФНС
04 апреля 2019
Советы
Предпринимателю – о безучетном потреблении электроэнергии
Почему неисправность счетчика или вмешательство в его работу могут привести к затратам в сотни миллионов рублей и как этого не допустить?
12 декабря 2018
Советы
Как избежать налоговых доначислений
О выявлении налоговыми органами необоснованной налоговой выгоды
задать вопрос Найти эксперта Рубрикатор
Оформить подписку