Разбираемся, по каким основаниям могут проводиться проверки Роскомнадзора по персональным данным и как бизнесу быть к этому готовым.
Почему Роскомнадзор может инициировать проверку?
Для начала любой проверки — плановой или внеплановой — нужны веские основания. Без них инспектор не имеет права проверять оператора персональных данных. Все основания мы разделим на две группы:
- Плановые — те, которые компания может предвидеть и к которым подготовиться.
- Внеплановые — которые часто становятся неприятным сюрпризом.
Рассмотрим каждую категорию подробно.
Плановые проверки оператора персональных данных
Роскомнадзор проводит плановые контрольные (надзорные) мероприятия (КНМ) на основе утверждённого графика. Ознакомиться с этими планами можно на официальном сайте ведомства.
Важный нюанс: на 2024 и 2025 годы плановых проверок нет. Это связано с новыми правилами: с 2025 года Роскомнадзор планирует проверки только для объектов чрезвычайно высокого и высокого риска.
Кроме того, до 2030 года под ограничение попали многие социальные учреждения: детские сады, школы, колледжи, вузы, государственные больницы, детские дома и организации детского питания.
Как работает система рисков в РКН?
Роскомнадзор использует риск-ориентированный подход. Это значит, что все компании распределяют по категориям риска. Чем выше категория, тем выше вероятность попасть в ежегодный план проверок.
Но и это не всё: даже компания из высокой категории риска может ожидать плановую проверку не раньше, чем через 2 года после начала деятельности или предыдущей плановой проверки.
Плановые профилактические визиты Роскомнадзора
Помимо проверок, Роскомнадзор проводит плановые профилактические визиты (до 10 рабочих дней). От таких визитов отказаться нельзя — даже упомянутым выше образовательным учреждениям.
Хотя штрафов по итогам такого визита не последует, инспектор может выдать предписание об устранении нарушений. А если нарушения окажутся серьезными — это станет прямым поводом для внеплановой проверки с уже вполне реальными штрафами.
Внеплановые проверки Роскомнадзора — какие основания?
Если плановые проверки касаются немногих, то внеплановая может нагрянуть в любую компанию, работающую с персональными данными.
Для внеплановой проверки Роскомнадзору нужна информация о том, что нарушения уже нанесли ущерб или создали такую угрозу. При этом ведомство сначала проверяет достоверность этих сведений.
Откуда чаще всего поступает сигнал?
- Уведомления оператора в РКН. Неправильно оформленные документы, которые вы сами направили в РКН, могут вызвать ненужные вопросы.
- Другие проверки. Информацию могут передать коллеги из ФНС, трудовой инспекции или иных контролирующих органов.
- Публикации в СМИ. Журналистское расследование может привлечь внимание надзорных органов.
- Жалобы граждан и организаций. Недовольные клиенты, конкуренты, бывшие сотрудники — все они могут стать источником жалобы. Важно: анонимные обращения Роскомнадзор не рассматривает. Личность заявителя обязательно устанавливают.
Если предварительный анализ подтвердит серьезность нарушений (например, утечка данных, угроза госбезопасности, причинение вреда жизни и здоровью), Роскомнадзор обязан начать проверку.
Если же повод окажется несущественным, компания, скорее всего, получит предостережение о недопустимости нарушений.
Индикаторы риска нарушения оператором закона — что это?
Еще одно основание для внеплановой проверки — соответствие компании одному из четырех индикаторов риска (согласно Приказу Минцифры № 1187 от 15.11.2021).
- 10 и более жалоб от граждан на обработку их данных, если компания отрицает эти факты в своих объяснениях.
- 3 и более несоответствия между данными в уведомлениях для РКН и информацией на вашем сайте.
- Обнаружение 10 и более утечек баз данных, которые можно связать с вашей компанией, в течение года.
- 2 и более нарушения в сфере применения рекомендательных технологий за календарный год.
Как видите, причин для внеплановой проверки более чем достаточно. А её последствия — это всегда риск крупных административных штрафов.
Лучшая стратегия — действовать на опережение: подготовить все необходимые документы и провести независимый аудит процессов обработки персональных данных.
Автор: Михаил Новицкий, партнер Юридической фирмы Итербиум
Правовой аудит персональных данных от А до Я: большая статья
Комплаенс по персональным данным: как избежать рисков вместе с «Итербиум»
Современное регулирование в сфере персональных данных ставит перед бизнесом сложные задачи. Разобраться во всех хитросплетениях законодательства и всегда быть на шаг впереди — без эксперта практически невозможно.
Юридическая компания «Итербиум» специализируется на комплексном решении задач в сфере digital-комплаенса и защиты персональных данных. Мы помогаем бизнесу не просто реагировать на изменения, а выстраивать прочную и законную основу для работы с данными.
Наши ключевые услуги в рамках 152-ФЗ:
- Юридический аудит ваших процессов. Выявим слабые места и дадим практические рекомендации.
- Подготовка всей необходимой документации. Создадим полный пакет документов, соответствующий требованиям закона.
- Сопровождение уведомлений в Роскомнадзор. Правильно подготовим и направим уведомления о трансграничной передаче данных, будь то «адекватные» или «неадекватные» юрисдикции.
- Правовая экспертиза иностранных контрагентов. Проанализируем законодательство страны вашего партнера и подготовим юридическое обоснование для передачи данных, которое удовлетворит РКН.
- Защита при проверках Роскомнадзора. Представим ваши интересы в ходе любых контрольных мероприятий и поможем избежать крупных штрафов.
Наш богатый опыт и глубокие отраслевые знания позволяют предлагать не шаблонные, а индивидуальные и практичные решения. Мы не создаем бюрократию — мы создаем вашу правовую безопасность.
Не ждите, пока риски станут проблемами. Доверьте комплаенс профессионалам.
Если вам нужна консультация по вопросам персональных данных:
Для связи пишите в чат на нашем сайте, на электронную почту firma@iterbium.ru или звоните по телефону +7 (499) 113-13-98.
Работаем онлайн!
Находитесь в другом городе или стране? Это не проблема. Мы выстроили процессы так, чтобы вы могли получать профессиональную помощь юриста по персональным данным из любой точки мира.
Подробнее о наших услугах — здесь.