В какой форме роскомнадзор проводит проверки
Процедура осуществления государственного контроля и надзора за обработкой персональных данных
Порядок проведения проверок
Плановые проверки в отношении операторов проводятся в соответствии с ежегодными планами деятельности органов по контролю и надзору, размещаемыми на официальных сайтах органов по контролю и надзору в информационно-телекоммуникационный сети «Интернет» (далее соответственно — сеть «Интернет», план по контролю).
Основанием для включения плановой проверки в отношении оператора в план по контролю является истечение 3 лет со дня:
а) государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;
б) окончания последней плановой проверки оператора.
Плановая проверка в отношении оператора включается в план по контролю и проводится с периодичностью не чаще одного раза в 2 года со дня окончания его последней плановой проверки в следующих случаях:
а) оператор осуществляет обработку персональных данных в информационных системах персональных данных, имеющих в соответствии с федеральными законами статус государственных информационных систем;
б) оператор осуществляет сбор биометрических и специальных категорий персональных данных;
в) оператор осуществляет трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;
г) оператор осуществляет обработку персональных данных по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации.
Внеплановые проверки проводятся на основании приказа органа по контролю и надзору, изданного:
а) в случае неисполнения или частичного исполнения оператором предписания об устранении выявленного нарушения, выданного органом по контролю и надзору;
б) по результатам рассмотрения обращений граждан, поступивших в орган по контролю и надзору, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных статьями 14 — 17 Федерального закона «О персональных данных», действиями (бездействием) оператора при обработке их персональных данных;
в) в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации;
г) на основании требования прокурора об осуществлении внеплановой проверки;
д) на основании решения руководителя органа по контролю и надзору по итогам рассмотрения докладной записки, содержащей выводы о наличии нарушений требований, выявленных по результатам проведения мероприятий по контролю без взаимодействия с оператором.
Орган по контролю и надзору уведомляет оператора о проведении плановой проверки не позднее чем за 3 рабочих дня до даты начала ее проведения посредством направления копии приказа заказным почтовым отправлением с уведомлением о вручении, или посредством направления электронного документа, подписанного усиленной квалифицированной электронной подписью уполномоченного должностного лица, по адресу электронной почты оператора, если такой адрес содержится на сайте оператора в сети «Интернет» либо ранее был представлен оператором в орган по контролю и надзору, или иным доступным способом (далее — любой доступный способ).
О проведении внеплановой проверки оператор уведомляется органом по контролю и надзору не менее чем за 24 часа до начала ее проведения посредством направления копии приказа любым доступным способом.
Порядок проведения документарных проверок
Документарная проверка осуществляется в рамках проведения плановой проверки посредством анализа документов и информации, полученных от оператора по письменному запросу органа по контролю и надзору (далее — запрос). Запрос направляется оператору органом по контролю и надзору любым доступным способом.
Направленные оператору в соответствии с Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации» запросы о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в орган по контролю и надзору, не являются документарной проверкой.
Оператор обязан представить в орган по контролю и надзору документы и информацию, необходимые для проведения документарной проверки, в течение 5 рабочих дней со дня получения запроса.
Указанные документы представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя оператора или иного уполномоченного представителя оператора.
Оператор вправе представить документы и информацию в форме электронных документов, подписанных усиленной квалифицированной электронной подписью, в том числе путем их направления с использованием сети «Интернет».
Порядок проведения выездных проверок
Выездная проверка проводится по месту нахождения оператора и (или) по месту фактического осуществления им деятельности по обработке персональных данных.
Выездная проверка оператора — физического лица, не являющегося индивидуальным предпринимателем, не проводится.
Оператор обязан представить должностным лицам, уполномоченным на проведение выездной проверки, необходимые для проведения проверки документы и информацию. Оператор создает необходимые условия для проведения выездной проверки, по требованию должностных лиц обеспечивает доступ в помещения и к оборудованию, посредством которого осуществляется обработка персональных данных, и представляет информацию и документацию, необходимые для проведения выездной проверки.
В случае если в ходе проведения выездной проверки представленные оператором документы и информация недостаточны для проведения выездной проверки, должностные лица вручают руководителю оператора или иному уполномоченному представителю оператора дополнение.
Документы представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя оператора или иного уполномоченного представителя оператора. Документы и информация могут быть представлены в форме электронных документов, подписанных усиленной квалифицированной электронной подписью руководителя оператора или иного уполномоченного представителя оператора.
В случае если документы и информация не могут быть представлены в установленныйсрок, либо отсутствуют, руководитель оператора или иной уполномоченный представитель оператора должен представить должностным лицам, проводящим выездную проверку, письменное мотивированное объяснение о причинах невозможности представления документов и информации.
В случае осуществления оператором действий (бездействия), препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки.
Порядок оформления результатов проверки
По результатам проверки должностные лица, проводившие проверку, составляют акт проверки. При проведении выездной проверки в журнале оператора по учету проверок производится запись о проведенной проверке. В случае отсутствия такого журнала в акте проверки делается соответствующая запись.
Акт проверки составляется в 2 экземплярах. Акт проверки подписывается должностными лицами, проводившими проверку. В случае если проводилась выездная проверка, руководитель оператора или иной уполномоченный представитель оператора делает запись в акте выездной проверки об ознакомлении с ним. В случае если руководитель оператора или иной уполномоченный представитель оператора отказывается либо уклоняется от ознакомления с актом выездной проверки, в этом акте делается соответствующая запись.
Один экземпляр акта проверки с копиями приложений вручается руководителю оператора или иному уполномоченному представителю оператора под расписку или направляется в адрес оператора заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта проверки, хранящемуся в деле органа по контролю и надзору. Акт проверки может быть составлен в форме электронного документа, подписан усиленной квалифицированной электронной подписью уполномоченного должностного лица, проводившего проверку, и направлен оператору органом по контролю и надзору любым доступным способом в 10-дневный срок со дня подписания акта проверки.
К акту проверки прилагаются протоколы, справки, пояснения оператора и иные документы, подтверждающие заключение по результатам проверки.
Руководитель оператора или иной уполномоченный представитель оператора, не согласный с решением, принятым по результатам проверки, вправе представить в орган по контролю и надзору в письменной форме возражение, которое прилагается к акту проверки, а также обжаловать результаты проверки в досудебном и судебном порядке.
Время публикации: 14.02.2011 14:00
Последнее изменение: 10.06.2020 17:01
Как проводится проверка Роскомнадзора
Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.
Полномочия Роскомнадзора
У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:
- Осуществление контроля за соблюдением законов в области СМИ и массовых коммуникаций.
- Надзор над предоставлением услуг в области связи.
- Аккредитация компаний, которые осуществляют экспертизу информационных продуктов.
- Ведение информационной системы, реестров операторов связи.
- Регистрация СМИ.
- Защита информации, являющейся государственной тайной.
Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
- Плановая. О таких проверках руководитель предупреждается заблаговременно. За трое суток до проведения мероприятия компании отправляется уведомление, в котором указана дата проверки. Кроме того, план контрольных мероприятий расположен на сайте Роскомнадзора. На сайте руководитель может проверить, входит ли он в перечень ЮЛ, подлежащих проверке.
- Внеплановая. Назначается в том случае, если в отношении компании поступили жалобы. Жалобы эти могут быть связаны, к примеру, с постоянными телефонными звонками. О внеплановом контрольном мероприятии фирма предупреждается за сутки.
- Документарная. Роскомнадзор отправляет запрос в фирму с перечнем документов, которые нужно направить на проверку. Руководитель при получении такого запроса должен отправить в государственный орган копии бумаг.
- Выездная. Проверка осуществляется на месте. То есть инспекторы сами приезжают в фирмы.
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Что именно будут проверять
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор контролирует следующие направления:
- Документы, в которых содержатся персональные данные. Также выполняется контроль над условиями их хранения.
- Системы, осуществляющие обработку данных (ПК и программы).
- Наличие локальных нормативных актов.
- Исполнение положений этих актов.
- Сайт организации.
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:
- Учредительная документация (ИНН, устав и прочее).
- Уведомление о том, что фирма работает с ПД.
- Перечень ПД, сбор которых осуществляется.
- Перечень работников, у которых есть доступ к данным.
- Приказ о допуске таких сотрудников к ПД.
- Инструкции для специалистов, которые работают с данными.
- Положение об ответственности сотрудников за разглашение ПД.
- Документ об обработке ПД.
- Бумаги, свидетельствующие о защите информации (план мероприятий и прочее).
- Соглашение о неразглашении ПД.
- Письменное согласие лиц на обработку.
- Журналы инструктажей относительно мер безопасности.
- Журналы учета носителей сведений.
Роскомнадзор также может затребовать и другие документы.
Продолжительность проверки
Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.
Особенности подготовки к проверке
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
- Установление наличия уведомления о работе с ПД, направленного в Роскомнадзор. Отправлять это уведомление нужно перед началом работы с данными.
- Проверка соответствия деятельности информации, прописанной в едином реестре.
- Назначение лица, ответственного за работу с ПД.
- Составление Политики фирмы в отношении обработки ПД.
- Подготовка сотрудников к контрольному мероприятию. В ходе нее работники знакомятся с бумагами, касающимися обработки данных, устанавливаются правила поведения.
- Проверка правильности хранения документов, ограниченности доступа к ним.
- Проверка системы безопасности: наличие замков и сейфов.
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Как осуществляется проверка
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
Результаты проверки
В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.
Можно ли обжаловать результаты проверки?
Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.
Организация и проведение внеплановой проверки
87. Основаниями для начала административной процедуры по организации и проведению внеплановой проверки являются:
а) истечение срока исполнения проверяемым лицом ранее выданного предписания об устранении выявленного нарушения;
б) поступление заявления от юридического лица или индивидуального предпринимателя о предоставлении правового статуса, специального разрешения (лицензии) на право осуществления отдельных видов деятельности или разрешения (согласования) на осуществление иных юридически значимых действий, если проведение соответствующей внеплановой проверки юридического лица, индивидуального предпринимателя предусмотрено правилами предоставления правового статуса, специального разрешения (лицензии), выдачи разрешения (согласования) <37>;
<37> Пункт 1.1 части 2 статьи 10 Федерального закона N 294-ФЗ.
в) мотивированное представление должностного лица по результатам анализа результатов мероприятий по контролю без взаимодействия с проверяемыми лицами, рассмотрения или предварительной проверки поступивших в орган государственного надзора обращений и заявлений граждан, в том числе индивидуальных предпринимателей, юридических лиц, владельцев сетей связи специального назначения информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
1) возникновение угрозы причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, музейным предметам и музейным коллекциям, включенным в состав Музейного фонда Российской Федерации, особо ценным, в том числе уникальным, документам Архивного фонда Российской Федерации, документам, имеющим особое историческое, научное, культурное значение, входящим в состав национального библиотечного фонда, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера <38>;
<38> Подпункт «а» пункта 2 части 1 статьи 10 Федерального закона N 294-ФЗ.
2) причинение вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, музейным предметам и музейным коллекциям, включенным в состав Музейного фонда Российской Федерации, особо ценным, в том числе уникальным, документам Архивного фонда Российской Федерации, документам, имеющим особое историческое, научное, культурное значение, входящим в состав национального библиотечного фонда, безопасности государства, а также возникновение чрезвычайных ситуаций природного и техногенного характера;
г) поступление в Роскомнадзор, территориальный орган Роскомнадзора обращений и заявлений граждан, в том числе индивидуальных предпринимателей, юридических лиц, владельцев сетей связи специального назначения, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о фактах нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации по перечню таких нарушений, установленному Правительством Российской Федерации <39>;
<39> Распоряжение Правительства Российской Федерации от 15.04.2013 N 611-р «Об утверждении перечня нарушений целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации» (Собрание законодательства Российской Федерации, 2013, N 16, ст. 2014).
д) выявление Роскомнадзором, территориальным органом Роскомнадзора в результате систематического наблюдения, радиоконтроля нарушений обязательных требований к пропуску трафика и его маршрутизации, установленных пунктом 5 Требований на территории города Москвы и Московской области, пунктом 2 Требований на территориях Республики Крым и города федерального значения Севастополя, Требованиями к порядку пропуска трафика в телефонной сети связи общего пользования;
е) наличие приказа руководителя, заместителя руководителя Роскомнадзора, территориального органа Роскомнадзора о проведении внеплановой проверки, изданного в соответствии с поручением Президента Российской Федерации или Правительства Российской Федерации либо на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям <40>;
<40> Пункт 3 части 2 статьи 10 Федерального закона N 294-ФЗ.
ж) выявление при проведении мероприятий по контролю без взаимодействия с юридическими лицами, индивидуальными предпринимателями параметров, соответствующих индикаторам риска нарушения обязательных требований, утвержденных действующим законодательством.
88. Внеплановая выездная проверка может быть проведена по основаниям, указанным в подпунктах «в», «ж» пункта 87 настоящего Регламента, после согласования с органом прокуратуры по месту осуществления деятельности проверяемого лица.
89. Внеплановая выездная проверка по основанию, указанному в подпункте «г» пункта 87 настоящего Регламента, может быть проведена незамедлительно с извещением органа прокуратуры в порядке, установленном частью 12 статьи 10 Федерального закона N 294-ФЗ.
90. Предварительное уведомление проверяемого лица о проведении внеплановой проверки по основаниям, указанным в подпунктах «в», «г», «д» пункта 87 настоящего Регламента, не допускается.
91. Предметом внеплановой проверки является в том числе соблюдение проверяемым лицом в процессе осуществления деятельности обязательных требований к пропуску трафика и его маршрутизации, установленных пунктом 5 Требований на территории города Москвы и Московской области, пунктом 2 Требований на территориях Республики Крым и города федерального значения Севастополя, Требованиями к порядку пропуска трафика в телефонной сети связи общего пользования, выполнение предписаний об устранении выявленных нарушений, проведение мероприятий по предотвращению причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, музейным предметам и музейным коллекциям, включенным в состав Музейного фонда Российской Федерации, особо ценным, в том числе уникальным, документам Архивного фонда Российской Федерации, документам, имеющим особое историческое, научное, культурное значение, входящим в состав национального библиотечного фонда, по обеспечению безопасности государства, по предупреждению возникновения чрезвычайных ситуаций природного и техногенного характера, по ликвидации последствий причинения такого вреда <41>.
<41> Часть 1 статьи 10 Федерального закона N 294-ФЗ.
92. Обращения и заявления, не позволяющие установить лицо, обратившееся в орган государственного надзора, а также обращения и заявления, не содержащие сведений о фактах, указанных в подпункте «в» пункта 87 настоящего Регламента, не могут служить основанием для проведения внеплановой проверки. В случае если изложенная в обращении или заявлении информация может в соответствии с подпунктом «в» пункта 87 настоящего Регламента являться основанием для проведения внеплановой проверки, должностные лица при наличии у них обоснованных сомнений в авторстве обращения или заявления обязаны принять разумные меры к установлению обратившегося лица. Обращения и заявления, направленные заявителем в форме электронных документов, могут служить основанием для проведения внеплановой проверки только при условии, что они были направлены заявителем с использованием средств информационно-коммуникационных технологий, предусматривающих обязательную авторизацию заявителя в единой системе идентификации и аутентификации <42>.
<42> Часть 3 статьи 10 Федерального закона N 294-ФЗ.
93. При рассмотрении обращений и заявлений, информации о фактах, указанных в пункте 87 настоящего Регламента, должны учитываться результаты рассмотрения ранее поступивших подобных обращений и заявлений, информации, а также результаты ранее проведенных мероприятий по контролю в отношении соответствующих юридических лиц, индивидуальных предпринимателей.
94. При отсутствии достоверной информации о лице, допустившем нарушение обязательных требований, достаточных данных о нарушении обязательных требований либо о фактах, указанных в пункте 87 настоящего Регламента, должностными лицами может быть проведена предварительная проверка поступившей информации. В ходе проведения предварительной проверки принимаются меры <43> по запросу дополнительных сведений и материалов у лиц, направивших заявления и обращения, представивших информацию, проводится рассмотрение документов проверяемого лица, имеющихся в распоряжении органа государственного надзора, при необходимости проводятся мероприятия по контролю, осуществляемые без взаимодействия с проверяемыми лицами и без возложения на указанных лиц обязанности по представлению информации и исполнению требований органа государственного надзора. В рамках предварительной проверки у юридического лица, индивидуального предпринимателя могут быть запрошены пояснения в отношении полученной информации, но представление таких пояснений и иных документов не является обязательным.
<43> Часть 3.2 статьи 10 Федерального закона N 294-ФЗ.
95. При выявлении по результатам предварительной проверки лиц, допустивших нарушение обязательных требований, получении достаточных данных о нарушении обязательных требований либо о фактах, указанных в пункте 87 настоящего Регламента, должностные лица подготавливают мотивированное представление о назначении внеплановой проверки по основаниям, указанным в подпункте «в» пункта 87 настоящего Регламента. По результатам предварительной проверки меры по привлечению проверяемого лица к ответственности не принимаются.
96. По решению руководителя, заместителя руководителя территориального органа Роскомнадзора предварительная проверка, внеплановая проверка прекращаются, если после начала соответствующей проверки выявлена анонимность обращения или заявления, явившихся поводом для ее организации, либо установлены заведомо недостоверные сведения, содержащиеся в обращении или заявлении <44>.
<44> Часть 3.4 статьи 10 Федерального закона N 294-ФЗ.
97. Территориальный орган Роскомнадзора вправе обратиться в суд с иском о взыскании с гражданина, юридического лица, индивидуального предпринимателя расходов, понесенных в связи с рассмотрением поступивших заявлений, обращений указанных лиц, если в заявлениях, обращениях были указаны заведомо ложные сведения.
98. Проведение внеплановых проверок включает в себя следующие административные действия:
а) издание приказа о проведении внеплановой проверки;
б) подготовка к проверке;
в) проведение проверки;
г) подготовка акта проверки.
99. В приказе о проведении внеплановой проверки указываются сведения, предусмотренные пунктом 42 настоящего Регламента.
100. Внеплановая проверка проводится должностными лицами, которые указаны в приказе территориального органа Роскомнадзора о проведении внеплановой проверки, подготовленном в соответствии с требованиями приказа Минэкономразвития России N 141.
101. Должностные лица при подготовке к проведению внеплановой проверки:
а) определяют документы, имеющиеся в распоряжении Роскомнадзора, территориального органа Роскомнадзора, необходимые для проведения проверки;
б) изучают документы, представленные проверяемым лицом в Роскомнадзор, территориальный орган Роскомнадзор, и иные находящиеся в распоряжении Роскомнадзора, территориального органа Роскомнадзора документы (материалы предыдущих проверок);
в) изучают документы и информацию, представленные по фактам, изложенным в подпункте «в» пункта 87 настоящего Регламента.
102. В процессе проведения внеплановой документарной проверки должностными лицами в первую очередь рассматриваются документы проверяемого лица, имеющиеся в распоряжении Роскомнадзора, территориального органа Роскомнадзора, в том числе акты предыдущих проверок, материалы рассмотрения дел об административных правонарушениях и иные документы о результатах осуществленного в отношении этих проверяемых лиц государственного контроля.
103. В случае если достоверность сведений, содержащихся в документах, имеющихся в распоряжении Роскомнадзора, территориального органа Роскомнадзора, вызывает обоснованные сомнения либо эти сведения не позволяют оценить исполнение проверяемым лицом обязательных требований к пропуску трафика и его маршрутизации, установленных пунктом 5 Требований на территории города Москвы и Московской области, пунктом 2 Требований на территориях Республики Крым и города федерального значения Севастополя, Требованиями к порядку пропуска трафика в телефонной сети связи общего пользования, в адрес проверяемых лиц направляется мотивированный запрос с требованием представить иные необходимые для рассмотрения в ходе проведения внеплановой документарной проверки документы. К запросу прилагается заверенная печатью копия приказа о проведении проверки <45>.
<45> Часть 4 статьи 11 Федерального закона N 294-ФЗ.
104. В случае если в ходе внеплановой документарной проверки выявлены ошибки и (или) противоречия в представленных проверяемым лицом документах либо несоответствие сведений, содержащихся в этих документах, сведениям, содержащимся в имеющихся у Роскомнадзора, территориального органа Роскомнадзора документах и (или) полученным в ходе осуществления государственного контроля, информация об этом направляется проверяемому лицу с требованием представить в течение 10 рабочих дней необходимые пояснения в письменной форме.
105. Должностные лица, которые проводят внеплановую документарную проверку, обязаны рассмотреть представленные проверяемым лицом пояснения и документы, подтверждающие достоверность ранее представленных документов. В случае если после рассмотрения представленных пояснений и документов либо при отсутствии пояснений Роскомнадзор, территориальный орган Роскомнадзора установит признаки нарушения обязательных требований к пропуску трафика и его маршрутизации, установленных пунктом 5 Требований на территории города Москвы и Московской области, пунктом 2 Требований на территориях Республики Крым и города федерального значения Севастополя, Требованиями к порядку пропуска трафика в телефонной сети связи общего пользования, должностные лица вправе провести выездную проверку. При проведении выездной проверки запрещается требовать от проверяемых лиц представления документов и (или) информации, которые были представлены ими в ходе проведения документарной проверки.
106. О проведении внеплановой выездной проверки, за исключением случаев, установленных пунктом 90 настоящего Регламента, проверяемое лицо уведомляется не менее чем за 24 часа до начала ее проведения любым доступным способом, в том числе посредством электронного документа, подписанного усиленной квалифицированной электронной подписью <46> и направленного по адресу электронной почты проверяемого лица, если такой адрес содержится соответственно в Едином государственном реестре юридических лиц, Едином государственном реестре индивидуальных предпринимателей либо ранее был представлен проверяемым лицом.
<46> Часть 4 статьи 5 Федерального закона N 63-ФЗ.
107. Заверенная печатью копия приказа о проведении внеплановой выездной проверки вручается под роспись должностными лицами, проводящими проверку, проверяемому лицу одновременно с предъявлением служебных удостоверений.
108. По результатам внеплановой проверки должностными лицами, проводящими проверку, составляется акт проверки, подготовленный в соответствии с требованиями приказа Минэкономразвития России N 141, в двух экземплярах.
109. В акте проверки указываются сведения, предусмотренные пунктом 81 настоящего Регламента.
110. К акту проверки прилагаются объяснения работников проверяемого лица, на которых возлагается ответственность за нарушение обязательных требований к пропуску трафика и его маршрутизации, установленных пунктом 5 Требований на территории города Москвы и Московской области, пунктом 2 Требований на территориях Республики Крым и города федерального значения Севастополя, Требованиями к порядку пропуска трафика в телефонной сети связи общего пользования, предписания об устранении выявленных нарушений и иные связанные с результатами проверки документы или их копии.
111. В журнале учета проверок должностными лицами осуществляется запись о проведенной проверке, содержащая сведения о наименовании органа государственного надзора, датах начала и окончания проведения проверки, времени ее проведения, правовых основаниях, целях, задачах и предмете проверки, выявленных нарушениях и выданных предписаниях, а также указываются должности, фамилии, имена, отчества (при наличии) должностных лиц, проводящих проверку, их подписи <47>.
<47> Часть 9 статьи 16 Федерального закона N 294-ФЗ.
112. Должностное лицо вручает экземпляр акта проверки с копиями приложений проверяемому лицу под роспись об ознакомлении либо об отказе в ознакомлении с актом проверки. В случае отсутствия проверяемого лица, а также в случае его отказа от ознакомления под роспись либо об отказе от ознакомлении с актом проверки акт направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта проверки, хранящемуся в деле органа государственного надзора.
113. При наличии согласия проверяемого лица на осуществление взаимодействия в электронной форме в рамках государственного надзора акт проверки может быть направлен в форме электронного документа, подписанного усиленной квалифицированной электронной подписью <48> должностных лиц, составивших данный акт, проверяемому лицу. При этом акт, направленный в форме электронного документа, подписанного усиленной квалифицированной электронной подписью <49> должностного лица, составившего данный акт, проверяемому лицу способом, обеспечивающим подтверждение получения указанного документа, считается полученным проверяемым лицом.
<48> Часть 4 статьи 5 Федерального закона N 63-ФЗ.
<49> Часть 4 статьи 5 Федерального закона N 63-ФЗ.
114. В случае если проведение внеплановой выездной проверки оказалось невозможным в связи с отсутствием проверяемого лица, либо в связи с фактическим неосуществлением деятельности проверяемого лица, либо в связи с иными действиями (бездействием) проверяемого лица, повлекшими невозможность проведения проверки, должностные лица составляют акт о невозможности проведения соответствующей проверки с указанием причин невозможности ее проведения. В этом случае орган государственного надзора в течение трех месяцев со дня составления акта о невозможности проведения соответствующей проверки вправе принять решение о проведении в отношении таких проверяемых лиц плановой или внеплановой выездной проверки без внесения плановой проверки в ежегодный план и без предварительного уведомления проверяемого лица.
115. В случае если для проведения внеплановой выездной проверки требуется согласование ее проведения с органом прокуратуры, копия акта проверки направляется в орган прокуратуры, которым принято решение о согласовании проведения проверки, в течение пяти рабочих дней со дня составления акта проверки.
116. Результатом административной процедуры является оформление акта проверки.
117. Способ фиксации результата выполнения административной процедуры:
а) вручение или направление акта проверки проверяемому лицу;
б) внесение информации о начале проведения проверки и ее результатах в единый реестр проверок должностными лицами в порядке, установленном пунктами 16 — 22 Правил формирования и ведения единого реестра проверок.
Как будут проверять операторов персональных данных
23 февраля вступили в силу правила проверки операторов персональных данных. Раньше правил вообще не было, только регламент Роскомнадзора. Теперь всем владельцам сайтов, рассылок, магазинов с программами лояльности, форумов и любого бизнеса с наемными работниками станет понятно, как их будут проверять.
В правилах описаны плановые и внеплановые проверки: когда могут прийти, что попросят, сколько времени займут и чем это закончится. За одно нарушение закона о персональных данных можно получить штраф до 75 тысяч рублей. Если нарушений несколько, есть риск потерять сотни тысяч. И это касается всех, у кого есть даже небольшая рассылка или интернет-магазин.
Мы изучили правила, чтобы вам не пришлось читать 17 страниц постановления. Вот как это работает.
Коротко о правилах проверок
Основные изменения для операторов персональных данных:
- Проверки могут быть плановыми и внеплановыми, документарными и выездными.
- Плановые проверки проводят раз в два или три года. Срок проверки — 20 дней. Предупреждают за три дня.
- Внеплановые проверки могут проводить без ограничений после жалобы. Срок сократили в два раза — до 10 рабочих дней. Предупредят за сутки.
- Документы для документарной проверки нужно приготовить за пять дней. Раньше давали 10.
- Внеплановая проверка может быть только выездной.
- Стало больше оснований для продления проверки.
- Запрос на основании обращений граждан не считается проверкой.
- Роскомнадзор может следить за работой и публикациями оператора в СМИ и интернете. Теперь итоги такого наблюдения — повод для внеплановой проверки.
Кого это касается?
В постановлении написано, как будут проверять операторов персональных данных. Операторы персональных данных — это люди, предприниматели и компании, которые получают, хранят и обрабатывают информацию о других людях. Например, о своих клиентах и работниках. Для них есть специальный закон. А теперь еще и правила проверок.
Вот примеры, которые попадают под действие этих документов:
- Владелец сайта просит подписаться на рассылку. Посетители оставляют имя, фамилию и электронную почту.
- Покупатели заказывают товары в интернет-магазине. Продавец получает от них имена, телефоны и домашние адреса для доставки.
- Обычный магазин пробивает покупателю чек и отправляет его на номер телефона.
- Самозанятый сдает квартиру и получает от арендатора адрес электронной почты и номер телефона для обязательной отправки чека из приложения.
- Инфобизнесмен создает форум о криптовалютах, где люди регистрируются, добавляют свои фото и общаются.
- Молодая мама создает сообщество для совместных закупок и обмена вещами. Там регистрируются такие же мамы, оставляют свои телефоны, профили в соцсетях и платежные данные.
- Медицинский центр берет анализы у пациента и оформляет его на прием к врачу.
- Компания нанимает работников по трудовым договорам, берет их паспортные данные, СНИЛС и домашние адреса.
- Школа принимает заявления от родителей на прием детей в первый класс.
- Бизнес-центр просит паспорт посетителя, чтобы оформить ему одноразовый пропуск.
Все эти владельцы сайтов, магазинов, бизнес-центров, форумов, рассылок и обычные работодатели — операторы персональных данных. Они должны соблюдать закон, оформлять документы и, когда положено, — уведомлять Роскомнадзор.
Любого из них могут проверить — по плану или внезапно. И оштрафовать, если найдут нарушения. А может, даже закрыть магазин и заблокировать сайт.
Что такое персональные данные
Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному человеку и позволяет его идентифицировать.
Точного списка таких данных нет, но в методичке Роскомнадзора есть примеры:
- Фамилия, имя, отчество.
- Дата и место рождения.
- Адрес.
- Семейное и социальное положение.
- Имущество и доходы.
- Образование и профессия.
- Специальные данные: раса, национальность, религия, здоровье, политические взгляды. Эти данные нельзя обрабатывать.
- Биометрические данные: фотография, образец голоса, отпечатки пальцев.
Как вести бизнес по закону
На что имеют право проверяющие
Чтобы операторы персональных данных не раздавали информацию о своих клиентах всем подряд, надежно ее хранили и удаляли по требованию, Роскомнадзор проводит проверки, находит нарушения, выносит предупреждения и штрафует.
Права представителей Роскомнадзора строго регламентированы, но их немало. Вот что они могут делать во время проверки операторов персональных данных:
- Запрашивать информацию и документы.
- Посещать и обследовать помещения, где работает оператор.
- Выдавать предписания об устранении нарушений.
- Использовать технику и оборудование для проверки и наблюдения.
- Получать доступ к программам и базам оператора, просматривать информацию, которая нужна именно для проверки условий хранения данных.
- Требовать прекращения обработки и удаления данных, если нарушены требования.
- Составлять протоколы об административном правонарушении.
- Обращаться в полицию и прокуратуру, если оператор не пускает в помещение и мешает проверке.
- Запрашивать устные и письменные пояснения в ходе проверки.
Эти права у проверяющих есть не только в ходе выездной проверки, но и при наблюдении за тем, как оператор персональных данных работает, что публикует и как собирает информацию. При этом оператор может об этом даже не знать. Дальше расскажем, что такое наблюдение и чем оно грозит операторам.
Какие обязанности у проверяющих
При проверке операторов персональных данных должностные лица из Роскомнадзора обязаны:
- Вовремя находить и пресекать нарушения.
- Проводить проверки только на основании приказа. Всегда требуйте этот документ.
- Проводить выездную проверку только при исполнении служебных обязанностей.
- Предъявлять удостоверение и копию приказа.
- Не мешать руководителю или уполномоченным сотрудникам компании присутствовать при проверке, отвечать на их вопросы.
- Рассказывать о результатах проверки.
- Принимать меры с учетом тяжести нарушений.
- Не ограничивать права и не нарушать интересы оператора без веских оснований.
- Соблюдать сроки проверки.
Любое нарушение — повод обжаловать результаты проверки, ее продление и даже сам факт проведения. Если что-то идет вразрез с правилами, фиксируйте детали и отправляйте жалобу руководству управления Роскомнадзора.
Плановые проверки — раз в три года
Плановая проверка — это когда Роскомнадзор заранее, на год вперед, составляет план проверок и размещает его в открытом доступе. Кто угодно может проверить, придут к нему в этом году или нет. В плане указана дата проверки, так что можно подготовиться.
Как предупредят. О плановой проверке предупредят за три рабочих дня любым доступным способом: отправят копию приказа по почте, пришлют электронное уведомление или как-то еще.
Когда могут прийти. Раньше было три основания для таких проверок, теперь только эти:
- Прошло три года с регистрации фирмы или ИП.
- Последнюю плановую проверку проводили три года назад.
График плановых проверок нужно искать в реестре Генпрокуратуры.
Как часто. Плановые проверки проводят раз в три года. Но теперь могут приходить и каждые два года. Это особые случаи: например, обработка биометрических данных или передача информации за границу.
Сколько длится. Плановые проверки проводят максимум 20 дней. Так было и раньше. Один раз проверку могут продлить.
Внеплановые проверки — на основании жалоб и наблюдений
Внеплановая проверка — это когда визита проверяющих нет в графике и за три дня об этом не сообщают. То есть проверка внезапная, повод может возникнуть в любое время, а причина заранее неизвестна.
Как предупредят. О внеплановой проверке предупредят за сутки.
Когда могут прийти. Для внеплановой проверки все равно нужны основания. Все они перечислены в постановлении правительства, но список теперь новый — не такой, как был в регламенте.
Вот эти основания:
- Оператору выдали предписание для устранения нарушений, а он его игнорирует.
- Кто-то из людей пожаловался и приложил доказательства, что оператор нарушает их права.
- Есть поручение президента или правительства.
- Потребовал прокурор.
- Руководителю принесли докладную записку по итогам наблюдения за оператором: мол, тут товарищи нарушают, надо бы их проверить. И глава управления Роскомнадзора согласился и решил: проверяйте. Раньше такой причины для проверок не было.
Последний пункт самый интересный. Смотрите: за вашим сайтом и бизнесом могут просто тихонько наблюдать. Вам при этом ничего не присылают, ничего не запрашивают. Читают ваши пользовательские соглашения, проверяют галочки на формах подписки — эта процедура называется наблюдением, она предусмотрена правилами. И если есть подозрения, что вы что-то нарушаете: не спрашиваете согласия, плохо защищаете данные или не предупреждаете об их сборе, — докладная на стол и встречайте внеплановую проверку. По правилам должны согласовать эту проверку с прокуратурой, но для вас будет сюрприз.
Как часто. У внеплановых проверок нет периодичности. К нарушителям могут приходить хоть каждый месяц.
Сколько длится. Внеплановая проверка длится максимум 10 рабочих дней. Срок сократили в два раза, но один раз могут продлить.
Внеплановые проверки могут быть только выездными
Раньше внеплановая проверка могла быть документарной. Это когда просят документы. Больше документарных внеплановых проверок не будет. Значит, если вынесут решение о выездной проверке, нужно ждать гостей с удостоверениями: придут по месту регистрации или фактической работы.
Документы для проверки нужно приготовить за пять дней
Если проверка документарная, бумаги должны быть готовы в течение пяти рабочих дней. То есть и этот срок сократили в два раза. С оригиналов документов нужно сделать заверенные печатью и подписью копии и передать в Роскомнадзор. Можно отправить через интернет с усиленной подписью. Дата представления документов — это не дата отправки, а дата штампа о приемке Роскомнадзором.
Если в документах найдутся противоречия, Роскомнадзор запросит пояснения. Их придется представить в течение трех рабочих дней. Раньше для уточнения давали 10 дней.
Запрос из-за обращений граждан — это не проверка
Любой человек, которому кажется, что его данные неправильно обрабатывают, передают кому-то без разрешения или не удаляют по требованию, может написать обращение в Роскомнадзор. Каждое такое обращение обязаны рассмотреть и дать на него ответ.
Для ответа Роскомнадзору могут понадобиться пояснения интернет-магазина, банка, автора рассылки или службы доставки. Тогда им пришлют запрос: тут к вам претензии, поясните ситуацию. Этот запрос не считается документарной проверкой. Для него не нужен приказ и график на год вперед.
Как проводят выездную проверку
Выездную проверку проводят по месту работы или регистрации бизнеса. Если оператор персональных данных — физлицо без регистрации ИП, выездной проверки у него быть не может.
Когда начинается выездная проверка, представитель Роскомнадзора показывает удостоверение и приказ с информацией о сроках, основаниях и целях проверки. Еще до того как начнут проверять, оператору вручат запрос о представлении документов. Раньше такого не было. На подготовку документов дадут минимум два дня.
Во время проверки нужно предоставить проверяющим доступ в помещения и к компьютерам. Если мешать проверке, составят акт и пригласят полицию.
Если проверка придет и никого не застанет по указанному адресу, сроки приостановят. Если и потом никто не объявится, с внеплановой проверкой смогут прийти в любое другое время вообще без предупреждения.
Когда проверку могут продлить
Для каждой проверки есть сроки ее проведения. Проверяющие не могут дольше изучать документы, осматривать компьютеры и опрашивать сотрудников. Но есть причины продлить проверку. Раньше была только одна и в исключительном случае: когда объем работы очень большой. Теперь причин для продления больше:
- В процессе проверки поступила информация о нарушении обработки персональных данных.
- Случился форс-мажор на месте проверки: офис затопило или что-то загорелось.
- Оператор персданных не представляет документы, которые у него просят.
- Выяснилось, что предстоит много работы: сложные процессы, большой объем документов, несколько видов деятельности.
Проверку могут продлить только на основании приказа. С ним обязательно знакомят оператора в течение трех дней после того, как приняли решение увеличить срок.
Как оформляют результаты проверки
Когда проверка закончится, составят акт в двух экземплярах. В нем напишут, что нарушений нет или что их нашли. Представитель оператора должен подписать акт. Если отказаться, от штрафов это не спасет: в акте сделают пометку об отказе и пришлют его по почте.
Если не согласны с актом, пишите возражения и обжалуйте результаты проверки.
Если находят нарушения
Если оператор персональных данных что-то нарушил, ему выдадут предписание: устраните нарушения в такой-то срок. Максимальное время для устранения — 6 месяцев. Но конкретному оператору могут дать и меньше. Раньше этот период регламент не ограничивал.
Когда нарушение устранят, об этом нужно сообщить в Роскомнадзор. Если предписание не исполнено или не все нарушения устранили, может прийти внеплановая выездная проверка. А если в результате нарушаются права тех, чьи данные обрабатывают, Роскомнадзор может вообще запретить обработку, пока все не исправят. Для бизнеса это может означать приостановление деятельности.
За нарушения при обработке персональных данных могут вынести предупреждение, а могут оштрафовать: юрлицо — отдельно, директора — дополнительно.
Что такое контроль без взаимодействия с оператором
Чтобы находить нарушения, Роскомнадзор проводит специальные мероприятия, в которых сами операторы никак не задействованы и о которых они вообще не знают. Это наблюдение двух видов:
- Как соблюдаются требования при размещении информации в СМИ и интернете.
- Какие данные и документы оператор представляет в Роскомнадзор.
Это не проверка, а просто наблюдение, о котором вы даже не подозреваете. Но его результаты могут стать основанием для внеплановой проверки.
Для наблюдения должно быть задание. А для задания нужны причины:
- поручение президента, правительства или руководителя Роскомнадзора;
- обращения госорганов, компаний, предпринимателей, обычных людей;
- публикации в СМИ и интернете о нарушении прав при обработке персданных.
Если по итогам наблюдения найдутся нарушения или покажется, что они есть, проверяющий пишет докладную записку. Ее рассмотрит руководитель отделения Роскомнадзора и может назначить проверку. А может без проверки попросить устранить нарушения, заблокировать или уничтожить данные. Если не выполнить это требование, составят протокол и оштрафуют: фирму — на сумму до 45 тысяч рублей, ИП — на сумму до 20 тысяч.
Я самозанятый и работаю с физлицами. Мне что, тоже регистрироваться в Роскомнадзоре и получать согласие на обработку данных?
Быть оператором персональных данных — это не значит обязательно регистрироваться в реестре и всегда запрашивать согласие. Если вы получаете и храните чьи-то данные, вы уже оператор. ИП и юрлиц могут проверить планово и внезапно, вам нужно оформлять документы и соблюдать закон.
При этом не все операторы должны регистрироваться в реестре Роскомнадзора. И не всегда нужно получать согласие: по закону обрабатывать данные можно и без согласия.
Например, если вы запрашиваете электронную почту для отправки чека, согласие не нужно. Если просите адрес для доставки пиццы, согласие тоже не нужно. Так же и с уведомлением Роскомнадзора: если арендатор квартиры или покупатель торта передал вам данные для договора или доставки, это не повод регистрироваться в реестре. Но при этом вы оператор персональных данных и должны соблюдать остальные требования закона. Вас могут проверять, штрафовать и блокировать.
Если я ИП но не имею сотрудников и работаю только с одним клиентом — иностранной компанией без представительства в России т.е не обрабатываю ПД россиян), меня тоже будут проверять в течении 3х лет после открытия ИП?
А просят они интересные документы —
Документы, содержащие технические характеристики информационных систем, программ для электронных вычислительных машин, которые используются организаторами распространения информации для приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей сети Интернет и информации об этих пользователях;
2. Документы, содержащие сведения о вводе в эксплуатацию информационных систем, которые используются организаторами распространения информации для приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей сети Интернет и информации об этих пользователях, в том числе документы о вводе в эксплуатацию технических средств и программного обеспечения, необходимых для выполнения задач, возложенных на подразделение органа федеральной службы безопасности, уполномоченное на взаимодействие с организатором распространения информации в сети «Интернет», в том числе в интересах других уполномоченных органов, путем организации круглосуточного удаленного доступа к информационной системе, эксплуатируемой организатором распространения информации в сети «Интернет», в соответствии с п. 12 Правил хранения организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет» и информации об этих пользователях и предоставления ее уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 23.09.2020 № 1526;
и т.д. и что предоставить администратору интернет-магазина на конструкторе?