Плановая проверка
Плановые проверки проводятся по утверждённому ежегодному графику, который публикуется на официальном сайте Роскомнадзора и в Едином реестре контрольных мероприятий (ЕРКНМ).
Каждый оператор персональных данных может заранее проверить, включена ли его организация в план на текущий год.
Особенности плановой проверки:
- проводится не чаще одного раза в три года;
- включается в план Роскомнадзора по решению ведомства;
- уведомление направляется не менее чем за 3 рабочих дня до начала (для документарной проверки) и за 10 дней (для выездной);
- охватывает всю систему работы с ПДн: документы, процессы, техническую защиту, взаимодействие с подрядчиками, сайт;
- почти всегда включает анализ сайта оператора.
Внеплановая проверка
Внеплановая проверка назначается в любое время, если у Роскомнадзора появляются основания полагать, что оператор нарушает закон о персональных данных.
Основания:
- поступила жалоба субъекта ПДн (например, клиента, сотрудника, ученика, пациента);
- выявлены признаки утечки данных или публикации ПДн в сети;
- оператор не исполнил предписание Роскомнадзора;
- отсутствует уведомление о начале обработки ПДн;
- выявлены нарушения на сайте (отсутствие политики, некорректное согласие, использование иностранных сервисов без локализации).
Особенности внеплановой проверки:
- проводится без включения в общий план;
- уведомление может не направляться, если проверка проводится по жалобе или для предотвращения угрозы утечки данных;
- охватывает только конкретный аспект, ставший основанием проверки (например, хранение данных, согласия или сайт);
- может быть как документарной, так и выездной;
- результаты оформляются отдельным актом, с возможным последующим предписанием.
Как отличить по уведомлению
Если организация получила письмо от Роскомнадзора, определить тип проверки можно по формулировке документа:
- в плановом уведомлении указано:
«Проверка включена в план проведения проверок Роскомнадзора на 2025 год»;
- во внеплановом уведомлении:
«Проверка проводится на основании поступившей жалобы (обращения)…» или
«В связи с необходимостью проверки исполнения предписания…»
Также в уведомлении указывается номер приказа и основание, которое можно сверить в ЕРКНМ.
Обоснование по законодательству
- ФЗ-152 «О персональных данных», ст. 23;
- ФЗ-248 от 31.07.2020 г. «О государственном контроле (надзоре)» (ст. 68–70);
- Постановление Правительства РФ № 1511 от 30.09.2020 — порядок проведения проверок;
- КоАП РФ, ст. 13.11 — ответственность за нарушения при обработке ПДн.
Практика Роскомнадзора
На практике внеплановых проверок становится больше, особенно по жалобам граждан и из-за утечек. Плановые же проверки чаще касаются крупных организаций, государственных учреждений и компаний, работающих с медицинскими или образовательными данными.
Вывод
Плановая проверка заранее известна и охватывает весь процесс обработки ПДн, тогда как внеплановая проводится внезапно и направлена на конкретное нарушение. Чтобы быть готовым к любой из них, оператор должен иметь полный пакет документов, назначенного ответственного и актуальные регламенты.
Компания ICTech поможет подготовить вашу организацию к проверкам Роскомнадзора — провести аудит документов, обновить политику ПДн и выстроить процедуры, соответствующие закону.
