Когда Роскомнадзор вправе запрашивать доступ
Такое право закреплено в законодательстве, регулирующем государственный контроль. Инспекторы могут затребовать персональные данные в рамках проверки исполнения ФЗ-152, если без этого невозможно подтвердить соблюдение требований. Например:
- для проверки корректности согласий работников;
- чтобы убедиться, что ведётся журнал обращений субъектов;
- для подтверждения факта уничтожения, блокировки или обезличивания данных.
Однако доступ предоставляется в обезличенном или ограниченном виде. Роскомнадзор не требует, и не вправе требовать, полного раскрытия паспортных данных, номеров телефонов или других сведений, не относящихся к предмету проверки.
Что именно могут запросить инспекторы
В ходе проверки организация должна по требованию предоставить:
- образцы согласий работников на обработку ПДн (без раскрытия всех персональных данных);
- приказы о назначении ответственных лиц;
- журналы регистрации обращений субъектов, актов об уничтожении, блокировке и т. д.;
- выписки из кадровых документов, подтверждающие факт получения согласий или ознакомления с политикой;
- доступ к ИСПДн (информационной системе персональных данных) — только в присутствии ответственного и исключительно в целях проверки защиты.
Если требуется подтвердить, что система обработки соответствует требованиям безопасности, инспекторы могут ознакомиться с обезличенными записями в базе, не видя конкретных ФИО или паспортных номеров.
Что Роскомнадзор не имеет права делать
Ведомство не вправе:
- копировать, выносить или сохранять персональные данные сотрудников;
- требовать предоставления всех личных дел, трудовых книжек, паспортов;
- запрашивать информацию, не относящуюся к предмету проверки;
- использовать полученные сведения вне рамок контрольных полномочий.
Организация вправе предоставлять копии документов с частичным скрытием данных (например, с закрытием серий паспортов, адресов, номеров телефонов), если это не мешает оценке выполнения закона.
Практика проверок
На практике Роскомнадзор ограничивается проверкой наличия документов и правильности их оформления.
Например:
- инспекторы могут запросить форму согласия, но не обязаны видеть фамилию конкретного сотрудника;
- при проверке системы учёта допуска достаточно показать примеры записей с обезличенными именами;
- если речь идёт о защите данных, проверяется структура базы и технические меры, а не содержание записей.
Иногда организации ошибочно предоставляют Роскомнадзору полные персональные данные работников. Это не требуется и может считаться избыточным раскрытием ПДн третьему лицу.
Обоснование по законодательству
- Федеральный закон № 152-ФЗ «О персональных данных» — ст. 23 (государственный контроль и надзор).
- Федеральный закон № 248-ФЗ от 31.07.2020 — о государственном контроле (надзоре).
- Постановление Правительства РФ № 1511 от 30.09.2020 — порядок проведения проверок.
- Письмо Роскомнадзора № 08-51238 от 30.11.2021 — о недопустимости избыточного раскрытия ПДн при проверках.
Вывод
Роскомнадзор вправе запрашивать документы, связанные с обработкой персональных данных сотрудников, но не имеет права требовать полный доступ к самим данным. Проверка проводится с целью установить соблюдение принципов и процедур, а не ознакомиться с личной информацией работников.
Чтобы избежать нарушений, организация должна:
- Подготовить обезличенные примеры документов для проверок.
- Назначить ответственного, который сопровождает проверку.
- Оформить внутренний порядок взаимодействия с надзорными органами.
Компания ICTech помогает организациям безопасно проходить проверки Роскомнадзора: готовит документы, проводит аудит обработки ПДн и даёт рекомендации.
