Отсутствие уведомления о проверке не означает нарушение процедуры со стороны Роскомнадзора. Чаще всего речь идет о внеплановых или камеральных проверках, которые могут проводиться без визита и без заблаговременного информирования оператора. Именно поэтому соблюдение требований законодательства о персональных данных должно обеспечиваться на постоянной основе, а не только в момент ожидания проверки.
Виды проверок Роскомнадзора
Роскомнадзор осуществляет контроль за соблюдением законодательства о персональных данных в различных формах. Понимание видов проверок позволяет оценить, в каких случаях оператор может быть уведомлен заранее, а в каких — нет.
Выделяются следующие виды проверок:
- плановые проверки, проводимые в соответствии с ежегодным планом контрольных мероприятий;
- внеплановые проверки, инициируемые при наличии оснований, предусмотренных законодательством;
- камеральные проверки, проводимые без выезда к оператору на основании имеющихся у Роскомнадзора сведений;
- документарные проверки, основанные на анализе представленных документов;
- выездные проверки, предполагающие посещение оператора и осмотр процессов обработки персональных данных.
Именно внеплановые и камеральные проверки чаще всего проводятся без предварительного уведомления оператора, что создает дополнительные риски для тех, кто не поддерживает документацию и процессы в актуальном состоянии.
Плановые проверки: когда и как уведомляют
На текущий момент в России действует мораторий на плановые выездные проверки Роскомнадзора в отношении малого и среднего бизнеса, продлённый до 2030 года. Это означает, что большинство операторов персональных данных освобождены от таких плановых мероприятий.
Однако общие правила проведения проверок, актуальные для всех и на случай их возобновления, остаются следующими:
-
Уведомление: Оператор включается в ежегодный план и заранее, в установленный законом срок, получает официальное письменное уведомление с указанием даты, формы и предмета проверки.
-
Риск-ориентированный подход: Вероятность попасть в план зависит от категории риска, присвоенной компании. Существует 5 категорий (от высокого до низкого риска). Для бизнеса с низкой категорией плановые проверки не проводятся. Периодичность для остальных варьируется от 1 раза в 2 года до 1 раза в 6 лет.
-
Подготовка: Предупреждение позволяет подготовить документы, но не аннулирует ответственность за уже существующие нарушения.
Вместо плановой проверки Роскомнадзор вправе провести инспекционный визит — это выездное мероприятие без предварительного уведомления, ограниченное одним днём, в ходе которого инспектор может осматривать помещения и запрашивать объяснения.
Внеплановые проверки без предварительного уведомления
Внеплановые проверки Роскомнадзора могут проводиться без предварительного предупреждения оператора персональных данных. Законодательство допускает такой порядок при наличии оснований, требующих оперативного реагирования со стороны контролирующего органа.
Основаниями для внеплановой проверки без уведомления могут быть:
- поступление жалоб от субъектов персональных данных;
- обращения работников или бывших сотрудников оператора;
- сведения о возможной утечке персональных данных;
- выявление признаков нарушений при мониторинге сайтов и онлайн-сервисов;
- отсутствие уведомления об обработке персональных данных либо наличие в нем существенных ошибок;
- неисполнение ранее выданных предписаний.
В таких случаях Роскомнадзор вправе начать проверку незамедлительно, поскольку предварительное уведомление может привести к сокрытию нарушений или усугублению последствий для прав субъектов персональных данных.
Камеральные проверки: проверки «без визита»
Камеральные проверки проводятся Роскомнадзором без выезда к оператору персональных данных и, как правило, без предварительного уведомления. Оператор может не знать о начале такой проверки до момента получения запроса документов или предписания по её результатам.
В рамках камеральной проверки анализируются:
- сведения из реестра операторов персональных данных;
- данные, указанные в уведомлении об обработке персональных данных;
- информация, размещённая на сайте оператора;
- открытые источники и сведения, полученные от третьих лиц;
- ранее представленные документы и ответы на запросы.
Камеральные проверки широко применяются при мониторинге сайтов и онлайн-сервисов, а также для выявления формальных нарушений, таких как отсутствие уведомления, политики конфиденциальности или несоответствие публичной информации фактической деятельности оператора. Чтобы быть уверенным в готовности сайта к камеральной проверке Роскомнадзора, необходимо провести профилактический аудит на соответствие требованиям 152-ФЗ.
В каких случаях Роскомнадзор вправе не предупреждать оператора
Роскомнадзор вправе проводить проверки без предварительного уведомления оператора персональных данных в случаях, прямо предусмотренных законодательством и обусловленных необходимостью защиты прав и законных интересов субъектов персональных данных.
Как правило, уведомление не направляется, если:
- имеются признаки нарушения законодательства о персональных данных;
- существует риск причинения вреда правам и свободам субъектов персональных данных;
- требуется немедленное реагирование контролирующего органа;
- проверка проводится в рамках камерального контроля;
- основанием для проверки послужили жалобы или обращения, требующие оперативной проверки фактов.
В таких ситуациях предварительное уведомление оператора может препятствовать выявлению нарушений или привести к их сокрытию, что и обосновывает правомерность проведения проверки без предупреждения.
Что именно проверяют при проверках без предупреждения
При проверках без предварительного уведомления Роскомнадзор, как правило, сосредотачивается на тех элементах, которые можно оперативно проверить по документам и открытым источникам, а также на базовых обязанностях оператора персональных данных.
В первую очередь проверяются:
- наличие и корректность уведомления об обработке персональных данных;
- соответствие сведений в уведомлении фактической деятельности оператора;
- информация, размещённая на сайте оператора (политика конфиденциальности, формы сбора данных, согласия);
- наличие организационно-распорядительной документации по защите персональных данных;
- законность обработки персональных данных работников;
- наличие оснований для передачи персональных данных третьим лицам.
При выявлении признаков нарушений Роскомнадзор вправе расширить объём проверки, запросить дополнительные документы или перейти к документарной либо выездной форме контроля.
Как подготовиться к проверке, если уведомления не было
Отсутствие предупреждения о проверке не освобождает оператора персональных данных от обязанности соблюдать требования законодательства. Единственный эффективный способ минимизировать риски — поддерживать постоянную готовность к проверке.
Рекомендуется:
- обеспечить наличие и актуальность уведомления об обработке персональных данных;
- поддерживать в актуальном состоянии организационно-распорядительную документацию по защите персональных данных;
- регулярно проверять сайт и используемые онлайн-сервисы на соответствие требованиям законодательства;
- контролировать фактическое выполнение установленных регламентов;
- оперативно реагировать на жалобы и обращения субъектов персональных данных.
Подготовка «по факту» начала проверки, как правило, не позволяет устранить нарушения и лишь увеличивает риски привлечения к ответственности.
Типичные ошибки операторов
При проверках без предупреждения чаще всего выявляются ошибки, связанные с ожиданием обязательного уведомления и формальным подходом к соблюдению требований законодательства.
Наиболее распространённые ошибки:
- уверенность в том, что проверка возможна только после официального уведомления;
- отсутствие документации на постоянной основе;
- несоответствие сведений в уведомлении фактической деятельности;
- игнорирование требований к сайтам и онлайн-сервисам;
- формальный характер организационно-распорядительных документов.
Такие ошибки приводят к тому, что нарушения выявляются уже на начальном этапе проверки.
На практике
На практике проверки без предупреждения применяются Роскомнадзором значительно чаще, чем плановые. В первую очередь выявляются формальные нарушения: отсутствие уведомления, несоответствие информации на сайте и отсутствие актуальной организационно-распорядительной документации.
Даже при отсутствии жалоб и внешних инцидентов оператор персональных данных может стать объектом камеральной или внеплановой проверки. Постоянное соблюдение требований законодательства и поддержание документации в актуальном состоянии остаются единственным надежным способом снизить риски и безболезненно пройти проверку Роскомнадзора.
