Роскомнадзор проверяет всех, кто собирает персональные данные: юридических лиц, индивидуальных предпринимателей и простых людей. Инспектор должен проводить проверку по правилам. Если он их нарушит, результаты проверки можно оспорить. Рассказываем, как проходит проверка, как себя вести и как оспорить результаты.
- Автор: Марина Сенинг
- Иллюстратор: Ануш Микаелян
К кому могут прийти с проверкой
Роскомнадзор проверяет людей, предпринимателей и компании, которые собирают, хранят, обрабатывают и передают чужие персональные данные.
Персональные данные — это любая информация, которая позволяет идентифицировать человека:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес прописки, проживания;
- электронный адрес;
- номер телефона;
- национальность;
- политические и религиозные убеждения;
- биометрические данные: отпечатки пальцев, идентификация по голосу, результаты медицинских анализов, фотография.
Работодатели собирают персональные данные, когда оформляют сотрудников на работу. Авторы рассылок — когда человек подписывается на письма. Продавцы — когда просят покупателей оставить имя и номер телефона для того, чтобы отправлять предложения по скидкам.
Если вы собираете номера телефонов друзей, закон вас не касается. Но если у вас есть блог и вы собираете электронные адреса читателей для рассылки, вы становитесь оператором персональных данных.
Что проверяет Роскомнадзор
Роскомнадзор проверяет:
- Как оператор соблюдает требования закона «О персональных данных».
- Документы с правилами обработки персональных данных сотрудниками компании или индивидуальным предпринимателем (ч.1 ст. 18.1 закона 152-ФЗ).
- Программы и технику, с помощью которых оператор обрабатывает персональные данные: компьютер, принтер, сканер программа «1С:Предприятие».
Бизнесмена могут проверить по плану, неожиданно или просто наблюдать за ним:
- Плановые проверки проводят только удалённо — Роскомнадзор просит прислать ему нужные документы.
- Внеплановые проверки всегда проводят на месте — ревизоры приезжают на работу или домой к оператору.
- Наблюдение за оператором — сотрудники Роскомнадзора тайно наблюдают за бизнесменом со стороны.
Плановая проверка
Роскомнадзор проводит плановую проверку раз в три года, по графику. Ищите себя в сводном плане проверок на сайте Генпрокуратуры.
Некоторых Роскомнадзор проверяет чаще — раз в два года:
- Если оператор собирает биометрические и специальные персональные данные: национальность, состояние здоровья, политические взгляды.
- Если оператор отправляет персональные данные за рубеж.
- Если оператор собирает персональные данные в государственных информационных системах — реестрах и инфосистемах министерств России. Например, Единая сеть обращения граждан или Реестр федерального имущества.
Что делать при плановой проверке
Правила проведения проверок — в Постановлении Правительства РФ от 13.02.2019 №146
1. Вовремя подготовьте документы. Роскомнадзор предупреждает оператора о проверке не позже, чем за три рабочих дня до начала: отправляет приказ по почте или электронным письмом. Вместе с приказом оператор получает список документов, которые нужно отправить инспектору. Документы можно отправить по почте или электронным письмом. На бумажных документах нужно расписаться и поставить печать, на электронных — поставить электронную подпись.
У оператора есть пять рабочих дней, чтобы ответить на запрос и прислать документы. Датой подачи документов считается день, когда инспектор их получил. Если оператор опоздает, Роскомнадзор придёт к нему с внеплановой проверкой.
2. Следите за сроками проверки. У инспектора есть 20 дней, чтобы провести проверку. Если их не хватит, он может продлить срок ещё на 20 дней, но только один раз. Максимальный срок проверки — 40 дней.
3. Проверьте акт проверки. Инспектор составляет акт в двух экземплярах. В акте он перечисляет нарушения или указывает, что их нет. Один экземпляр инспектор отправляет оператору по почте или электронным письмом не позднее 10 дней со дня подписания акта проверки.
Чем грозит плановая проверка
Если инспектор найдёт ошибки или неточности, он отправит оператору письмо — даст три рабочих дня на пояснения. Если оператор не ответит, Роскомнадзор придёт с внеплановой проверкой — в офис или домой к оператору.
Если инспектор найдёт нарушения, то вместе с актом пришлёт предписание, где будет сказано, что нужно исправить. В предписании будет указан срок — максимум шесть месяцев со дня выдачи. Оператор должен вовремя исправиться и подтвердить это документами — принести их лично или отправить письмом. Если он нарушит предписание, Роскомнадзор придёт к нему с внеплановой проверкой.
Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.
Внеплановая проверка
Роскомнадзор может прийти с внеплановой проверкой в любое время, но только если для этого есть основания:
- Оператор не исправил нарушения, которые у него нашли во время наблюдения за ним, плановой или предыдущей внеплановой проверки.
- Люди пожаловались, что оператор нарушает их права (ст. 14-17 закона «О персональных данных»);
- Президент, правительство Российской Федерации или прокурор поручили проверить оператора.
- Сотрудники Роскомнадзора нашли нарушения во время наблюдения за оператором.
Как себя вести во время внеплановой проверки
1. Проверьте документы ревизоров. Изучите удостоверения сотрудников, приказ и запрос с перечнем документов для проверки. В приказе должно быть указано, кто проводит проверку, по каким причинам, что будут делать сотрудники Роскомнадзора, сроки и условия выездной проверки. Сверьте фамилии и должности сотрудников Роскомнадзора из приказа с данными удостоверений.
2. Предоставьте информацию по запросу. Предоставьте инспекторам документы и покажите технику, перечисленную в запросе. Важно уложиться в срок, который указан в запросе — максимум два дня с момента вручения. Если во время проверки окажется, что нужны дополнительные документы, инспектор может вручить вам дополнение к запросу.
Если передаёте документы на бумаге, сделайте копии, заверьте печатью и подписью. Если отправляете их в электронном виде — подпишите электронной подписью. Если не успеваете в срок, напишите и отправьте в Роскомнадзор объяснительную.
3. Присутствуйте при проверке. Вы имеете право присутствовать при проверке, давать сотрудникам Роскомнадзора пояснения, отвечать на их вопросы.
4. Не мешайте проверяющим. В правилах сказано, что оператор должен свободно пускать ревизоров в помещение и к компьютеру, предоставлять необходимые документы. Если вы будете мешать, откажетесь показывать документы или отвечать на вопросы, сотрудники Роскомнадзора составят акт о воспрепятствовании проведению выездной проверки и через пару месяцев придут ещё раз. Если вы будете сильно мешать, могут вызвать полицию.
5. Следите за сроками. Инспектор предупреждает оператора о проверке не позднее, чем за 24 часа. Роскомнадзор может проводить внеплановую проверку не дольше 10 дней. Если нужно, срок могут увеличить еще на 10 дней, но только один раз. Максимальный срок проверки — 20 дней.
6. Проверьте правильность составления акта. В акте должна быть информация о выявленных нарушениях или об их отсутствии. Если нарушения есть, в акте должны быть указаны статьи закона и пункты нормативных актов, которые оператор нарушил.
Проверяющий составляет акт проверки в двух экземплярах и прилагает к нему справки, протоколы и пояснения оператора. Акт должны подписать представитель Роскомнадзора и оператор. Если вы откажетесь расписываться, ревизор сделает об этом пометку. Проверяющий отдаёт оператору под расписку один экземпляр акта с копиями приложений.
Оператор должен сделать пометку в журнале по учёту проверок о том, что ознакомился с актом. Если такого журнала нет, инспектор сделает об этом запись в акте.
Если оператора не будет на месте, Роскомнадзор приостановит проверку, но не более чем на месяц. Если за это время ничего не изменится и проверяющий не сможет застать оператора на месте, он составит акт о невозможности проведения проверки. В течение трёх месяцев после составления акта Роскомнадзор может прийти с проверкой ещё раз, но уже без предупреждения.
Чем грозит выездная проверка
Если Роскомнадзор найдёт нарушения, вместе с актом проверки оператору дадут предписание об устранении нарушений. Он должен будет исправиться в течение установленного срока — максимум шесть месяцев со дня выдачи предписания. Оператор должен будет показать инспектору документы, которые подтверждают, что он исправил нарушения. Их можно отправить по почте, электронным письмом или принести в региональное управление Роскомнадзора.
Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.
Наблюдение за оператором
Сотрудники Роскомнадзора могут наблюдать за оператором только по заданию. Для этого должны быть причины:
- президент, правительство или руководитель федерального Роскомнадзора поручили наблюдать за оператором;
- кто-то пожаловался на оператора в Роскомнадзор;
- в печатных или в интернет-СМИ появилась информация, что оператор нарушает закон «О персональных данных».
За оператором наблюдают тайно — никто его не предупреждает. Сотрудники Роскомнадзора смотрят, какую информацию оператор публикует в интернете и СМИ, какие документы отправляет в Роскомнадзор. Они могут просто посмотреть сайт и понажимать на кнопочки про согласие на обработку персональных данных.
Чем грозит наблюдение
Если сотрудники Роскомнадзора нашли нарушения, есть два варианта:
- Роскомнадзор присылает оператору требование уточнить, заблокировать или удалить недостоверные или полученные незаконным путём сведения. Обычно на это дают 10 дней. Если оператор не исправит нарушения, его оштрафуют.
- Роскомнадзор приезжает к оператору с внеплановой проверкой.
Когда проверку могут продлить
Роскомнадзор может продлить плановую проверку на 20 дней, внеплановую — на 10 дней. Увеличить срок проверки можно только один раз. Для этого должны быть причины:
- Во время проверки Роскомнадзор получил от правоохранительных органов документы, из которых видно, что оператор нарушает закон.
- На территории, где проходит проверка, произошло наводнение, затопление или пожар.
- Во время проверки оказалось, что нужно проверить больше документов, у компании сложная структура, сложный механизм обработки персональных данных.
Если Роскомнадзор продлевает срок проверки, он издаёт приказ и в течение трех рабочих дней отдаёт копию оператору.
Как обжаловать результаты проверки
Любое нарушение правил сотрудником Роскомнадзора — повод подать жалобу. Вы можете пожаловаться на ревизоров, если:
- Сотрудники Роскомнадзора не показали вам приказ о проведении проверки или свои удостоверения.
- К вам приехали с выездной проверкой и попросили выйти из помещения.
- К вам приехали с выездной проверкой и не слушают ваши объяснения.
- Проверка проходит дольше, чем это прописано в правилах.
- Вам не показали акт о результатах проверки.
- Роскомнадзор запретил вам собирать и обрабатывать персональные данные, а вы считаете, что ничего не нарушали.
Если вы не согласны с результатами проверки, можете прийти в Роскомнадзор и пожаловаться на проверяющих устно. Но лучше подать письменную жалобу. Её можно отправить бумажным или электронным письмом. Если вы отправляете жалобу по электронной почте, поставьте электронную подпись.
Если вы жалуетесь на сотрудников регионального Роскомнадзора — отправляйте жалобу в региональное управления Роскомнадзора. Если жалуетесь на проверяющих из федеральной службы — в федеральный Роскомнадзор.
Сотрудники Роскомнадзора обязаны ответить в течение 30 дней со дня регистрации жалобы. Они могут согласиться с претензией полностью, частично или вообще не согласиться.
Если вы подавали жалобу в региональный Роскомнадзор и он с ней не согласился, пишите в федеральную службу. Если и там не найдёте понимания — идите в суд.
Какие штрафы грозят нарушителям
Какую электронную подпись выбрать для бизнеса
Нарушение | Граждане | Индивидуальные предприниматели | Должностные лица | Юридические лица | Статья закона |
Оператор незаконно собирает персональные данные или собирает те персональные данные, которые ему не нужны | 1 000 ₽ – 3 000 ₽ | 1 000 ₽ – 3 000 ₽ | 5 000 ₽ – 10 000 ₽ | 30 000 ₽ – 50 000 ₽ | п 1. ст. 13.11 КоАП РФ |
Оператор обрабатывает персональные данные без письменного согласия или неправильно его составил | 3 000 ₽ – 5 000 ₽ | 3 000 ₽ – 5 000 ₽ | 10 000 ₽ – 20 000 ₽ | 15 000 ₽ – 75 000 ₽ | п. 2 ст. 13.11 КоАП РФ |
Оператор не опубликовал документ, где сказано, как он обрабатывает и защищает персональные данные | 700 ₽ – 1 500 ₽ | 5 000 ₽ – 10 000 ₽ | 3 000 ₽ – 6 000 ₽ | 15 000 ₽ – 30 000 ₽ | п. 3 ст. 13.11 КоАП РФ |
Оператор не дал человеку информацию об обработке его данных | 1 000 ₽ – 2 000 ₽ | 10 000 ₽ – 15 000 ₽ | 4 000 ₽ – 6 000 ₽ | 20 000 ₽ – 40 000 ₽ | п. 4 ст. 13.11 КоАП РФ |
Оператор не стал исправлять, блокировать или удалять неверные, устаревшие или незаконно полученные персональные данные, несмотря на требование их владельца или сотрудника Роскомнадзора | 1 000 ₽ – 2 000 ₽ | 10 000 ₽ – 20 000 ₽ | 4 000 ₽ – 10 000 ₽ | 25 000 ₽ – 45 000 ₽ | п. 5 ст. 13.11 КоАП РФ |
Оператор обрабатывает персональные данные вручную, неправильно их хранит и не защищает компьютер, флешки, диски с персональными данными. В результате кто-то их уничтожил, изменил, скопировал, распространил | 700 ₽ – 2 000 ₽ | 10 000 ₽ – 20 000 ₽ | 4 000 ₽ – 10 000 ₽ | 25 000 ₽ – 50 000 ₽ | п. 6 ст. 13.11 КоАП РФ |
Оператор вовремя не подал нужные документы или информацию в Роскомнадзор | Предупреждение или штраф 100 ₽ – 300 ₽ | Предупреждение или штраф 100 ₽ – 300 ₽ | Предупреждение или штраф 300 ₽ – 500 ₽ | Предупреждение или штраф 3 000 ₽ – 5 000 ₽ | ст. 19.7 КоАП РФ |
Коротко о проверках по защите персональных данных
Роскомнадзор может прийти с проверкой к любому оператору персональных данных: в компанию, к индивидуальному предпринимателю или обычному человеку. Оператора могут проверить по плану, неожиданно или просто наблюдать за ним:
- Плановая проверка. Раз в три года Роскомнадзор просит оператора прислать необходимые документы, проверяет их и составляет акт. Если проверяющий найдёт нарушения, оператора могут оштрафовать или прийти к нему с внеплановой проверкой.
- Внеплановая проверка. Сотрудники Роскомнадзора приезжают туда, где оператор работает с персональными данными — в офис или домой. Инспектор проверит документы и технику оператора и если найдёт нарушения, потребует исправить. Если оператор не исправится, его могут оштрафовать.
- Наблюдение за оператором. Проверяющие тайно следят, что оператор публикует в интернете и какие документы отправляет в Роскомнадзор. Если сотрудники Роскомнадзора найдут нарушения, они потребует их исправить или придут с внеплановой проверкой.
Любое нарушение проверяющими правил проведения проверок — повод обжаловать её результаты. Если Роскомнадзор не согласится с жалобой, можно подать в суд.
Следить за выходом новых статей в телеграм-канале «Жизы»
Источник: