Проверки Роскомнадзора по персональным данным. Часть 1

Логотип компании
Проверки Роскомнадзора по персональным данным. Часть 1
На конференциях и семинарах по защите персональных данных всегда поднимается тема проверок операторов

На конференциях и семинарах по защите персональных данных всегда поднимается тема проверок операторов. Слушателей интересуют возможные последствия проверок, суммы штрафов, длительность мероприятий и, разумеется, наилучший сценарий подготовки к проверке. Информацию по этой теме найти самостоятельно достаточно сложно: в последнее время на официальном сайте регулятора редко появляются сведения о прошедших проверках, хотя раньше такая информация выкладывалась регулярно. Можно было увидеть, какие нарушения выявлены, с указанием проверяемой организации и суммы штрафа. Теперь все, что нам доступно, — отчеты о деятельности Роскомнадзора и судебные решения. О том, что представляют собой проверки, и как к ним подготовиться, мы поговорим в этом цикле статей.

Давайте разберемся для начала: кто может проводить проверки по персональным данным. Для этого обратимся к положениям Федерального закона № 152-ФЗ «О персональных данных». Статья 19 п. 8 гласит, что контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных в государственных информационных системах персональных данных осуществляется ФСТЭК России и ФСБ России в пределах их полномочий. Для остальных организаций ФСТЭК России и ФСБ России могут быть наделены полномочиями по проверке только в случае особой значимости обрабатываемых ПДн (ст. 19 п. 9). Для коммерческих организаций такое развитие событий крайне маловероятно, а вот проверка Роскомнадзора вполне возможна (согласно статье 23, уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области ПДн).

Роскомнадзор имеет право:

  • запрашивать и безвозмездно получать информацию, необходимую для реализации своих полномочий;

  • осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных;

  • требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

  • ограничивать доступ к информации, обрабатываемой с нарушением законодательства;

  • принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства;

  • обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов в суде;

  • направлять во ФСТЭК России и ФСБ России описание мер защиты, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»;

  • направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии;

  • направлять в правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;

  • вносить предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

  • привлекать к административной ответственности лиц, виновных в нарушении Федерального закона № 152-ФЗ.

Безусловно, операторов больше всего волнует п. 11 о привлечении к ответственности. С 1 июля этого года была переработана статья 13.11 КоАП, по которой обычно классифицируют нарушения в сфере персональных данных. Теперь штрафы не только повышены, но и дифференцированы по видам нарушений. Чтобы не запутаться в новой классификации, мною была составлена таблица-шпаргалка, где кратко описаны нарушения и наказания по категориям нарушителей (граждане, должностные лица, индивидуальные предприниматели и юридические лица).

Проверки Роскомнадзора по персональным данным. Часть 1. Рис. 1

Оператора часто интересует также, каким нарушениям регулятор уделяет особое внимание. По результатам анализа отчетов о деятельности Роскомнадзора мною была составлена таблица наиболее часто встречающихся нарушений. Таблица содержит краткое описание нарушаемой нормы, ее присутствие в отчетах за 2016 и/или 2017 год и ссылку на положение законодательства, которое было нарушено.

Проверки Роскомнадзора по персональным данным. Часть 1. Рис. 2

Обе таблицы можно использовать совместно. Например, обработка персональных данных в случаях, не предусмотренных законодательством, что соответствует нарушению № 5 из второй таблицы, предполагает согласно первой строке первой таблицы наказание в виде предупреждения или наложения административного штрафа в размере до 50 000 рублей. С помощью представленных таблиц можно наглядно показать руководству, сколько будут стоить те или иные недочеты в организации защиты персональных данных.

Какова вероятность проведения в отношении вас проверок, как они проходят и чем регламентируются — все это мы рассмотрим в следующих статьях.


Читайте также
Операторы «большой четверки» активно сокращают розничные сети и переводят продажи в онлайн. Пандемия и самоизоляция, инфляция, новые законы, ограничивающие число SIM-карт и вводящие обязательное подтверждение личности при их покупке – все это снижает поток покупателей и рентабельность офлайн салонов. IT-World разбирается в происходящем.


Опубликовано 14.11.2017

Похожие статьи