Проверки Роскомнадзора по персональным данным. Часть 1
На конференциях и семинарах по защите персональных данных всегда поднимается тема проверок операторов. Слушателей интересуют возможные последствия проверок, суммы штрафов, длительность мероприятий и, разумеется, наилучший сценарий подготовки к проверке. Информацию по этой теме найти самостоятельно достаточно сложно: в последнее время на официальном сайте регулятора редко появляются сведения о прошедших проверках, хотя раньше такая информация выкладывалась регулярно. Можно было увидеть, какие нарушения выявлены, с указанием проверяемой организации и суммы штрафа. Теперь все, что нам доступно, — отчеты о деятельности Роскомнадзора и судебные решения. О том, что представляют собой проверки, и как к ним подготовиться, мы поговорим в этом цикле статей.
Давайте разберемся для начала: кто может проводить проверки по персональным данным. Для этого обратимся к положениям Федерального закона № 152-ФЗ «О персональных данных». Статья 19 п. 8 гласит, что контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных в государственных информационных системах персональных данных осуществляется ФСТЭК России и ФСБ России в пределах их полномочий. Для остальных организаций ФСТЭК России и ФСБ России могут быть наделены полномочиями по проверке только в случае особой значимости обрабатываемых ПДн (ст. 19 п. 9). Для коммерческих организаций такое развитие событий крайне маловероятно, а вот проверка Роскомнадзора вполне возможна (согласно статье 23, уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области ПДн).
Роскомнадзор имеет право:
-
запрашивать и безвозмездно получать информацию, необходимую для реализации своих полномочий;
-
осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных;
-
требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
-
ограничивать доступ к информации, обрабатываемой с нарушением законодательства;
-
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства;
-
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов в суде;
-
направлять во ФСТЭК России и ФСБ России описание мер защиты, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»;
-
направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии;
-
направлять в правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных;
-
вносить предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
-
привлекать к административной ответственности лиц, виновных в нарушении Федерального закона № 152-ФЗ.
Безусловно, операторов больше всего волнует п. 11 о привлечении к ответственности. С 1 июля этого года была переработана статья 13.11 КоАП, по которой обычно классифицируют нарушения в сфере персональных данных. Теперь штрафы не только повышены, но и дифференцированы по видам нарушений. Чтобы не запутаться в новой классификации, мною была составлена таблица-шпаргалка, где кратко описаны нарушения и наказания по категориям нарушителей (граждане, должностные лица, индивидуальные предприниматели и юридические лица).
Оператора часто интересует также, каким нарушениям регулятор уделяет особое внимание. По результатам анализа отчетов о деятельности Роскомнадзора мною была составлена таблица наиболее часто встречающихся нарушений. Таблица содержит краткое описание нарушаемой нормы, ее присутствие в отчетах за 2016 и/или 2017 год и ссылку на положение законодательства, которое было нарушено.
Обе таблицы можно использовать совместно. Например, обработка персональных данных в случаях, не предусмотренных законодательством, что соответствует нарушению № 5 из второй таблицы, предполагает согласно первой строке первой таблицы наказание в виде предупреждения или наложения административного штрафа в размере до 50 000 рублей. С помощью представленных таблиц можно наглядно показать руководству, сколько будут стоить те или иные недочеты в организации защиты персональных данных.
Какова вероятность проведения в отношении вас проверок, как они проходят и чем регламентируются — все это мы рассмотрим в следующих статьях.
Опубликовано 14.11.2017