Недавно Правительство РФ утвердило новые правила проверок операторов персональных данных. Прежний Административный регламент (утв. приказом Минкомсвязи России от 14.11.2011 № 312), в котором были установлены правила проверок, утратил силу. Расскажем, как теперь будут проводиться плановые и внеплановые проверки. Поговорим и об ответственности за допущенные нарушения. Тем более что штрафы за нарушение законодательства о персданных немаленькие. За одно нарушение можно лишиться до 75 000 руб., за несколько – сотен тысяч рублей. Причем подобные меры могут применить даже к маленькой компании, которая, скажем, сделала небольшую интернет-рассылку.
Кого это касается?
В Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон) используется термин «оператор персональных данных». Это «физик» или компания, которые получают, хранят и обрабатывают информацию о физических лицах. Так, банки собирают данные о заемщиках, страховые компании – о застрахованных, а все работодатели – о своих сотрудниках.
Персональные данные – это любая информация, которая прямо или косвенно относится к конкретному человеку и позволяет его идентифицировать. Например:
- фамилия, имя, отчество;
- дата и место рождения;
- адрес проживания;
- семейное и социальное положение;
- сведения об имуществе и доходах;
- информация об образовании и профессии;
- специальные данные: раса, национальность, религия, состояние здоровья, политические взгляды. По общему правилу эти данные нельзя обрабатывать (ст. 10 Закона);
- биометрические данные: фотография, образец голоса, отпечатки пальцев.
Оператор может обрабатывать персональные данные только для достижения конкретных, заранее определенных и законных целей (ч. 2 ст. 5 Закона). Проверять, как организация работает с персональными данными, должен Роскомнадзор. Объем его полномочий достаточно широк. Ведомство может (п. 21 Правил):
- запрашивать информацию и документы;
- посещать и обследовать помещения, где работает оператор;
- выдавать предписания об устранении нарушений;
- использовать технику и оборудование для проверки и наблюдения;
- получать доступ к программам и базам оператора, просматривать информацию, которая нужна для проверки условий хранения данных;
- требовать прекращения обработки и удаления данных, если выявлены нарушения;
- составлять административные протоколы;
- обращаться в полицию и прокуратуру, если оператор мешает проверке;
- запрашивать устные и письменные пояснения в ходе проверки.
Правила предусматривают три формы контрольных мероприятий: плановая и внеплановая проверки, а также наблюдение. Кроме этого, Роскомнадзор может проводить профилактические мероприятия и пресекать выявленные нарушения (п. 3 Правил).
Плановые проверки. Раз в три года
Плановая проверка может быть документарной или выездной. Но в подавляющем большинстве случаев плановые проверки проводятся с выездом «на местность».
Документарная проверка предполагает анализ документов и информации, полученных от оператора по письменному запросу Роскомнадзора. Документы надо передать в течение пяти рабочих дней со дня запроса (п. 27 Правил). Раньше этот срок был в два раза больше. Документы можно представить по старинке (в виде заверенных копий) или через Интернет с усиленной подписью. Датой представления документов является не дата отправки, а дата штампа Роскомнадзора о приемке (п. 28 Правил).
Если Роскомнадзор найдет какие-то противоречия, он может запросить пояснения. Их надо представить в течение трех рабочих дней (раньше на это отводилось 10 дней).
Выездная проверка проводится по месту нахождения оператора или по месту обработки персональных данных.
Роскомнадзор ежегодно составляет и размещает у себя на сайте план...
