Как Роскомнадзор будет проверять операторов персональных данных

Роскомнадзор начнёт контролировать работу операторов персональных данных и принимать меры против нарушителей законодательства об охране личных сведений россиян. Виды и правила проведения проверок определены в постановлении Правительства, которое вступает в силу 23 февраля.

Под надзором федеральной службы Минкомсвязи будут юридические лица и индивидуальные предприниматели, которые являются операторами персональных данных.

Роскомнадзор может проводить плановые и внеплановые проверки, а также документарные и выездные. В компетенции таких проверок — выполнение операторов всех требований закона «О персональных данных», кроме мер по обеспечению безопасности личных данных россиян при обработке. Это значит, что чиновники будут проверять соблюдение принципов и условий обработки данных (в том числе конфиденциальность), соблюдение оператором прав граждан, чьи данные обрабатываются, а также своих обязанностей при сборе данных, обращении граждан, выявлении нарушений и прочего.

1. Плановые проверки

По общему правилу, проводятся раз в три года.

Исключение — операторы, которые обрабатывают биометрические данные или специальные категории данных, либо работают с государственными информационными системами (ГИС). Таких операторов Роскомнадзор будет проверять раз в два года. Та же периодичность предусмотрена для проверки операторов, которые собирают персональные данные россиян по поручению иностранного субъекта (госоргана, юрлица или физлица), не зарегистрированного в России, либо передают данные на территорию иностранного государства, не обеспечивающего «адекватную защиту прав субъектов персональных данных».

2. Внеплановые проверки

Проводятся в случае, если оператор не исполнил предписание об устранении выявленных нарушений. Также среди оснований для внеплановой проверки — подтверждённые жалобы граждан на нарушение их прав как субъектов персональных данных (право на доступ к своим данным, обработка данных для продвижения товаров только при согласии гражданина и так далее).

3. Документарные проверки

Проводятся только в рамках плановых контрольно-надзорных мероприятий. При этом запросы для проверки жалоб, поступивших от граждан, документарной проверкой не считаются.

Если оператор не предоставит требуемые документы и пояснения в срок, то Роскомнадзор организует выездную проверку.

4. Выездная проверка

Проводится по месту нахождения оператора и месту фактического осуществления обработки персональных данных. Оператор должен предоставить чиновникам доступ к оборудованию, которое обрабатывает персональные данные, а также всю затребованную документацию. Если оператор будет препятствовать проведению проверки, представители Роскомнадзора могут позвать на помощь полицию или прокуратуру

Выездная проверка не проводится в отношении физического лица, не являющегося индивидуальным предпринимателем.