Роскомнадзор (проверки законности обработки персональных данных)

Роскомнадзор – орган, на который возложен контроль за соблюдением законодательства РФ в сфере связи, информационных технологий и массовых коммуникаций. Положение о нем утверждено Постановлением Правительства РФ от 16 марта 2009 года № 228. Помимо ряда специфических надзорных функций в сфере связи и средств массовой информации, Роскомнадзор проверяет законность обработки персональных данных.

Из этого определения в круг интересов Роскомнадзора попадают все фирмы и предприниматели, которые так или иначе имеют дело с персональными данными физических лиц, в том числе своих работников, клиентов и покупателей.

Изменения с 1 сентября 2022 года

С 1 сентября 2022 года продавец не имеет права требовать от покупателя персональные данные, кроме тех случаев, когда это прямо установлено законодательством.

Продавцам нельзя отказываться заключать договор, если покупатель не предоставил персональные данные. Это распространяется также на изменение, расторжение и исполнение договора.

Федеральный закон от 28 мая 2022 г. № 145-ФЗ установил административную ответственность за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с его отказом предоставить персональные данные.

Грозить штраф (ст. 14.8 КоАП):

• от 30 000 до 50 000 рублей – на организацию;
• от 5 000 до 10 000 рублей – на должностное лицо.

Уведомление об обработке персональных данных

С 1 сентября 2022 года вступили в силу изменения в закон «О персональных данных».

Операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации.

Форму уведомления об обработке персональных данных можно заполнить на Портале персональных данных Роскомнадзора или направить такое уведомление в адрес территориального управления ведомства по месту регистрации оператора на бумажном носителе по форме, утвержденной приказом от 30 мая 2017 г. № 94.

На портале Роскомнадзора уведомление можно направить:

1) в бумажном виде;

2) в электронном виде с использованием усиленной квалифицированной электронной подписи;

3) в электронном виде с использованием средств аутентификации ЕСИА.

Уведомление о намерении осуществлять обработку персональных данных

Скачать образец

Если сведения, которые указаны в уведомлении, изменились, то об этом тоже нужно сообщить в Роскомнадзор. То есть сообщают об изменениях представленных им ранее сведений об обработке ПД, произошедших за месяц.

Срок – не позднее 15-го числа месяца, следующего за месяцем, в котором произошли изменения. До 1 марта 2023 года такое уведомление направлялось в течение 10 рабочих дней с момента изменений.

Уведомление нужно подать по форме из приложения № 2 к приказу Роскомнадзора от 28 октября 2022 года № 180.

Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных

Скачать образец

Уничтожение персональных данных

С 1 марта 2023 года факт уничтожения персональных данных должен быть обязательно оформлен актом об уничтожении персональных данных.

Кроме того, нужно произвести выгрузку из журнала регистрации событий в информсистеме персональных данных.

Уничтожение персональных данных оператор осуществляет:

• при отзыве субъектом ПД согласия на их обработку;
• после достижения целей обработки или в случае утраты необходимости в достижении этих целей;
• если их обработка неправомерна (например, если Роскомнадзор отказал в трансграничной передаче ПД иностранным лицам);
• при получении требования от субъекта ПД об уничтожении его данных в случае, если они являются незаконно полученными, неполными, неточными, устаревшими, или не являются необходимыми для цели обработки.

Акт и выгрузку нужно хранить 3 года с момента уничтожения личных сведений.

Скачивайте образец акта:

Акт об уничтожении персональных данных сотрудников и соискателей

Скачать образец

Сбор данных через иностранные сервисы

Если вы собираете персональные данные через интернет-сервисы, об это также необходимо уведомлять Роскомнадзор.

Хранить персональные данные на любых иностранных серверах (например, облачные хранилища гугл-диск) запрещено. За несоблюдение обязанности по локализации баз данных в РФ вам грозит штраф до 6 000 000 рублей.

Имейте в виду, что с 1 марта 2023 года российским организациям запрещено использовать иностранные мессенджеры. Это ограничение установлено Федеральным законом от 24 июня 2023 № 277-ФЗ. Запрет действует для кредитных организаций, некредитных финансовых организаций, государственных и муниципальных учреждений, а также для компаний, в которых есть доля финансового участия.

Проводя проверку, специалисты регионального управления Роскомнадзора будут руководствоваться:

• Федеральным законом от 27 июля 2006 г. № 152-ФЗ;
• Федеральным законом от 26 декабря 2008 г. № 294-ФЗ;
• Постановлением Правительства РФ от 16 марта 2009 г. № 228;
• Административным регламентом, утвержденным Приказом Минкомсвязи России от 14 ноября 2011 г. № 312.

Реестр ежегодных плановых проверок размещается в сети Интернет на сайте Генеральной прокуратуры РФ.

Если решили, что компанию включили в план проверок незаконно, то вправе написать заявление об исключении из плана проверок.

Срок проведения каждой проверки (документарной и выездной по отдельности) не может превышать двадцати рабочих дней. Если проверяется субъект малого предпринимательства, то общий срок проведения плановых выездных проверок не может превышать:

• для малого предприятия - пятидесяти часов в год;
• для микропредприятия - пятнадцати часов в год.

В исключительных случаях срок проведения выездной плановой проверки может быть продлен, но не более чем на двадцать рабочих дней. Если проверяется субъект малого предпринимательства, то продление проверки возможно не более чем на пятнадцать часов.

Плановая проверка может проводиться не чаще чем раз в три года. К внеплановым проверкам это ограничение не относится.

Плановые проверки проводятся на основании разрабатываемых региональными управлениями Роскомнадзора ежегодных планов. Они согласовываются с органами прокуратуры и размещаются в сети Интернет.

Внеплановые проверки проводятся в следующих случаях:

1. истечение срока исполнения фирмой или предпринимателем (далее – операторы) ранее выданного предписания об устранении нарушения;
2. обращения граждан, юридических лиц, предпринимателей, информация от органов государственной власти и из средств массовой информации об угрозе причинения или причинении вреда жизни, здоровью граждан;
3. поручения Президента или Правительства РФ;
4. нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных;
5. нарушение операторами требований законодательства в области персональных данных, а также несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

О проведении плановой проверки оператора уведомляют не позднее чем в течение трех рабочих дней до ее начала.

О проведении внеплановой выездной проверки оператор уведомляется не менее чем за двадцать четыре часа до начала ее проведения. Если в результате деятельности оператора причинен или причиняется вред жизни и здоровью граждан, такого уведомления не требуется.

Проверка начинается с того, что специалисты регионального управления Роскомнадзора рассматривают документы оператора, имеющиеся в их распоряжении. Если их окажется недостаточно, контролеры запрашивают документы у оператора. Их нужно предоставить в течение десяти рабочих дней в виде заверенных копий.

Если в ходе документарной проверки выявлены ошибки и противоречия в документах, проверяющие могут потребовать представить пояснения в письменной форме. Их также нужно предоставить в течение десяти рабочих дней. Если в результате их рассмотрения специалисты Роскомнадзора увидят признаки нарушения законодательства о пресональных данных, они начнут выездную проверку.

Для проведения выездных проверок проверяющим предоставлено право беспрепятственного доступа на территорию и в используемые здания и помещения, к оборудованию, транспортным средствам и другим производственным объектам. Придя к оператору, проверяющие обязаны предъявить свои служебные удостоверения и приказ о назначении выездной проверки. Они также обязаны ознакомить вас со своими полномочиями, с целями, задачами, основаниями и сроками проведения выездной проверки, видами и объемом мероприятий по контролю.

Закончив проверку, проверяющие составляют акт проверки в двух экземплярах. Один экземпляр с копиями приложений вручается руководителю или другому представителю оператора. Типовая форма акта проверки утверждена Приказом Минэкономразвития РФ от 30 апреля 2009 года № 141. Акт проверки подписывают проверяющие и представитель оператора.

Если при проведении проверки контролеры выявят какие-либо нарушения, они выдадут оператору предписание об устранении выявленных нарушений. В предписании должны быть указаны сроки его исполнения. По истечении этого срока может быть проведена внеплановая проверка.

Ответственность за невыполнение предписания установлена частью 1 статьи 19.5 КоАП РФ. Фирму могут оштрафовать на сумму от десяти тысяч до двадцати тысяч рублей. Руководитель фирмы и индивидуальный предприниматель могут быть оштрафованы на сумму от одной тысячи до двух тысяч рублей или дисквалифицированы на срок до трех лет. Другому сотруднику фирмы, не выполнившему предписание, может быть назначен штраф в размере от трехсот до пятисот рублей.

Материалы проверки, в ходе которой выявлены нарушения законодательства о персональных данных, специалисты Роскомнадзора направят в прокуратуру или другие правоохранительные органы, уполномоченные решать вопрос о возбуждении дела об административном правонарушении или уголовного дела.

Особенность административного производства по нарушениям законодательства о персональных данных состоит в том, что дела по ним возбуждаются прокурором (ст. 28.4 КоАП РФ). Он выносит постановление о возбуждении дела об административном правонарушении и передает на рассмотрение мировому судье. Итогом рассмотрения будет постановление, которым судья назначает наказание или прекращает производство по делу.

Копию постановления вам должны вручить под расписку сразу после рассмотрения дела либо выслать по почте в течение трех дней (ст. 29.11 КоАП РФ).

Постановление о наложении штрафа вступает в силу через 10 дней. В течение этого времени вы можете его обжаловать. Если вы не обжаловали постановление и оно вступило в силу, то вам дается еще 30 дней на добровольную уплату штрафа. Если штраф не заплачен, постановление будет передано приставу-исполнителю, чтобы тот взыскал штраф в принудительном порядке.

За нарушение законодательства о персональных данных предусмотрена как административная, так и уголовная ответственность.

Информация об административных правонарушениях приведена в таблице.

Если в ходе проверки сотрудники Роскомнадзора выявят признаки преступления, они передадут соответствующие материалы в правоохранительные органы.

Уголовный кодекс России устанавливает ответственность за такие виды преступлений в сфере обработки персональных данных, как:

• нарушение неприкосновенности частной жизни (ст. 137 УК РФ);
• неправомерный доступ к компьютерной информации (ст. 272 УК РФ).

Нарушение неприкосновенности частной жизни – это незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия.

Распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации также является нарушением неприкосновенности частной жизни. За это преступление суд может назначить одно из следующих наказаний:

1. штраф в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев;
2. обязательные работы на срок до трехсот шестидесяти часов;
3. исправительные работы на срок до одного года;
4. принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без него;
5. арест на срок до четырех месяцев;
6. лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Нарушение неприкосновенности частной жизни с использованием своего служебного положения наказывается строже. Возможны следующие варианты наказания:

1. штраф в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет;
2. лишение права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
3. принудительные работы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без него;
4. арест на срок до шести месяцев;
5. лишение свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Информация о возможных наказаниях за неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, приведена в таблице.