Проверки Роскомнадзором исполнения требований в области персональных данных — Татарстанский реском республиканской организации профсоюза работников государственных учреждений и общественного обслуживания РФ.

Проверки Роскомнадзором исполнения требований в области персональных данных

Согласно Федеральному закону от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона возлагается (п. 1 и п 1.1 ст. 23 Закона N 152-ФЗ) на Роскомнадзор (п. 1 положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утв. постановление Правительства РФ от 16.03.2009 N 228, далее — Положение N 228).
Именно Роскомнадзор надзирает за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (п. 5.1.(1) Положения N 228). Под обработкой персональных данных понимается любое действие, совершаемое с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (п. 3 ст. 3 Закона N 152-ФЗ). Значит, любые манипуляции с персональными данными поднадзорны Роскомнадзору. Следовательно, с проверкой Роскомнадзор может прийти практически к любой организации и органу в РФ.
Согласно п. 1.1 ст. 23 Закона N 152-ФЗ Правительство РФ должно установить Порядок организации и осуществления надзора за обработкой персональных данных, и в том числе порядок проведения соответствующих проверок. Однако в настоящий момент Правительство РФ не выпустило ни указанного порядка, ни специального положения об этом виде надзора (аналогичного положениям о санитарно-эпидемиологическом, пожарном и т.п.). Таким образом, конкретные полномочия Роскомнадзора в данной сфере в данный момент определяются Законом N 152-ФЗ, КоАП РФ и Административным регламентом исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, утв. приказом Министерства связи и массовых коммуникаций РФ от 14.11.2011 N 312 (Далее — Регламент). Указанный Регламент предусматривает единственный способ осуществления надзора — проведение проверок поднадзорных лиц (п. 3 Регламента). Во время проверки проверяются (п. 5 Регламента):
— деятельность по обработке персональных данных,
— информационные системы персональных данных,
— документы, характер информации в которых предполагает или допускает включение в них персональных данных.
Важно, что действие Федерального закона от 26.12.2008. N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее — Закон N 294-ФЗ) не распространяется на проверки в области контроля и надзора за обработкой персональных данных (п. 20 ч. 3.1. ст. 1 Закона N 294-ФЗ).
Проверки в сфере соблюдения правил обработки персональных данных выведены из-под сферы Закона N 294-ФЗ сравнительно недавно (с 1 сентября 2015 года, см. ст. 3 федерального закона от 21.07.2014 N 242-ФЗ), а действующий Регламент составлялся в то время, когда он должен был соответствовать требованиям Закона N 294-ФЗ. Поэтому процедура проверок в Регламента и Законе N 294-ФЗ в целом совпадает. Очевидно, однако, что Роскомнадзор волен пренебречь правилами собственного Регламента, если посчитает, что они ограничивают его законные полномочия.
Роскомнадзор проводит плановые и внеплановые, выездные и документарные проверки (п. 29 Регламента). Проверке подвергается деятельность операторов персональных данных (как включенных в Реестр операторов, осуществляющих обработку персональных данных, так и не включенных) (п. 32 Регламента).

Скачать: Памятка: «Встречаем проверяющих из Роскомнадзора (проверка в области персональных данных)»