Правительство РФ впервые утвердило правила, по которым Роскомнадзор (ранее этим занималась прокуратура) будет проверять, как организации работают с персональными данными. Правила во многом типовые, но свои особенности, несомненно, имеют.
Основные элементы следующие.
Объект проверки
Проверке подвергнутся юрлица и ИП, являющиеся операторами персданных. Таким образом, проинспектируют работодателей, поскольку они являются операторами персданных.
Виды проверок
Ревизии могут проходить в виде:
1) плановых проверок:
- выездных;
- документарных;
2) внеплановых проверок:
- выездных;
3) мероприятий без взаимодействия инспекторов с операторами.
Плановые проверки
Проводятся в соответствии с ежегодными планами, которые размещаются в сети Интернет.
Частота – раз в 3 года. Срок отсчитывается с момента госрегистрации компании или окончания последней плановой проверки.
В отдельных случаях – раз в 2 года. Например, если фирма собирает биометрические (фотографии сотрудников) и специальные (раса, национальность, состояние здоровья) категории персданных.
Документарные проверки
Проводятся путем анализа документов и информации, полученных от фирмы по письменному запросу.
Компания должна предоставить документы и информацию в течение 5 рабочих дней со дня получения запроса. Документы направляются в виде копий, заверенных печатью (при наличии) и подписью руководителя или уполномоченного им лица.
Если проверяющие запросят пояснения к документам, их нужно подать в течение 3 рабочих дней.
Внеплановые проверки
Проводятся на основании:
- обращений граждан;
- по требованию прокурора;
- в случае неисполнения оператором предписания.
Уведомление компании
Роскомнадзор должен уведомить фирму:
- о проведении плановой проверки – не позднее чем за 3 рабочих дня:
- о проведении внеплановой проверки – не менее чем за 24 часа до начала ее проведения.
Способ уведомления – направление копии приказа о проведении проверки (либо-либо):
- заказным письмом с уведомлением о вручении;
- электронным документом с усиленной квалифицированной электронной подписью — на электронную почту.
Что будут проверять
Инспекторы ревизуют:
- документы, локальные акты и принятые оператором меры по списку в ч. 1 ст. 18.1 Закона о персданных;
- обработку персданных на предмет ее соответствия установленным требованиям;
- информационные системы персданных.
Мероприятия без взаимодействия с компанией
Такие мероприятия проводятся на основании заданий на их проведение, утверждаемых руководителем органа Роскомнадзора.
К данным мероприятиям относится контроль за соблюдением компанией требований при размещении информации в сети Интернет и СМИ, а также в федеральных государственных информационных системах.
ПОСТАНОВЛЕНИЕ Правительства РФ от 13.02.2019 № 146
«Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»
Документ включен в СПС «КонсультантПлюс»