Что проверяет роскомнадзор при плановой проверке сми
Как проводится проверка Роскомнадзора
Роскомнадзор проверяет соблюдение законов в области СМИ и информационных технологий. На основании ФЗ №293 проверка этим органом проводится раз в три года. Чаще осуществлять проверки без достаточных на то оснований запрещено. Эти временные промежутки позволят предпринимателю понять, когда примерно будет проводиться мониторинг. К проверке следует подготовиться.
Полномочия Роскомнадзора
У Роскомнадзора имеется целый ряд полномочий, установленных нормативными актами:
Роскомнадзор осуществляет комплексную проверку всех направлений, связанных с информационными технологиями.
Разновидности проверок
Роскомнадзор осуществляет следующие формы проверок:
Даже в том случае, если проверка будет плановой, у руководителя остается очень мало времени на подготовку. По этой причине нужно готовится заблаговременно.
Что именно будут проверять
Государственный орган осуществляет надзор над операторами персональных данных. Также Роскомнадзору подконтрольны компании, которые выполняют сбор и обработку информации о лицах: посетителях, работниках, клиентах. Проще говоря, под надзор попадают все субъекты, в штате которых работают люди.
СПРАВКА! Персональные данные – это информация, нужная для исполнения служебных обязанностей. К примеру, это могут быть паспортные данные, сведения об образовании, семейном статусе.
Роскомнадзор осуществляет контроль над следующими направлениями:
Относительное нововведение – проверка сайтов. Нарушением, к примеру, будет являться сбор персональных данных без указания информации о том, как они будут использоваться.
Точного перечня бумаг, подлежащих надзору, не существует. Однако можно назвать примерный ряд бумаг:
Роскомнадзор также может затребовать и другие документы.
Продолжительность проверки
Мероприятие длится на протяжении 20 рабочих дней. При наличии сопутствующих обстоятельств этот срок может быть продлен еще на 20 дней. Однако продление актуально только для тех случаев, когда на это есть серьезные основания. Плановые выездные проверки не могут длиться более 50 часов в отношении компаний, в которых работает до 100 сотрудников. Продолжительность этих проверок для малых фирм со штатом до 15 сотрудников составляет 15 часов.
Особенности подготовки к проверке
Для успешного прохождения проверки рекомендуется нанять сотрудника, который будет отвечать за верность оформления всех документов, связанных с информационным направлением. Необходимость эта связана с тем, что для подготовки нужно проверять правильность огромного объема документации. Проще озаботиться этим вопросом заранее. Однако вариант с наймом сотрудника актуален только для больших предприятий.
Маленьким компаниям можно воспользоваться услугами стороннего эксперта. Рассмотрим план по подготовке к проверке:
Для подготовки бумаг можно использовать специальные онлайн-сервисы.
Как осуществляется проверка
Сначала в компанию направляется уведомление о предстоящей проверке. В документе нужно указать сроки проведения, а также реквизиты приказа, на основании которого осуществляется мероприятие. Сначала инспекторы проверяют документы, связанные с информационным направлением. Затем в компанию направляется запрос. Ответить на него нужно на протяжении 10 дней. Руководитель должен направить в контролирующий орган копии документов. Их требуется заверить подписью.
Если в процессе проверки были обнаружены недочеты, назначается выездная проверка. В компанию приезжает минимум два инспектора. Они должны предъявить удостоверение, а также копию приказа, на основании которого проводится мероприятие.
Результаты проверки
В результате проверки оформляется акт. Если в ходе мероприятия были обнаружены ошибки, информация о них включается в документ. Ответственное лицо компании лично знакомят с актом. Альтернативный вариант – отправка документа заказным письмом. Об итогах проверки руководитель может узнать на сайте надзорного органа.
Можно ли обжаловать результаты проверки?
Результаты контрольного мероприятия можно обжаловать в течение 15 дней. Для этого в Управление отсылаются возражения. Руководителю для успешного исхода дела нужно подготовить обоснованные аргументы в защиту своей позиции. Он может сослаться на отсутствие уведомления в срок, привлечение к мероприятию специалистов без аккредитации, нарушение сроков проведения. Жалоба будет рассмотрена в течение 30 дней.
Проверка Роскомнадзора: как к ней подготовиться, чтобы избежать штрафов
Любое появление инспектора, будь то плановая или внеплановая проверка, для бизнеса всегда сопряжено с определенными рисками. Лучше заранее убедиться в наличии всех необходимых документов, защищающих интересы компании, а если есть нарушения, внести исправления до того, как их обнаружит инспектор.
Еще важно разобраться в типах проверок и в порядке контрольных процедур. Тем более что с недавних пор действует риск-ориентированный подход, выделяются группы операторов по тяжести потенциальных негативных последствий, оценивается вероятность несоблюдения обязательных требований.
В этой статье разберемся в следующих вопросах:
Виды проверок Роскомнадзора
Проверки Роскомнадзора бывают плановыми и внеплановыми, документарными и выездными. А с недавних пор появился такой вид проверок, как инспекционный визит.
Плановая проверка
О плановых проверках Роскомнадзор предупреждает заранее. За 3 дня по почте приходит уведомление, в котором указано, какого числа будет проверка. Но каждая компания может заранее узнать, включена ли она в список тех, кого будут проверять в текущем году. План проверок опубликован на сайте Роскомнадзора.
Внеплановая проверка
Часто проводится по жалобам физических лиц. Например, люди могут жаловаться на нежелательную рекламную рассылку, SMS-спам, назойливые телефонные звонки. О внеплановой проверке Роскомнадзор предупреждает за 24 часа.
Документарная проверка
В этом случае Роскомнадзор запрашивает список документов, копии которых необходимо отослать в территориальный орган Роскомнадзора. Документарная проверка проводится без выезда в организацию.
Выездная проверка
При выездной проверке в компанию приезжают инспекторы. Обычно несколько человек. Инспекторы на месте проверяют, как компания выполняет требования, установленные законом.
Инспекционный визит
Проводится по отношению к организациям, которые отнесены к категориям высокого и значительного риска, а также в отношении контролируемых лиц, приступающих к осуществлению деятельности в сфере обработки персональных данных. О таком визите бизнес должны уведомить не позднее чем за 5 рабочих дней до даты его проведения.
Роскомнадзор также может проводить профилактические мероприятия. К ним относятся:
В случае и с плановой, и с внеплановой проверкой у компании слишком мало времени на то, чтобы подготовиться и исправить все нарушения. Поэтому делать все нужно заранее.
Как проводятся проверки Роскомнадзора с 1 июля 2021 года
Новый порядок проведения проверок определен Постановлением Правительства РФ от 29.06.2021 № 1046. И он поменялся.
Ранее Роскомнадзор не применял риск-ориентированный подход. Сейчас осуществляется оценка категорий риска, то есть организациям присваивается категория риска, от которой зависит частота проверок Роскомнадзора.
Выделяются такие категории риска:
В рамках контроля за обработкой персональных данных проверяются:
Постановление Правительства РФ от 29.06.2021 № 1046 вводит такую возможность фиксации нарушений, как фотосъемка, аудио- и видеозапись. Правила проведения проверок также позволяют использовать компьютеры, ноутбуки, съемные электронные носители информации, копировальные аппараты, сканеры, телефоны (в том числе сотовой связи), механические, технические средства, в том числе принадлежащие контролируемому лицу.
Обработка персональных данных и тяжесть потенциальных негативных последствий
По новым правилам учитывается тяжесть потенциальных негативных последствий возможного несоблюдения требований. В зависимости от этого выделяются четыре группы тяжести: А, Б, В и Г. Каждая группа включает определенные виды деятельности.
Обработка специальной категории персональных данных и (или) биометрических данных; сбор персональных данных, осуществляемый с использованием баз данных, находящихся за пределами РФ; трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных и не включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных; передача персональных данных третьим лицам, полученных в результате обезличивания.
Обработка персональных данных в целях, отличных от заявленных на этапе их сбора; обработка данных несовершеннолетних лиц в случаях, не предусмотренных федеральными законами; обработка данных в информационных системах (содержат данные более чем 20 000 субъектов); сбор персональных данных, осуществляемый с использованием иностранных программ и сервисов.
Обработка персональных данных близких родственников субъекта персональных данных; обработка данных в информационных системах (содержат данные от 1000 до 20 000 субъектов); трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных и включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных; обезличивание данных, обработка данных, полученных в результате обезличивания, с использованием методов обезличивания, без передачи третьим лицам.
Обработка персональных данных в информационных системах (содержат данные менее чем 1000 субъектов); обработка персональных данных без предоставления в Роскомнадзор; обработка данных, полученных из общедоступных источников; трансграничная передача персональных данных на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физлиц при автоматизированной обработке персональных данных.
В некоторых случаях критерии позволяют отнести деятельность компании к различным группам тяжести. В этом случае используется критерий, который относит деятельность к более высокой категории риска.
Обработка персональных данных и группы вероятности
Еще одно новшество: с учетом оценки вероятности несоблюдения обязательных требований деятельность операторов персональных данных будет разделяться на группы вероятности 1, 2, 3, 4.
К группам вероятности относят деятельность, осуществляемую с нарушениями требований законодательства в области персональных данных, ответственность за которые предусмотрена конкретными частями ст. 13.11 КоАП.
Части ст. 13.11 КоАП
Вступили в силу в течение трех календарных лет, предшествующих дате принятия решения об отнесении деятельности оператора к категории риска, о назначении административного наказания.
В течение последних двух лет выданы предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений; вступили в силу в течение трех календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.
По фактам нарушений в течение последних двух лет выданы предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений; в отношении нарушений вступили в законную силу в течение трех календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.
Отнесение деятельности оператора к определенной категории риска основывается на соотнесении группы тяжести и группы вероятности согласно таблице, которая приводится в Постановлении Правительства РФ от 29.06.2021 № 1046:
Периодичность проверок в зависимости от категории риска
Частота плановых проверок зависит от присвоенной категории риска:
Как подготовиться к проверке Роскомнадзора
Требования о том, какие условия нужно соблюдать при работе с персональными данными, установлены большим количеством документов. Но основной из них — это Федеральный закон от 27.07.2006 № 152-ФЗ. Часть статей Трудового кодекса также содержат информацию о порядке работы с персональными данными в отношении работников.
От того, какие категории персональных данных вы обрабатываете, зависит многое. Помимо работников в своей деятельности бизнес сталкивается с соискателями, членами семей работников, третьими лицами, с которыми заключаются договоры ГПХ, а также иными лицами. Поэтому перечень нормативных правовых актов, начиная с базовых и заканчивая специфическими, которые определяют требования к той категории, данные которой обрабатываются, нужно изучать дополнительно.
Например, вы можете иметь дело с биометрическими данными. Тогда вам надо изучить дополнительные документы, которые регламентируют обработку такой информации: как и где их хранить, как защищать.
Есть три основных документа, которые регламентируют порядок прохождения проверок органами Роскомнадзора:
Поскольку нормативных правовых актов по персональным данным много, то прежде всего нужно:
Федеральный закон № 152-ФЗ требует от компаний выполнения определенных организационных, правовых и технических требований. Чтобы выполнить их самостоятельно, нужно изучить не только сам закон, но и его подзаконные акты, разобраться в том, какие именно меры необходимо предпринять.
Можно поступить проще — привлечь внешнего специалиста, который выполнит объем необходимой работы: изучит все процессы обработки персональных данных в компании, составит необходимые документы, внедрит средства защиты и т.д.
Если же вы решили действовать самостоятельно, то вам придется выполнить несколько шагов:
После заполнения электронного уведомления на сайте Роскомнадзора распечатайте форму и отправьте ее по почте в территориальный орган Роскомнадзора.
Ведомство рассмотрит ваше уведомление и добавит компанию в реестр операторов в течение 30 дней. Присутствие компании в реестре свидетельствует не только о выполнении одного из требований Федерального закона № 152-ФЗ, но и о добропорядочности и прозрачности деятельности компании, что важно для контрагентов.
На что обращают внимание инспекторы
Прежде всего они хотят ознакомиться со всеми необходимыми документами. Первое, на что обратят внимание проверяющие, — подавала ли компания уведомление в Роскомнадзор, если она не попадает под исключения.
Есть только несколько категорий данных, которые можно обрабатывать без уведомления (ч. 2 ст. 22 152-ФЗ):
Если уведомление было подано в Роскомнадзор, при проверке инспекторы будут ориентироваться на него и сравнивать его с реальными процессами обработки персональных данных в компании. Если информация не соответствует действительности, например, после подачи уведомления в компании поменялся ответственный за организацию обработки персональных данных, ее могут оштрафовать за то, что в Роскомнадзор вовремя не было отправлено информационное письмо о произошедшем изменении.
Роскомнадзор просматривает сайт компании. Если на сайте организован сбор информации (ФИО, телефон, электронный адрес пользователя), но не опубликована политика компании в отношении обработки персональных данных, компанию могут оштрафовать.
Во время проверки Роскомнадзор может попросить формы документов, в которых содержатся персональные данные. Например, это могут быть анкеты для соискателей вакантных должностей. Сами формы нужно подготовить заранее. Инспекторам также может быть интересна форма согласия на обработку персональных данных.
Роскомнадзор обращает особое внимание на обработку специальных категорий персональных данных. К ним относится информация о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Такие данные можно собирать только с письменного согласия человека и только на законных основаниях, например, если информация о состоянии здоровья работника нужна работодателю для понимания того, сможет ли он выполнять свои трудовые функции.
Если компания передает персональные данные другим компаниям (например, банкам в рамках зарплатного проекта), то следует обратить внимание на то, как составлен договор с этими компаниями. Согласно ч. 3 ст. 6 152-ФЗ в договоре должно быть прописано следующее: с какой целью передаются персональные данные другой компании, какие действия она будет совершать с ними, обязанность компании обеспечивать конфиденциальность и безопасность полученных персональных данных. В договоре должно быть указано, что компания, которой передаются персональные данные, принимает правовые, организационные и технические меры для защиты персональных данных.
Обратите внимание, что с 1 сентября 2021 года действует Приказ Роскомнадзора от 24.02.2021 № 18, который устанавливает требования к содержанию согласия на обработку персональных данных, которые субъект данных разрешает распространять. Подробнее об этом читайте в статье Согласие на обработку персональных данных: новые требования с 1 сентября 2021 года.
Помещения, в которых обрабатываются персональные данные, должны быть обеспечены контролируемым доступом. Это значит, что, например, клиент банка не должен иметь возможности подсмотреть персональные данные. Они могут быть доступны только работникам, которые имеют допуск к их обработке.
Также нужно обеспечить раздельное хранение документов, содержащих персональные данные разных физических лиц. То есть личные данные работников должны храниться отдельно от договоров с клиентами. Это могут быть запираемые шкафы или сейфы. В конце рабочего дня документы должны быть убраны. Если Роскомнадзор во время проверки увидит разбросанные документы с персональными данными на столах работников, к компании возникнут вопросы.
В целом проверка Роскомнадзора не так страшна, как многим кажется. Если в компании документы поддерживаются в актуальном состоянии, подано уведомление и информация в нем соответствует реальности, в компании приняты все организационно-правовые меры, то инспекторам будет сложно к чему-либо придраться.
Копирование и любая переработка материалов Контур.Журнала запрещены
Что проверяет роскомнадзор при плановой проверке сми
ПЛАН проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2021 год (RTF, 1.64 Mb)
ПЛАН проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2020 год (RTF, 944.82 Kb)
ПЛАН проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2019 год (RTF, 2.78 Mb)
ПЛАН проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2018 год (RTF, 2.86 Mb)
ПЛАН проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2017 год (DOCX, 195.53 Kb)
План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2016 год (DOCX, 217.80 Kb)
План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2015 год (DOCX, 1 000.49 Kb)
План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2014 год (DOC, 9.43 Mb; DOCX, 1.06 Mb)
План проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2013 год (DOC, 10.72 Mb; DOCX, 1.20 Mb)
План проверок на 2012 год ( doc ) ( docx )
План проверок на 2011 год ( doc ) (doc в архиве zip)
План проверок на 2010 год (формат: docx 4.5Mb, rtf в архиве RAR 1.1Mb.)
Оцените содержание раздела:
Низкое Ниже среднего Среднее Выше среднего Высокое Оценить
Время публикации: 09.09.2009 21:17
Последнее изменение: 25.12.2020 16:29
Проверки по защите персональных данных: как проходят и можно ли оспорить
Роскомнадзор проверяет всех, кто собирает персональные данные: юридических лиц, индивидуальных предпринимателей и простых людей. Инспектор должен проводить проверку по правилам. Если он их нарушит, результаты проверки можно оспорить. Рассказываем, как проходит проверка, как себя вести и как оспорить результаты.
К кому могут прийти с проверкой
Роскомнадзор проверяет людей, предпринимателей и компании, которые собирают, хранят, обрабатывают и передают чужие персональные данные.
Персональные данные — это любая информация, которая позволяет идентифицировать человека:
Работодатели собирают персональные данные, когда оформляют сотрудников на работу. Авторы рассылок — когда человек подписывается на письма. Продавцы — когда просят покупателей оставить имя и номер телефона для того, чтобы отправлять предложения по скидкам.
Если вы собираете номера телефонов друзей, закон вас не касается. Но если у вас есть блог и вы собираете электронные адреса читателей для рассылки, вы становитесь оператором персональных данных.
Что проверяет Роскомнадзор
Бизнесмена могут проверить по плану, неожиданно или просто наблюдать за ним:
Плановая проверка
Роскомнадзор проводит плановую проверку раз в три года, по графику. Ищите себя в сводном плане проверок на сайте Генпрокуратуры.
Некоторых Роскомнадзор проверяет чаще — раз в два года:
Что делать при плановой проверке
1. Вовремя подготовьте документы. Роскомнадзор предупреждает оператора о проверке не позже, чем за три рабочих дня до начала: отправляет приказ по почте или электронным письмом. Вместе с приказом оператор получает список документов, которые нужно отправить инспектору. Документы можно отправить по почте или электронным письмом. На бумажных документах нужно расписаться и поставить печать, на электронных — поставить электронную подпись.
У оператора есть пять рабочих дней, чтобы ответить на запрос и прислать документы. Датой подачи документов считается день, когда инспектор их получил. Если оператор опоздает, Роскомнадзор придёт к нему с внеплановой проверкой.
2. Следите за сроками проверки. У инспектора есть 20 дней, чтобы провести проверку. Если их не хватит, он может продлить срок ещё на 20 дней, но только один раз. Максимальный срок проверки — 40 дней.
3. Проверьте акт проверки. Инспектор составляет акт в двух экземплярах. В акте он перечисляет нарушения или указывает, что их нет. Один экземпляр инспектор отправляет оператору по почте или электронным письмом не позднее 10 дней со дня подписания акта проверки.
Чем грозит плановая проверка
Если инспектор найдёт ошибки или неточности, он отправит оператору письмо — даст три рабочих дня на пояснения. Если оператор не ответит, Роскомнадзор придёт с внеплановой проверкой — в офис или домой к оператору.
Если инспектор найдёт нарушения, то вместе с актом пришлёт предписание, где будет сказано, что нужно исправить. В предписании будет указан срок — максимум шесть месяцев со дня выдачи. Оператор должен вовремя исправиться и подтвердить это документами — принести их лично или отправить письмом. Если он нарушит предписание, Роскомнадзор придёт к нему с внеплановой проверкой.
Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.
Внеплановая проверка
Роскомнадзор может прийти с внеплановой проверкой в любое время, но только если для этого есть основания:
Как себя вести во время внеплановой проверки
1. Проверьте документы ревизоров. Изучите удостоверения сотрудников, приказ и запрос с перечнем документов для проверки. В приказе должно быть указано, кто проводит проверку, по каким причинам, что будут делать сотрудники Роскомнадзора, сроки и условия выездной проверки. Сверьте фамилии и должности сотрудников Роскомнадзора из приказа с данными удостоверений.
2. Предоставьте информацию по запросу. Предоставьте инспекторам документы и покажите технику, перечисленную в запросе. Важно уложиться в срок, который указан в запросе — максимум два дня с момента вручения. Если во время проверки окажется, что нужны дополнительные документы, инспектор может вручить вам дополнение к запросу.
Если передаёте документы на бумаге, сделайте копии, заверьте печатью и подписью. Если отправляете их в электронном виде — подпишите электронной подписью. Если не успеваете в срок, напишите и отправьте в Роскомнадзор объяснительную.
3. Присутствуйте при проверке. Вы имеете право присутствовать при проверке, давать сотрудникам Роскомнадзора пояснения, отвечать на их вопросы.
4. Не мешайте проверяющим. В правилах сказано, что оператор должен свободно пускать ревизоров в помещение и к компьютеру, предоставлять необходимые документы. Если вы будете мешать, откажетесь показывать документы или отвечать на вопросы, сотрудники Роскомнадзора составят акт о воспрепятствовании проведению выездной проверки и через пару месяцев придут ещё раз. Если вы будете сильно мешать, могут вызвать полицию.
5. Следите за сроками. Инспектор предупреждает оператора о проверке не позднее, чем за 24 часа. Роскомнадзор может проводить внеплановую проверку не дольше 10 дней. Если нужно, срок могут увеличить еще на 10 дней, но только один раз. Максимальный срок проверки — 20 дней.
6. Проверьте правильность составления акта. В акте должна быть информация о выявленных нарушениях или об их отсутствии. Если нарушения есть, в акте должны быть указаны статьи закона и пункты нормативных актов, которые оператор нарушил.
Проверяющий составляет акт проверки в двух экземплярах и прилагает к нему справки, протоколы и пояснения оператора. Акт должны подписать представитель Роскомнадзора и оператор. Если вы откажетесь расписываться, ревизор сделает об этом пометку. Проверяющий отдаёт оператору под расписку один экземпляр акта с копиями приложений.
Оператор должен сделать пометку в журнале по учёту проверок о том, что ознакомился с актом. Если такого журнала нет, инспектор сделает об этом запись в акте.
Если оператора не будет на месте, Роскомнадзор приостановит проверку, но не более чем на месяц. Если за это время ничего не изменится и проверяющий не сможет застать оператора на месте, он составит акт о невозможности проведения проверки. В течение трёх месяцев после составления акта Роскомнадзор может прийти с проверкой ещё раз, но уже без предупреждения.
Чем грозит выездная проверка
Если Роскомнадзор найдёт нарушения, вместе с актом проверки оператору дадут предписание об устранении нарушений. Он должен будет исправиться в течение установленного срока — максимум шесть месяцев со дня выдачи предписания. Оператор должен будет показать инспектору документы, которые подтверждают, что он исправил нарушения. Их можно отправить по почте, электронным письмом или принести в региональное управление Роскомнадзора.
Роскомнадзор может запретить собирать и обрабатывать персональные данные до того, как оператор исправится. Если он продолжит работать с персональными данными несмотря на запрет, его могут оштрафовать.
Наблюдение за оператором
Сотрудники Роскомнадзора могут наблюдать за оператором только по заданию. Для этого должны быть причины:
За оператором наблюдают тайно — никто его не предупреждает. Сотрудники Роскомнадзора смотрят, какую информацию оператор публикует в интернете и СМИ, какие документы отправляет в Роскомнадзор. Они могут просто посмотреть сайт и понажимать на кнопочки про согласие на обработку персональных данных.
Чем грозит наблюдение
Если сотрудники Роскомнадзора нашли нарушения, есть два варианта:
Когда проверку могут продлить
Роскомнадзор может продлить плановую проверку на 20 дней, внеплановую — на 10 дней. Увеличить срок проверки можно только один раз. Для этого должны быть причины:
Если Роскомнадзор продлевает срок проверки, он издаёт приказ и в течение трех рабочих дней отдаёт копию оператору.
Как обжаловать результаты проверки
Любое нарушение правил сотрудником Роскомнадзора — повод подать жалобу. Вы можете пожаловаться на ревизоров, если:
Если вы не согласны с результатами проверки, можете прийти в Роскомнадзор и пожаловаться на проверяющих устно. Но лучше подать письменную жалобу. Её можно отправить бумажным или электронным письмом. Если вы отправляете жалобу по электронной почте, поставьте электронную подпись.
Если вы жалуетесь на сотрудников регионального Роскомнадзора — отправляйте жалобу в региональное управления Роскомнадзора. Если жалуетесь на проверяющих из федеральной службы — в федеральный Роскомнадзор.
Сотрудники Роскомнадзора обязаны ответить в течение 30 дней со дня регистрации жалобы. Они могут согласиться с претензией полностью, частично или вообще не согласиться.
Если вы подавали жалобу в региональный Роскомнадзор и он с ней не согласился, пишите в федеральную службу. Если и там не найдёте понимания — идите в суд.
Какие штрафы грозят нарушителям
| Нарушение | Граждане | Индивидуальные предприниматели | Должностные лица | Юридические лица | Статья закона |
| Оператор незаконно собирает персональные данные или собирает те персональные данные, которые ему не нужны | 1 000 ₽ – 3 000 ₽ | 1 000 ₽ – 3 000 ₽ | 5 000 ₽ – 10 000 ₽ | 30 000 ₽ – 50 000 ₽ | п 1. ст. 13.11 КоАП РФ |
| Оператор обрабатывает персональные данные без письменного согласия или неправильно его составил | 3 000 ₽ – 5 000 ₽ | 3 000 ₽ – 5 000 ₽ | 10 000 ₽ – 20 000 ₽ | 15 000 ₽ – 75 000 ₽ | п. 2 ст. 13.11 КоАП РФ |
| Оператор не опубликовал документ, где сказано, как он обрабатывает и защищает персональные данные | 700 ₽ – 1 500 ₽ | 5 000 ₽ – 10 000 ₽ | 3 000 ₽ – 6 000 ₽ | 15 000 ₽ – 30 000 ₽ | п. 3 ст. 13.11 КоАП РФ |
| Оператор не дал человеку информацию об обработке его данных | 1 000 ₽ – 2 000 ₽ | 10 000 ₽ – 15 000 ₽ | 4 000 ₽ – 6 000 ₽ | 20 000 ₽ – 40 000 ₽ | п. 4 ст. 13.11 КоАП РФ |
| Оператор не стал исправлять, блокировать или удалять неверные, устаревшие или незаконно полученные персональные данные, несмотря на требование их владельца или сотрудника Роскомнадзора | 1 000 ₽ – 2 000 ₽ | 10 000 ₽ – 20 000 ₽ | 4 000 ₽ – 10 000 ₽ | 25 000 ₽ – 45 000 ₽ | п. 5 ст. 13.11 КоАП РФ |
| Оператор обрабатывает персональные данные вручную, неправильно их хранит и не защищает компьютер, флешки, диски с персональными данными. В результате кто-то их уничтожил, изменил, скопировал, распространил | 700 ₽ – 2 000 ₽ | 10 000 ₽ – 20 000 ₽ | 4 000 ₽ – 10 000 ₽ | 25 000 ₽ – 50 000 ₽ | п. 6 ст. 13.11 КоАП РФ |
| Оператор вовремя не подал нужные документы или информацию в Роскомнадзор | Предупреждение или штраф 100 ₽ – 300 ₽ | Предупреждение или штраф 100 ₽ – 300 ₽ | Предупреждение или штраф 300 ₽ – 500 ₽ | Предупреждение или штраф 3 000 ₽ – 5 000 ₽ | ст. 19.7 КоАП РФ |
Коротко о проверках по защите персональных данных
Роскомнадзор может прийти с проверкой к любому оператору персональных данных: в компанию, к индивидуальному предпринимателю или обычному человеку. Оператора могут проверить по плану, неожиданно или просто наблюдать за ним:
Любое нарушение проверяющими правил проведения проверок — повод обжаловать её результаты. Если Роскомнадзор не согласится с жалобой, можно подать в суд.