8.5. Проведение проверок Роскомнадзором

Любая информация, относящаяся к определенному физическому лицу (субъекту персональных данных), в том числе:

- его фамилия, имя, отчество;

- год, месяц, день и место рождения;

- адрес, семейное, социальное, имущественное положение;

- образование, профессия, доходы, другая информация - относится к персональным данным, которые в соответствии со ст.

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства РФ, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи (Роскомнадзор) (ст. 23 Федерального закона N 152-ФЗ).

Полномочия Роскомнадзора по осуществлению контрольных функций определены Положением о федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным Постановлением Правительства РФ от 16.03.2009 N 228.

В соответствии со ст. 23 Федерального закона N 152-ФЗ Роскомнадзор имеет право:

- запрашивать у юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

- осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

- требовать от организации уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

- принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Федерального закона N 152-ФЗ;

- обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

- направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

- привлекать к административной ответственности лиц, виновных в нарушении Федерального закона N 152-ФЗ.

Порядок проведения проверок Роскомнадзором установлен Административным регламентом проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденным Приказом Роскомнадзора от 01.12.2009 N 630 (далее - Административный регламент N 630).

Обратите внимание: проверки проводятся Роскомнадзором в соответствии с Федеральным законом N 294-ФЗ.

Виды проверок. В соответствии с п. 17 Административного регламента N 630 контрольные мероприятия по соблюдению законодательства о персональных данных проводятся Роскомнадзором посредством плановых и внеплановых проверок.

Порядок проведения плановых проверок регламентирован п. 18-21 Административного регламента N 630. В соответствии с их нормами плановые проверки проводятся на основании ежегодного плана проведения плановых проверок на текущий календарный год. План утверждается руководителем Роскомнадзора после завершения органами прокуратуры процедуры рассмотрения на предмет законности включения в него объектов государственного контроля (надзора) и внесения предложений о проведении совместных плановых проверок.

Информация о порядке проведения и план проведения проверок размещаются на официальном сайте Роскомнадзора (www.rsoc.ru) и непосредственно в центральном аппарате Роскомнадзора и его территориальных органах.

Плановые проверки проводятся:

- в отношении операторов, включенных в реестр операторов, осуществляющих обработку персональных данных;

- в отношении операторов, не включенных в реестр, но осуществляющих обработку персональных данных.

Внеплановые проверки проводятся по следующим основаниям (п. 27 Административного регламента N 630):

- истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства РФ в области персональных данных;

- поступление в Роскомнадзор и его территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах: возникновение угрозы причинения вреда жизни и здоровью граждан, а также причинение вреда жизни и здоровью граждан.

Согласование проведения внеплановых выездных проверок Роскомнадзором производится по месту осуществления деятельности операторов, относящихся в соответствии с законодательством РФ к субъектам малого или среднего предпринимательства, с прокурорами (заместителями прокуроров) субъектов РФ по основаниям, предусматривающим причинение вреда жизни и здоровью граждан.

О проведении внеплановой выездной проверки оператор уведомляется Роскомнадзором не менее чем за 24 часа до начала ее проведения любым доступным способом. Если в результате деятельности оператора причинен или причиняется вред жизни и здоровью граждан, предварительное уведомление оператора о начале проведения внеплановой выездной проверки не требуется.

Формы контрольных мероприятий изложены в п. 66 Административного регламента N 630. Плановые и внеплановые проверки проводятся должностными лицами Роскомнадзора в форме документарной или выездной проверки. Форма проведения проверки определяется Роскомнадзором самостоятельно.

Документарная проверка. Документарная проверка проводится по месту нахождения территориального органа Роскомнадзора (п. 67 Административного регламента N 630).

Предметом документарной проверки являются сведения, содержащиеся в документах оператора, устанавливающих его организационно-правовую форму, права и обязанности; документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, с исполнением предписаний Роскомнадзора.

Уведомление о проведении документарной проверки направляется в адрес оператора не позднее чем в течение трех рабочих дней до начала ее проведения (п. 67.3 Административного регламента N 630).

В случае если достоверность сведений, содержащихся в документах, имеющихся в распоряжении проверяющих, вызывает обоснованные сомнения либо эти сведения не позволяют оценить исполнение оператором установленных требований, в адрес оператора направляется мотивированный запрос с требованием представить иные необходимые для рассмотрения в ходе проведения документарной проверки документы.

В течение десяти рабочих дней со дня получения мотивированного запроса оператор обязан представить указанные в запросе документы в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя оператора (п. 67.5 Административного регламента N 630).

Если в ходе документарной проверки выявлены ошибки или противоречия в представленных документах, проверяющие вправе затребовать пояснения в письменной форме. Срок представления - десять рабочих дней.

Порядок проведения выездной проверки изложен в п. 70 Административного регламента N 630. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения оператора или по месту фактического осуществления его деятельности в случае, если при документарной проверке не представляется возможным:

- удостовериться в полноте и достоверности сведений, содержащихся в уведомлении об обработке персональных данных и иных имеющихся в распоряжении проверяющих документов оператора;

- оценить соответствие деятельности оператора требованиям, установленным нормативными правовыми актами в области персональных данных, без проведения соответствующей проверки.

Срок проведения как плановой, так и внеплановой проверки не может превышать 20 рабочих дней (п. 31 Административного регламента N 630).

В случае необходимости срок проведения проверки может быть продлен, но не более чем на 20 рабочих дней (п. 32 Административного регламента N 630).

В соответствии с п. 71 Административного регламента N 630 при проведении проверки должностные лица органов Роскомнадзора не вправе.

- проверять выполнение обязательных требований, если они не относятся к полномочиям Роскомнадзора;

- осуществлять плановую или внеплановую выездную проверку в отсутствие руководителя, иного уполномоченного представителя оператора, за исключением случая причинения вреда жизни и здоровью граждан;

- требовать представления документов, информации, если они не относятся к предмету проверки, а также изымать оригиналы таких документов;

- распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством РФ;

- превышать установленные сроки проведения проверки;

- осуществлять выдачу операторам предписаний или предложений о проведении проверок за их счет.

Оформление результатов проверок.

Акт должен содержать одно из следующих заключений (п. 76 Административного регламента N 630):

- об отсутствии в деятельности оператора нарушений требований законодательства РФ в области персональных данных;

- о выявленных нарушениях требований законодательства РФ в области персональных данных с указанием конкретных статей и (или) пунктов нормативных правовых актов.

Один экземпляр акта с копиями приложений вручается руководителю или иному уполномоченному представителю оператора под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки или направляется заказным почтовым отправлением с уведомлением о вручении.

Если оператор осуществляет деятельность на территории нескольких субъектов РФ, то составляется и подписывается обобщенный акт.

В соответствии с п. 80 Административного регламента N 630 при наличии разногласий по содержанию акта окончательное решение принимает руководитель проверки. Должностные лица Роскомнадзора, проводящие проверку, а также представители оператора, не согласные с принятым решением, вправе изложить в письменной форме свое особое мнение, которое прилагается к акту. После подписания акта в него запрещается вносить изменения и дополнения. К акту прилагаются протоколы, справки, объяснительные работников оператора, на которых возложены обязанности по обработке персональных данных, и другие документы, подтверждающие выявление (устранение) нарушения.

В случае выявления по результатам проверки нарушения требований законодательства РФ в области персональных данных оператору вместе с актом выдается предписание об устранении выявленных нарушений (п. 82 Административного регламента N 630).

В случае выявления в ходе или по результатам проверки административного правонарушения, предусмотренного КоАП РФ, в том числе невыполнения в установленный срок ранее выданного предписания, составляется протокол в порядке, установленном законодательством РФ, или направляются материалы в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, а также уголовного дела -при наличии признаков преступлений, выявленных в ходе проверки и связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью (п.

Оператор вправе обратиться в Роскомнадзор с жалобой на решения или действия должностных лиц уполномоченного органа в ходе проведения проверок в соответствии с законодательством РФ.

По результатам проверок, проводимых Роскомнадзором, наиболее распространенными нарушениями являются:

- несоответствие сведений, указанных в уведомлении об обработке персональных данных, фактической деятельности (п. 3, 7 ст. 22 Федерального закона N 152-ФЗ);

- обработка персональных данных без согласия субъектов персональных данных (п. 1 ст. 6 Федерального закона N 152-ФЗ);

- несоответствие типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, требованиям законодательства РФ в области персональных данных (п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687).

В качестве примеров нарушений можно привести такие выявленные факты:

- без соответствующего согласования сотрудником организации осуществлялось сканирование документов, удостоверяющих личность посетителей, с последующим внесением сведений, содержащихся в сканированной копии документа, в информационную базу данных организации;

- типовые формы документов и содержание письменного согласия на обработку персональных данных не соответствовали установленным требованиям, а также присутствовала избыточность обрабатываемых персональных данных субъекта персональных данных применительно к целям обработки, выраженная конкретно в том, что в типовой форме согласия на обработку персональных данных отсутствовали цель обработки персональных данных, перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, перечень действий, связанных с обработкой персональных данных субъекта;

- в тексте письменного согласия на обработку персональных данных операторами зачастую допускались некорректные формулировки относительно сроков обработки персональных данных, устанавливающие право оператора обрабатывать персональные данные субъекта персональных данных в течение всей его жизни либо в течение неопределенного срока (только по данному нарушению государственными инспекторами Роскомнадзора было выдано 26 предписаний);

- существовала избыточность обрабатываемых персональных данных по отношению к цели обработки. Как правило, это выражалось в форме "навязывания" субъекту персональных данных необходимости предоставления какой-либо дополнительной информации, в том числе специальных категорий персональных данных и сведений о близких родственниках, при оказании определенного вида услуг.

Проверки, проведенные уполномоченным органом, показали, что во многих организациях существуют условия для нарушений требований конфиденциальности в части отсутствия утвержденного перечня лиц, имеющих доступ к базам данных, внутренним документам, регламентирующим режим и порядок доступа к информационным системам. Среди нарушителей - органы государственной власти (территориальные органы Федеральной налоговой службы, территориальные органы ГИБДД и др.).

Субъекты персональных данных обращались в уполномоченный орган с жалобами по следующим нарушениям:

- обработка их персональных данных без их согласия;

- неправомерная передача данных третьим лицам;

- нарушение требований конфиденциальности персональных данных при их обработке (опубликование в СМИ, размещение информации, содержащей их, в общественных местах, на интернет-сайтах и т.п.).

Согласно ст. 24 Федерального закона N 152-ФЗ лица, виновные в нарушении требований данного закона, привлекаются к гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством РФ ответственности. При этом способ реагирования на выявленное правонарушение соответствующий контролирующий орган определяет самостоятельно в пределах имеющихся у него полномочий.

Административная ответственность. В соответствии со ст. 13.11 КоАП РФ нарушение установленного порядка сбора, хранения и использования персональных данных граждан влечет наложение административного штрафа:

- на должностных лиц - от 500 до 1 000 руб.;

- на юридических лиц - от 5 000 до 10 000 руб.

Статья 19.7 КоАП РФ предусматривает за непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде предупреждение или наложение административного штрафа:

- на должностных лиц - от 300 до 500 руб.;

- на юридических лиц - от 3 000 до 5 000 руб.

Уголовная ответственность. Работодателю следует обратить внимание, что незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации согласно ст. 137 УК РФ влечет следующее наказание: штраф в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательные работы на срок от 120 до 180 часов, либо исправительные работы на срок до года, либо арест на срок до четырех месяцев, либо лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.