В 2022 году Правительство РФ ввело мораторий на проведение плановых проверок. Начальник отдела экспертной поддержки экосистемы приложений «Альфа» Вера Скопинцева рассказала о том, какие мероприятия проводит Роскомнадзор сейчас и почему к ним надо готовиться заранее.
− Здравствуйте, Вера! Постановление Правительства от 10.03.2022 № 336 ввело мораторий на плановые контрольные мероприятия, который продлили до 2030 года. Как вы думаете, это повод расслабиться операторам персональных данных?
− Это ошибочная позиция. Действие моратория не означает, что организация не столкнётся с запросом от регулятора. Как показывает практика, сейчас повсеместно организации получают письменные запросы от Роскомнадзора, которые не являются плановой проверкой, но по результату и по тому, что надо показать или направить, − это сравнимо с выездной или документарной проверкой. Статистика это подтверждает. По данным Роскомнадзора, до введения моратория под плановые проверки попадало около 1500 организаций в год, а в 2023 году (в условиях действия моратория) проведено более 3000 мероприятий без взаимодействия с контролируемыми лицами.
− А с чем это связано, Вера?
− Роскомнадзор удалённо мониторит сайты организаций и проверяет их на предмет очевидных нарушений обработки персональных данных. Он смотрит, есть ли на сайте политика в отношении обработки персональных данных, форма сбора персональных данных и наличие на ней возможности оставить согласие на их обработку, размещены ли фотографии и иные персональные данные, осуществляется ли сбор метрических данных, уведомили ли об этом пользователя сайта. По результатам дистанционного анализа сайта Роскомнадзор при выявлении нарушений направляет письма организациям, в которых просит предоставить правовое основание размещения на сайте персональных данных, а также подтвердить выполнение мер, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». По факту это абсолютно та же самая проверка, только в виде удалённого формата. И в случае выявленных нарушений операторам даётся срок для их устранения.
− Получается, к проверке Роскомнадзора надо быть готовым в любую минуту?
− Да, организация должна понимать, что нужно постоянно поддерживать всю документацию в актуальном состоянии, так как перечень подтверждения выполненных мер, запрашиваемый Роскомнадзором по результатам мероприятия без взаимодействия с контролируемым лицом, – это тот же самый комплект документов, который организация показывает при плановых проверках. В него входят политика в отношении обработки персональных данных, приказы о местах хранения материальных носителей персональных данных, о перечнях обрабатываемых персональных данных, о лицах либо должностях, которые имеют доступ к персональным данным, и т. д.
И ещё один важный момент: в рамках данного мероприятия Роскомнадзор обязательно обратит внимание на наличие организации в реестре операторов персональных данных и на актуальность сведений в нём. Чаще всего нарушения связаны с подачей уведомления в Роскомнадзор: либо оно не отправлено, либо содержит устаревшую или недостоверную информацию, либо информация в уведомлении и локальных документах оператора разнится.
− Вера, вы перечислили много нарушений, а какие встречаются чаще всего?
− Повторюсь, на первом месте нарушения, связанные именно с уведомлением. И позаботиться об отправке/актуализации уведомления надо заранее. Потому что подготовить и отправить уведомление можно за несколько дней, но стоит учесть, что его обработка и внесение изменений в реестр операторов персональных данных занимает до 30 дней.
− А чем грозит отсутствие уведомления или несоответствие сведений в нём?
− Этот вопрос регулируется статьёй 19.7 КоАП РФ и влечёт предупреждение или наложение административного штрафа.
− По вашим наблюдениям, организации из каких сфер попадают под мероприятия систематического наблюдения Роскомнадзора чаще всего?
− Мы видели уже много подобных писем, поэтому можем сказать, что запрос могут прислать в любую организацию. Но, на наш взгляд, под особым контролем государственные и муниципальные органы.
− В завершение нашего разговора скажите, пожалуйста, экосистема приложений «Альфа» помогает пройти проверки Роскомнадзора?
− Как я всегда говорю, АльфаДок – это не волшебная палочка, которая всё за вас сделает. Это инструмент, который в разы сокращает временные и трудозатраты специалиста организации при подготовке к проверкам регуляторов. При работе с АльфаДок специалист разово вносит в систему данные, на основании которых и формируются все необходимые документы, и отправляется уведомление в Роскомнадзор. Это позволяет обеспечить единство документации и сведений в реестре операторов персональных данных и избежать самой распространённой ошибки – несоответствия сведений.
− Благодарю, Вера, за очень важную информацию.
О возможностях экосистемы приложений «Альфа» продолжим разговор в следующий раз. Не пропустите!
Беседовала Людмила Егорова