Комментарии.org Комментарии Российского законодательства
Научно-практический постатейный комментарий к Федеральному закону "О персональных данных"
Материал представляет собой постатейный научно-практический комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных". В нем рассматриваются правоотношения, складывающиеся в процессе получения, хранения и обработки персональных данных на территории Российской Федерации.
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

Комментарий к статье 23

1. Комментируемая статья посвящена одному из ключевых элементов системы защиты персональных данных - уполномоченному органу по защите прав субъектов персональных данных. Создание такого органа предусмотрено Конвенцией 1981 г. в общем виде (ст. 13 (2)(а)), при этом определение объема полномочий такого органа оставлено на усмотрение национального законодательства государств - участниц Конвенции.
В Российской Федерации таким уполномоченным органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Соответствующие положения предусмотрены в п. 1 Постановления Правительства РФ от 16 марта 2009 г. N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций".
2. Согласно ч. 2 комментируемой статьи Роскомнадзор рассматривает обращения субъектов персональных данных по поводу соответствия содержания персональных данных и способов их обработки целям их обработки. По мнению представителей Роскомнадзора, в данном случае речь идет о некоем особом виде обращений граждан, не относящемся к тем их разновидностям, которые предусмотрены положениями Федерального закона "О порядке рассмотрения обращений граждан Российской Федерации", в силу "уникальности вопроса, который подлежит разрешению в связи с рассмотрением данного обращения", а именно - о "просьбе заявителя произвести экспертную оценку соответствия содержания и способа обработки персональных данных целям их обработки" <1>. Таким образом, в настоящее время имеется пробел в части регламентации порядка реализации Роскомнадзором полномочия, указанного в комментируемом положении.
--------------------------------
<1> См.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 142.

В проекте постановления Правительства РФ о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации предполагается внести новую форму контрольно-надзорных мероприятий под названием "Анализ и оценка состояния исполнения требований законодательства Российской Федерации", в рамках которой Роскомнадзор на основании представленных в инициативном порядке государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом документов, локальных актов и иной информации, подтверждающих выполнение требований законодательства РФ при осуществлении ими деятельности по обработке персональных данных, проводит соответствующий анализ. Порядок, условия проведения анализа и оценки состояния исполнения требований законодательства РФ, перечень документов, локальных актов, информации, необходимый для предоставления, будут определены Роскомнадзором отдельно. По итогам проведенного анализа и оценки состояния исполнения требований законодательства Роскомнадзор отправляет в адрес заявителя письмо с заключением о соответствии его деятельности законодательству РФ в области персональных данных. При этом в случае наличия фактов несоответствия представленных документов, локальных актов и информации законодательству РФ в области персональных данных Роскомнадзор выставляет требование заявителю об устранении выявленных нарушений, которое должно быть исполнено в течение 10 календарных дней с момента получения письма.
3. В ч. 3 комментируемой статьи перечисляются полномочия Роскомнадзора, которые данный орган вправе реализовывать при осуществлении своей деятельности. При этом далеко не все из них реально используются на практике в силу отсутствия необходимой нормативно-правовой базы. Роскомнадзор вправе:
- требовать от физических и юридических лиц предоставления информации, необходимой для реализации Роскомнадзором своих полномочий. Указанная информация должна быть предоставлена на безвозмездной основе в течение 30 календарных дней с момента получения запроса (ч. 4 ст. 20 настоящего Закона). Следует отметить, что направление Роскомнадзором запросов о предоставлении информации представляет собой реализацию самостоятельного правомочия и может осуществляться вне рамок контрольно-надзорных мероприятий <1>. Как правило, Роскомнадзор реализует указанное право при рассмотрении жалоб субъектов персональных данных, запрашивая у оператора информацию, касающуюся обстоятельств, указанных в жалобе. Нередко Роскомнадзор направляет операторам запросы о предоставлении уведомления о намерении осуществлять обработку персональных данных либо сведений с указанием законных оснований, в соответствии с которыми оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа. Непредоставление информации по запросу Роскомнадзора или несвоевременное ее предоставление, а также предоставление информации в неполном объеме или в искаженном виде образуют состав административного правонарушения по ст. 19.7 КоАП РФ;
--------------------------------
<1> См.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. М., 2015. С. 146.

- осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий. О форме, содержании и порядке подачи уведомления об обработке персональных данных в Роскомнадзор см. комментарий к ст. 22 настоящего Закона;
- требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных. Об обязанностях оператора, возникающих в связи с реализацией Роскомнадзором данного полномочия, см. комментарий к ст. 21 настоящего Закона;
- ограничивать доступ к информации, обрабатываемой с нарушением законодательства РФ в области персональных данных. Порядок реализации этого полномочия установлен в ст. 15.5 Закона об информации, вступившей в силу 1 сентября 2015 г. Данная статья предусматривает создание и ведение Роскомнадзором реестра нарушителей законодательства о персональных данных, в который вносятся сведения об операторе и о соответствующем интернет-ресурсе, на котором осуществляется обработка персональных данных с нарушением законодательства РФ. При этом указанная статья не содержит перечня конкретных нарушений, которые могут послужить основанием для внесения в такой реестр нарушителей. В этой связи любая информация, размещение которой на сайте в сети Интернет нарушает права субъекта персональных данных или является следствием несоблюдения какой-либо обязанности, возложенной на оператора персональных данных, или связанное с ней нарушение, которое не было устранено в процессе взаимодействия Роскомнадзора с провайдером хостинга и владельцем сайта, могут стать причиной блокировки такого информационного ресурса. При этом основанием для внесения сведений в реестр нарушителей с последующей блокировкой может выступать только вступившее в силу решение суда, в котором установлен факт нарушения законодательства о персональных данных, имевший место в сети Интернет. Нарушения, допущенные при неавтоматизированной обработке персональных данных, не могут являться основанием для блокировки официального сайта оператора персональных данных в порядке, установленном комментируемой статьей. Аналогичным образом не могут являться основаниями для такой блокировки нарушения, хотя и связанные с автоматизированной обработкой, но не имеющие непосредственного отношения к блокируемому информационному ресурсу. Процедура блокировки и механизм взаимодействия Роскомнадзора с провайдером хостинга, владельцем сайта в сети Интернет и оператором связи детально прописаны в ст. 15.5 Закона об информации;
- принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона. Как отмечается представителями Роскомнадзора, в настоящее время порядок реализации данного полномочия не урегулирован законодательством, в связи с чем оно фактически не применяется <1>. Однако ситуация может измениться с принятием постановления Правительства РФ, регламентирующего порядок осуществления Роскомнадзором контрольно-надзорной деятельности;
--------------------------------
<1> См.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. С. 148.

- обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде. В тех случаях, когда Роскомнадзор представляет в суде интересы конкретных субъектов персональных данных, в суд должны быть представлены обращения указанных граждан с просьбой о защите их прав в суде, в противном случае иск Роскомнадзора подлежит оставлению без движения (Апелляционные определения Суда Ямало-Ненецкого автономного округа от 3 марта 2016 г. по делу N 33-608/2016; Московского городского суда от 29 декабря 2014 г. по делу N 33-42233/14). Роскомнадзор, подавая заявление в защиту законных интересов других лиц, пользуется всеми процессуальными правами истца, в том числе правом выбора подсудности, предусмотренным п. 6.1 ст. 29 ГПК РФ, в связи с чем не связан подсудностью по месту жительства защищаемых субъектов персональных данных. Кроме того, положения п. 10 ч. 3 ст. 402 ГПК РФ наделяют Роскомнадзор правом обращаться в российский суд и в тех случаях, когда ответчиком выступает иностранное лицо;
- направлять в ФСБ и (или) ФСТЭК сведения, сообщенные оператором в уведомлении, указанном в ст. 22 Закона о персональных данных, и содержащие описание организационных и технических мер по защите персональных данных, в том числе сведения о наличии шифровальных (криптографических) средств и наименовании этих средств. Такого рода сведения могут использоваться ФСБ и ФСТЭК для проведения контрольно-надзорных мероприятий в пределах их компетенции;
- направлять заявления в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии, если имело место нарушение оператором условия лицензии о запрете на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных. Как отмечается представителями Роскомнадзора, на практике указанное полномочие не реализуется. Во-первых, отсутствуют лицензии с условием запрета на передачу персональных данных третьим лицам без согласия субъекта персональных данных. Во-вторых, не установлен порядок приостановления действия или аннулирования соответствующей лицензии по заявлению Роскомнадзора <1>;
--------------------------------
<1> См.: Федеральный закон "О персональных данных": Научно-практический комментарий / Под ред. зам. руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжевой. С. 152.

- направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью. Об уголовной ответственности за деяния, связанные с нарушением законодательства о персональных данных, см. комментарий к ст. 24 настоящего Закона;
- вносить в Правительство РФ предложения о совершенствовании нормативно-правового регулирования защиты прав субъектов персональных данных. Несмотря на то что данное право предоставлено Роскомнадзору федеральным законом, его реализация во многом заблокирована существующей административной системой государственных органов. Федеральные службы по общему правилу не наделены возможностью вносить проекты нормативно-правовых актов, если только такие службы не подчинены напрямую Президенту РФ или Правительству РФ. В соответствии с Постановлением Правительства РФ от 2 июня 2008 г. N 418 "О Министерстве связи и массовых коммуникаций Российской Федерации" функции по нормативно-правовому регулированию в сфере обработки персональных данных осуществляет Минкомсвязи России. Однако, несмотря на административные нюансы, Роскомнадзор de facto играет важную роль в разработке нормативно-правовых актов, связанных с обработкой персональных данных;
- привлекать к административной ответственности лиц, виновных в нарушении Закона о персональных данных. Роскомнадзор вправе составлять протоколы об административных правонарушениях по ст. 19.7 КоАП РФ "Непредставление сведений (информации)", при этом рассмотрение дела об административном правонарушении осуществляется мировым судьей. С 1 июля 2017 г. полномочия по возбуждению дел об административных правонарушениях по ст. 13.11 КоАП РФ "Нарушение законодательства Российской Федерации в области персональных данных" переходят от прокуратуры к Роскомнадзору (Федеральный закон от 7 февраля 2017 г. N 13-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"). Дела об административном производстве по данной статье по-прежнему подлежат рассмотрению судом.
4. Часть 4 комментируемой статьи возлагает на Роскомнадзор обязанность обеспечивать конфиденциальность персональных данных, ставших доступными в ходе осуществления им своих полномочий. В отношении таких персональных данных Роскомнадзор будет выступать оператором со всеми вытекающими правами и обязанностями, лишь с тем изъятием, что все соответствующие данные должны обрабатываться таким способом, который исключает возможность доступа к ним третьих лиц, за исключением случаев, когда это необходимо для реализации полномочий Роскомнадзора. Например, не будет соответствовать требованиям комментируемого положения публикация в сети Интернет, в том числе в аккаунтах Роскомнадзора, описания случая из практики с приведением персональных данных заявителя, даже если такие данные сами по себе стали общедоступными.
Рассматриваемое положение является имплементацией соответствующей обязанности, предусмотренной в ч. 2 ст. 15 Конвенции 1981 г. Аналогичные положения содержатся и в европейском законодательстве.
5. Одной из основных обязанностей Роскомнадзора является организация защиты прав субъектов персональных данных. Указанная обязанность реализуется посредством выполнения Роскомнадзором всего комплекса полномочий, однако ключевое значение в достижении указанной цели имеют контрольно-надзорные мероприятия.
Нормативно-правовая база. Основным документом в указанной сфере является Административный регламент исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный Приказом Минкомсвязи России от 14 ноября 2011 г. N 312 (далее - Административный регламент N 312). При этом необходимо отметить, что с 1 сентября 2015 г. отношения по контролю и надзору за соблюдением законодательства о персональных данных выведены из сферы действия Федерального закона от 26 декабря 2008 г. N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Ожидается, что в обозримом будущем будет принято постановление Правительства РФ, которое утвердит Положение о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства РФ (далее - проект Положения о государственном контроле и надзоре). На момент написания настоящей работы оно уже прошло ряд процедур межведомственных согласований. Для обеспечения возможности принятия такого акта Федеральным законом от 22 февраля 2017 г. N 16-ФЗ в комментируемую статью была введена ч. 1.1, согласно которой порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных устанавливается Правительством РФ. Предполагается, что после принятия соответствующего правительственного постановления будет принят и новый административный регламент осуществления Роскомнадзором контрольно-надзорной деятельности в сфере персональных данных.
Предметы контрольно-надзорной деятельности. В соответствии с п. 5 Административного регламента N 312 предметами контрольно-надзорной деятельности Роскомнадзора выступают:
1) документы, характер информации в которых предполагает или допускает включение в них персональных данных;
2) информационные системы персональных данных;
3) деятельность по обработке персональных данных.
Административный регламент N 312 в п. 67.1 предусматривает приблизительный перечень документов, которые могут выступать предметами проверки, в который вошли:
- уведомление об обработке персональных данных. В случае непредставления оператором уведомления по какому-либо из оснований, указанных в ст. 22 Закона о персональных данных, на практике Роскомнадзор нередко требует от оператора справку с указанием такого основания и приложением подтверждающих документов;
- локальные акты оператора, регламентирующие порядок и условия обработки персональных данных;
- письменное согласие субъекта персональных данных на их обработку. Если соответствующее согласие является составной частью договора, то обычно анализируются и типовые формы такого договора;
- документы, подтверждающие соблюдение требований законодательства РФ при обработке специальных категорий и биометрических персональных данных, в частности наличие у оператора соответствующих оснований для их обработки;
- документы, подтверждающие уничтожение оператором персональных данных по достижении цели их обработки;
- документы, необходимые для проверки фактов о возможных нарушениях законодательства о персональных данных, изложенных в обращениях граждан и информации, поступившей в Роскомнадзор;
- документы, подтверждающие выполнение оператором предписаний об устранении ранее выявленных нарушений законодательства о персональных данных.
Данный перечень документов не является исчерпывающим: в ходе проведения проверки Роскомнадзор может запросить самые разные документы, которые могут иметь отношение к процессам обработки персональных данных проверяемым оператором. К таким документам могут относиться договоры и иные документы, в которых фигурируют персональные данные; копии штатного расписания и т.п.
Особое внимание сотрудники Роскомнадзора при проведении проверок уделяют информационным системам персональных данных, используемым оператором. Чем подробнее документировано описание такой системы, а также процессов обработки персональных данных в ней, тем конструктивнее взаимодействие оператора и Роскомнадзора в ходе проведения проверки.
Крайне целесообразно иметь документы, содержащие описание каждой информационной системы персональных данных с указанием ее наименования, назначения и функционала (здесь могут помочь руководства пользователей или иные сопроводительные документы, относящиеся к системе), места нахождения баз данных. Кроме того, должны быть документированы категории субъектов, персональные данные которых обрабатываются (работники, их родственники, уволенные лица, соискатели, клиенты, посетители и т.п.); категории обрабатываемых персональных данных; источники получения таких данных (непосредственно от субъекта, от определенных третьих лиц); описание информационных потоков персональных данных в рамках информационной системы (порядка ввода, сбора, загрузки, хранения, чтения, использования, передачи, доступа, распространения, изменения, удаления, уничтожения); информация о порядке резервного копирования сведений, включая периодичность копирования, порядок и места хранения резервных копий, порядок уничтожения резервных копий и иные релевантные сведения.
В случае проведения выездной проверки сотрудник Роскомнадзора может проверить достоверность и полноту указанных сведений, что называется, на собственном опыте, попросив продемонстрировать процедуры ввода данных в информационную систему, их последующей обработки в ней, включая удаление.
При наличии у оператора интернет-ресурсов или мобильных приложений, посредством которых осуществляются сбор и обработка персональных данных, ему необходимо быть готовым, помимо прочего, предоставить Роскомнадзору: 1) информацию о назначении и функционале таких ресурсов; 2) перечень данных, собираемых и обрабатываемых с их использованием; 3) сведения о привлеченных оператором "обработчиках" персональных данных, обслуживающих такие ресурсы (провайдерах "облачных" сервисов, хостинга, сервисов аналитики данных и т.п.), с приложением договоров, заключенных с ними; 4) сведения об используемых базах данных (с указанием их местонахождения и принадлежности), в которых хранятся и обрабатываются данные, полученные с помощью интернет-сервисов; копии документов и локальных актов, изданных оператором, по вопросам обработки персональных данных пользователей интернет-сервиса или мобильного приложения; копии договоров, заключенных с рекламными организациями и иными лицами, которым предоставляются собираемые данные о пользователях, в том числе в обезличенном виде.
Так же как и в случае с информационными системами персональных данных, сотрудник Роскомнадзора может сам протестировать процессы обработки персональных данных в рамках интернет-ресурса или мобильного приложения, зарегистрировавшись и совершая соответствующие действия с введенными им данными.
Административный регламент N 312 предусматривает положение о праве Роскомнадзора в рамках проводимой проверки привлекать экспертов "для оценки эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных" (п. 42.1). Не очень понятно, как соотносится данное право Роскомнадзора с общими рамками проведения проверок, обозначенных в иных положениях данного Регламента, согласно которым исследование (обследование) информационной системы персональных данных осуществляется Роскомнадзором лишь "в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней" (п. 67.2). Нигде в этом Административном регламенте не предусмотрено право Роскомнадзора проверять соответствие принимаемых оператором технических мер по защите персональных данных в информационных системах требованиям законодательства. Административный регламент прямо указывает на то, что при проведении проверки должностные лица Роскомнадзора не вправе проверять выполнение обязательных требований и требований, установленных нормативными правовыми актами в области персональных данных, если такие требования не относятся к полномочиям Роскомнадзора (п. 74). Возможно, в новом положении о порядке осуществления контрольно-надзорной деятельности вопрос о наличии или отсутствии полномочий Роскомнадзора по проверке соответствия принятых оператором технических мер защиты персональных данных требованиям законодательства будет решен в явной форме.
Формы контрольно-надзорной деятельности. Основной административной процедурой, осуществляемой в рамках данной деятельности, является проверка. Действующее законодательство предусматривает возможность осуществления плановых и внеплановых проверок, которые, в свою очередь, могут проводиться в форме документарной или выездной проверки. Форма проведения проверки определяется Роскомнадзором самостоятельно, с учетом оснований, предусмотренных п. п. 33, 38 Административного регламента N 312.
Плановая проверка проводится на основании ежегодного плана проведения плановых проверок территориального органа Роскомнадзора на текущий календарный год.
Такой план размещается на официальном сайте территориального органа Роскомнадзора и с 1 сентября 2015 г. более не требует согласования с прокуратурой. Основаниями для включения проверки в план являются начало осуществления оператором деятельности по обработке персональных данных, а также истечение трех лет со дня государственной регистрации оператора или окончания проведения последней плановой проверки оператора (п. 33 Административного регламента N 312). В проекте Положения о государственном контроле и надзоре данный срок предполагается снизить до двух лет, а также расширить основания для включения организаций в план проверок, например при обработке оператором персональных данных значительного количества субъектов либо при обработке им биометрических и специальных категорий персональных данных.
О проведении плановой проверки оператор уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Роскомнадзора или его территориального органа почтовым отправлением с уведомлением о вручении или иным доступным способом (п. 34 Административного регламента N 312). Следует отметить, что данное положение предусматривает, что уведомление должно быть получено оператором не менее чем за три рабочих дня до начала проверки. Вполне естественно, что при отсылке соответствующего почтового отправления Роскомнадзор должен учитывать сроки "почтового пробега", за исключением случаев, когда оператор был параллельно уведомлен иным "доступным способом". Такой способ не конкретизируется в Административном регламенте, но представляется, что как таковой может использоваться уведомление по факсу или электронной почте, которые указаны оператором в качестве контактов в уведомлении об обработке персональных данных или на официальном веб-сайте компании.
Внеплановая проверка проводится Роскомнадзором по следующим основаниям:
- истечение срока исполнения оператором ранее выданного предписания об устранении выявленного нарушения положений законодательства о персональных данных;
- поступление в Роскомнадзор обращений граждан или иных лиц, информации от государственных или муниципальных органов, из СМИ, в том числе о фактах причинения вреда жизни, здоровью граждан или возникновения угрозы такового;
- исполнение поручений Президента РФ, Правительства РФ или прокуратуры.
В проекте Положения о государственном контроле и надзоре предполагается расширить перечень таких оснований и включить в него непредоставление (неполное предоставление) информации оператором по запросу Роскомнадзора; доказательные обращения граждан (в данном случае предполагается необходимость согласования внеплановой проверки с прокуратурой); выявление факта нарушения оператором законодательства о персональных данных в ходе мероприятий систематического наблюдения и некоторые другие основания.
О проведении внеплановой выездной проверки оператор уведомляется Роскомнадзором или его территориальным органом не менее чем за 24 часа до начала ее проведения любым доступным способом. Исключение составляют случаи, когда в результате деятельности оператора причинен или причиняется вред жизни, здоровью граждан (п. п. 40, 41 Административного регламента N 312). В таких случаях предварительного уведомления не требуется, что, однако, не означает, что Роскомнадзору не придется в случае оспаривания решений, принятых по итогам проверки, доказывать наличие обстоятельств, свидетельствующих о причинении вреда жизни и здоровью лица в ходе обработки его персональных данных.
Документарная проверка проводится по месту нахождения Роскомнадзора (его территориального органа), ее предметом являются документы, используемые оператором при осуществлении деятельности по обработке персональных данных и связанные с исполнением требований законодательства о персональных данных и предписаний Роскомнадзора. Уведомление о проведении документарной проверки направляется в адрес оператора не позднее чем в течение трех рабочих дней до начала ее проведения. Роскомнадзор формирует исходный запрос документов для проверки, в случае недостаточности, неполноты или сомнений в достоверности представленных в ответ документов отправляется дополнительный запрос. Непредставление оператором дополнительных документов и (или) пояснений в установленные сроки (10 рабочих дней) может являться основанием для проведения выездной проверки.
Выездная проверка проводится по месту нахождения оператора и (или) по месту фактического осуществления его деятельности, ее предметом являются не только содержащиеся в документах оператора сведения, но и принимаемые им меры по исполнению требования законодательства о персональных данных.
Выездная проверка проводится в случае, если при документарной проверке не представляется возможным: 1) удостовериться в полноте и достоверности сведений, содержащихся в уведомлении об обработке персональных данных, и иных имеющихся в распоряжении Роскомнадзора документов оператора или 2) оценить соответствие деятельности оператора требованиям, установленным законодательством о персональных данных, без проведения соответствующей проверки (п. 73.2 Административного регламента N 312).
Сроки проведения проверок. Срок проведения как плановой, так и внеплановой проверки не может превышать 20 рабочих дней. По решению руководителя Роскомнадзора (его территориального подразделения) он может быть продлен, но не более чем на 20 рабочих дней. Срок проведения проверок в отношении оператора, который осуществляет свою деятельность на территориях нескольких субъектов РФ, устанавливается территориальными органами Роскомнадзора, участвующими в проверке, отдельно по каждому филиалу, представительству, обособленному структурному подразделению оператора. При этом общий срок проведения проверки не может превышать 60 рабочих дней (п. п. 20, 21, 25 Административного регламента N 312).
Важные аспекты процесса проведения проверок. В данном случае обратим внимание на наиболее критичные аспекты процесса проведения проверки.
Проверка проводится только теми должностными лицами Роскомнадзора, которые указаны в приказе о ее проведении, при этом такие лица обязаны предъявлять свои служебные удостоверения и копии приказа перед началом выездной проверки (п. п. 62, 73.2.3 Административного регламента N 312).
Роскомнадзор не вправе осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя или иного уполномоченного представителя оператора, за исключением случаев проведения такой проверки в связи с причинением вреда жизни, здоровью граждан (п. 62 Административного регламента N 312). Представляется, что в сфере персональных данных это исключение будет носить действительно исключительный характер, подтверждая общее правило о необходимости присутствия уполномоченного лица оператора при проведении проверки. При этом руководитель или иной уполномоченный представитель оператора вправе давать разъяснения по вопросам, относящимся к предмету проверки, представлять информацию и документы, относящиеся к предмету проверки, а также ознакомиться с результатами проверки и сделать в акте проверки отметки о своем согласии или несогласии с результатами проверки или отдельными действиями проверяющих. Уклонение руководителя от присутствия в процессе проведения проверки или назначения иного уполномоченного представителя может расцениваться как воспрепятствование проведению проверки и влечь административную ответственность (см. комментарий к ст. 24 Закона).
Роскомнадзор не вправе требовать представления оператором документов или информации, если они не относятся к предмету проверки, а равно требовать представления сведений и документов, которые могут быть получены Роскомнадзором от иных органов государственного контроля (надзора), органов муниципального контроля (п. 74.3 Административного регламента N 312).
Роскомнадзор не вправе изымать оригиналы документов или требовать нотариального заверения копий документов (п. п. 74.3, 70.7 Административного регламента N 312).
Акты, принимаемые по результатам проверки. По результатам проверки составляется акт, в котором, помимо прочего, должны содержаться следующие заключения:
- об отсутствии в деятельности оператора нарушений требований законодательства РФ в области персональных данных;
- о выявленных в деятельности оператора нарушениях требований законодательства РФ в области персональных данных с указанием конкретных статей и (или) пунктов нормативных правовых актов.
В случае выявления по результатам проверки нарушений требований законодательства РФ в области персональных данных оператору вместе с актом проверки выдается предписание об устранении выявленных нарушений.
Если в ходе или по результатам проверки выявляются обстоятельства, свидетельствующие о наличии состава административного правонарушения, в том числе при невыполнении оператором в установленный срок ранее выданного предписания об устранении выявленного нарушения, должностные лица Роскомнадзора составляют п
Безымянная страница

Rambler's Top100
На правах рекламы:
Copyright 2007 - 2018 гг. Комментарии.ORG. All rights reserved.
При использовании материалов сайта активная гипер ссылка  обязательна!