Тогда мы идем к вам

При каких условиях в организации может начаться проверка защиты персданных

Государственный мораторий на проверки бизнеса был продлен до конца 2024 года, однако при несоблюдении требований к защите персональных данных компаниям светит внеплановая проверка Роскомнадзора. Свой взгляд на «индикаторы риска» читателям RSpectr представляют руководитель практики интеллектуальной собственности, IT и защиты данных Savina Legal, преподаватель НИУ ВШЭ Артем Евсеев и младший юрист практики интеллектуальной собственности, IT и защиты данных Savina Legal Елизавета Кирдяшова.

ВНЕПЛАНОВЫЕ ПРОВЕРКИ

В конце прошлого года председатель правительства Михаил Мишустин подписал постановление о продлении действующего моратория на проверки бизнеса до конца 2024 года. Он отметил, что мораторий хорошо себя зарекомендовал, позволил серьезно – почти в пять раз – снизить количество проверок по сравнению с 2019 годом. Кроме того, бизнес смог больше ресурсов направить на выполнение своих текущих задач, а также на расширение проектов и освоение новых рынков сбыта, подчеркнул премьер-министр.

Изначально государственный мораторий на различные регуляторные проверки был введен в качестве мер поддержки бизнеса на фоне коронавирусной инфекции. В последующем, как видно, он неоднократно продлялся и действует по настоящее время.

Только в 2023 году во Всемирную сеть попали 1,12 млрд записей, содержащих персональные данные (ПД) россиян, что почти на 60% выше показателя 2022-го, говорится в исследовании InfoWatch. Всего из российских компаний утекло 95 крупных баз данных.

Таким образом, в свете участившихся случаев утечек, встает вопрос об актуальности указанного моратория и возможности его снятия. В последнее время эти призывы обрели материальное выражение.

В настоящее время, в соответствии с п. 3 постановления правительства РФ от 10.03.2022 № 336,

мораторий по общему правилу распространяется на плановые проверки за исключением некоторых особых случаев

Проведение внеплановых проверок допускается лишь по согласованию с органами прокуратуры и исключительно в следующих случаях:

• при выявлении индикаторов риска нарушения обязательных требований;
• по решению руководителя, заместителя руководителя Роскомнадзора в отношении организаций, которые допустили утечку персональных данных.

В редких случаях допустимо проводить проверки без согласия прокуратуры, если есть прямое поручение президента РФ или председателя правительства и др.

ИНДИКАТОРЫ РИСКА

Так, регуляторы в силу подп. 1 ч. 1 ст. 57 федерального закона №248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» устанавливают каждый в своей сфере компетенции так называемые «индикаторы риска».

Индикаторы являются результатом оценки вероятности причинения вреда (ущерба) и необходимости проведения проверочного мероприятия

Приказом Минцифры от 15.11.2021 № 1187 утвержден перечень индикаторов риска нарушения обязательных требований, используемый при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных. В него включены следующие индикаторы:

• если в течение одного года было обнаружено 10 и более противоречий между теми сведениями, которые направили субъекты персональных данных в Роскомнадзор, и теми сведениями, которые предоставил Роскомнадзору оператор;
• если в течение одного года было обнаружено 10 и более случаев утечки персональных данных; при этом утечка сама по себе может являться основанием для проведения внеплановой проверки, но только если будет инициирована руководителем или заместителем руководителя федерального Роскомнадзора;
• если Роскомнадзор в 3 и более случаях установил противоречия между информацией в уведомлениях, которые направила ему организация, с теми сведениями, которые размещены у данной организации на сайте в интернете. Например, такая ситуация может возникнуть, когда при подаче уведомлении была указана информация о том, что оператор не осуществляет трансграничную передачу персональных данных, а исходя из политики обработки персональных данных, размещенной на сайте, будет обнаружено, что такая передача осуществляется, в частности, при использовании Google Analytics.

Нужно помнить, что с 26 декабря 2022 года была введена новая форма уведомления об обработке персональных данных, которая требует указать значительно больший объем сведений, чем прежде: для каждой отдельной цели обработки данных следует указывать круг субъектов, перечень обрабатываемых данных, способы, условия обработки и пр.

В связи с этим достаточно легко допустить небольшую ошибку при заполнении гораздо более подробного формуляра. По этой причине

необходимо четко соотносить ту информацию, которую вы указываете в уведомлении, с той, которая размещена на ваших сайтах

в мобильных приложениях и на других ресурсах. Если же Роскомнадзор обнаружит три и более несоответствия, это будет являться самостоятельным основанием для организации внеплановой выездной проверки.

Отдельно необходимо отметить, что в настоящее время законом не предусмотрена ответственность за неподачу уведомления об обработке персональных данных в адрес Роскомнадзора.

Однако Госдума уже приняла в первом чтении законопроект о введении ответственности за неподачу или несвоевременную подачу такого уведомления, согласно которому будет

введена административная ответственность в виде штрафа в размере от 30 тыс. до 50 тыс. рублей для должностных лиц и от 100 тыс. до 300 тыс. рублей для юридических лиц

Поэтому в любом случае операторам в ближайшее время потребуется подать такое уведомление, до этого заблаговременно обеспечив комплаенс с требованиями законодательства в сфере персональных данных.

ПРОЦЕДУРА СОГЛАСОВАНИЯ

Приказ генпрокуратуры от 27.03.2009 № 93 «О реализации Федерального закона от 26.12.2008 № 294-ФЗ “О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля”» (вместе с «Порядком согласования в органах прокуратуры проведения внеплановых выездных проверок юридических лиц и индивидуальных предпринимателей») устанавливает процедуру согласования проверки с органами прокуратуры.

Так, заявление от Роскомнадзора должно быть направлено в ту прокуратуру, на территории подведомственности которой осуществляет свою деятельность проверяемая компания. В случае если компания осуществляет свою деятельность на территории всей России, например, через интернет, в такой ситуации получается, что любое управление Роскомнадзора может обратиться в прокуратуру в своем регионе за согласованием соответствующей проверки.

Прокуратура рассматривает такие заявления в течение одного рабочего дня, следующего за днем их регистрации в прокуратуре. Поэтому

в случае необходимости Роскомнадзор может оперативно заручиться согласованием от прокуратуры и в сжатые сроки провести внеплановую проверку

В такой ситуации полагаться на мораторий будет неразумно.

Несмотря на то, что проверка будет внеплановой, о ее проведении организация все равно будет предупреждена заранее путем направления копии решения о проведении выездной проверки не позднее чем за двадцать четыре часа до ее начала.

СПЕЦИАЛЬНЫЙ РЕЖИМ

Для аккредитованных ИТ-компаний установлено лишь одно исключение из-под действия моратория на проверочные мероприятия. В соответствии с п 2 (1) Постановления правительства от 24.03.2022 № 448 Роскомнадзор может проводить при согласии прокуратуры

проверки в отношении таких организаций, только если ими была допущена утечка персональных данных

Поэтому Роскомнадзор не сможет инициировать процедуру согласования проверки с прокуратурой, если им были выявлены лишь индикаторы риска, установленные Минцифры.

Однако с учетом постепенного снятия моратория для ИТ-компаний на иные виды проверок, например, в сфере антимонопольного регулирования, представляется, что рано или поздно мораторий на проверки Роскомнадзора также будет сниматься.

Стоит помнить, что

мораторий не распространяется также на проведение контрольных (надзорных) мероприятий без взаимодействия с контролируемой организацией

Проведение таких мероприятий не требует согласования прокуратуры. К подобным мероприятиям, в частности, относятся:

• мониторинг сайтов, социальных сетей, мобильных приложений, СМИ и иных информационных ресурсов, которые в том числе могут принадлежать проверяемой организации;
• анализ той информации, которую предоставляет организация иным государственным органам, – такую информацию Роскомнадзор получает в рамках межведомственного информационного взаимодействия.

Таким образом, через указанную процедуру Роскомнадзор может выявить индикаторы риска,

и на этом основании обратиться в прокуратуру для согласования проведения внеплановых контрольных (надзорных) мероприятий

Также стоит помнить, что мораторий не распространяется на письменные запросы Роскомнадзора, которые он может делать по жалобе субъекта персональных данных, так как это не является контрольным (надзорным) мероприятиям, а лишь частью процедуры рассмотрения обращения гражданина.

Например, правонарушение, предусмотренное ч. 1 ст. 13.11 КоАП РФ, Управлением Роскомнадзора по Белгородской области

было выявлено не в ходе проведения контрольно-надзорных мероприятий

на которые установлен мораторий, а в ходе проверки обращения физического лица. Дело было возбуждено прокуратурой г. Белгорода на основании поступивших от Управления Роскомнадзора по Белгородской области материалов.

Помимо вышеприведенных случаев, которые не подпадают под действие моратория, интересна также позиция представителя Управления Роскомнадзора по ЦФО в одном из судебных дел – мораторий на регуляторные проверки не распространяется на иностранных юридических лиц. В данном деле Роскомнадзор возбудил дело об административном правонарушении в связи с тем, что один из инспекторов Роскомнадзора обнаружил признаки административного правонарушения, совершенного иностранной организацией.

Таким образом, постепенно мораторий на проведение проверок начинает сниматься за счет появления все новых исключений на проведение внеплановых мероприятий федерального государственного контроля (надзора). В связи с этим всем организациям

следует обратить особое внимание на случаи утечки персональных данных и на установленные индикаторы риска

на основании которых могут осуществляться проверки.

По этой причине в настоящее время операторам и обработчикам ПД стоит задуматься над доработкой текущего или разработкой нового пакета локальных актов в сфере персональных данных (положений, регламентов), форм согласий на обработку и передачу данных, политик конфиденциальности. Это позволит бесшовно адаптироваться к постепенному снятию моратория и снизить риски привлечения к ответственности, в том числе в виде оборотных штрафов.

Правовые позиции, приводимые в настоящей работе, не представляют собой юридическую консультацию и не отражают позицию организаций, с которыми авторов связывают (связывали) трудовые, гражданско-правовые и иные отношения, а также не могут использоваться как предпосылки для формирования представления о возможных правовых позициях таких организаций в будущем. Высказанные в статье суждения отражают личное мнение авторов.

Изображение: Adobe Stock