27 марта 2022
11 минут
874
37

Профилактические визиты Роскомнадзора

Филиппович Максим Владиславович
Автор статьи
Партнер, эксперт сервиса LegalBox
В 2022 году Роскомнадзор будет проводить такую процедуру, как обязательный профилактический визит Роскомнадзора. Предписания по итогам таких визитов не выносятся. В результате операторам персональных данных просто выдаются рекомендации. Причем, от профилактического визита разрешено отказываться. В рамках профилактического визита инспектор Роскомнадзора может собирать сведения, требуемые для отнесения объектов контроля к категориям риска (ч. 3 ст. 52 248-ФЗ). Разберемся подробнее, что такое профилактические визиты Роскомнадзора, и как они проводятся.
Подготовим бизнес
к профилактическому визиту Роскомнадзора

Профилактический визит Роскомнадзора: что это значит

Такой визит означает одну из форм профилактических мероприятий, предусмотренных ст. 45 Федерального закона от 31 июля 2020 г. № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в РФ» и п. 13 Постановления Правительства РФ от 29 июня 2021 г. № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

В первую очередь, к профилактическому визиту следует готовиться тем компаниям, которые отнесены Роскомнадзором к высокому либо значительному риску. Здесь речь идет о компаниях, операторах персональных данных, на которые в последние годы часто составлялись протоколы об административных правонарушениях.

Также ожидать такой меры могут компании, начинающие свою деятельность по обработке персональных данных. Отправка уведомления в Роскомнадзор - один из признаков начала такой деятельности.

Надзорный орган должен предложить проведение профилактического визита любой организации, начинающей деятельность в той или иной сфере, не позднее чем в течение одного года со дня начала данной деятельности (ч. 7 ст. 52 248-ФЗ).
Пример
Компанию, занимающуюся предоставлением образовательных услуг, посетили сотрудники Роскомнадзора. Они провели профилактическую беседу и проинформировали представителей организации об обязательных требованиях в сфере обработки персональных данных, основаниях и рекомендуемых способах снижения категории риска, а также о видах и сути контрольных мероприятий.
Планы-графики мероприятий опубликованы на официальных сайтах территориальных подразделений Роскомнадзора. Также существует график профилактических визитов Управления Роскомнадзора по ЦФО можно на сайте.
Профилактический визит проводится в компаниях, только начинающих свою деятельность, а также в фирмах, отнесенных Роскомнадзором к высокому /значительному риску. Наши юристы удаленно предоставят вам консультацию при подготовке ко всем видам профилактических и надзорных мероприятий Роскомнадзора. Мы проведем оценку мер защиты персональных данных вашей организации, составим организационно-распорядительные документы и полностью подготовим вас к участию в профилактическом мероприятии.
Партнер, эксперт сервиса LegalBox
Филиппович Максим Владиславович

Процедура профилактического визита

Ниже в таблице рассмотрим, как выглядит процедура профилактического визита Роскомнадзора:
Если в ходе мероприятия будет установлено, что объекты контроля представляют угрозу причинения вреда ценностям, охраняемым законом, или что такой ущерб уже был причинен, то должностное лицо тут же обязано направить информацию об этом уполномоченному должностному лицу контролирующего органа (территориального органа). И уже на базе полученной информации уполномоченное лицо принимает решение о проведении контрольных мероприятий. Это могут быть инспекционный визит, документарная или выездная проверка.
Важно!
При проведении обязательного профилактического визита граждане и организации не должны получать предписания об устранении нарушений обязательных требований. Но если будут обнаружены данные, указывающие на административное правонарушение, должностные лица контролирующего органа имеют право возбудить дело о данном правонарушении (ст. 28.1 КоАП РФ).

Можно ли отказаться от профилактического визита

Отказ от проведения обязательного профилактического визита Роскомнадзора возможен, в соответствии с ч. 6 ст. 52 Федерального закона от 31.07.2020 N 248-ФЗ (ред. от 06.12.2021). Данная норма дает законное право контролируемому лицу отказаться от проведения обязательного профилактического визита.

Для этого необходимо обязательно уведомить контролирующий орган об отказе от профилактической меры не позднее чем за три рабочих дня до назначенной даты его проведения.

Частые вопросы

Что проверяет Роскомнадзор в ходе профилактического визита?
Роскомнадзор проверяет документы оператора, подтверждающие принятие им мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных», перечень которых Роскомнадзор отправляет в приложении к уведомлению о проведении профилактического визита, а также соблюдение оператором требований в области персональных данных.
О чем информируют компанию в ходе профилактического визита?
В процессе такого контрольного мероприятия инспектор информирует представителей компании об обязательных требованиях к деятельности по обработке персональных данных, о соответствии критериям риска, об основаниях и рекомендуемых способах снижения категории риска, а также о видах, содержании и интенсивности надзорных мероприятий в отношении компании, исходя из ее отнесения к той или иной категории риска.
Нужно ли получать отдельно согласие на обработку персональных данных и отдельно на обработку персональных данных, разрешенных для распространения?
Данный вопрос необходимо рассматривать в двух аспектах. С одной стороны, если мы говорим об обработке персональных данных, относящихся к биометрическим и специальным категориям персональных данных, которые предусматривают обязанность получения согласия (за исключением отдельных случаев), то в этом случае оператор сначала должен получить согласие на обработку биометрических, специальных категорий персональных данных, а затем если предполагается распространение этих данных посредством сети интернет, должен получить согласие на распространение персональных данных в соответствии со ст. 10.1 Федерального закона № 152-ФЗ «О персональных данных». С другой стороны, если мы говорим об общих (иных) персональных данных, которые не требуют оформления согласия в письменной форме, то в этом случае согласие на обработку персональных данных путем их распространения требуется только в случае, если у оператора нет иных законных оснований. Но если эти сведения обрабатываться оператором, например, на основании договора, а в дальнейшем он планирует распространять персональные данные, оператор должен будет получить дополнительно согласие на распространение персональных данных.

Заключение

Обязательный профилактический визит Роскомнадзора проводится для того, чтобы по его итогам составить специальные разъяснения рекомендательного характера по организации деятельности по обработке персональных данных контролируемым лицом. Если в ходе посещения выяснилось, что оператор представляет угрозу причинения вреда ценностям, охраняемым законом, или такой вред был причинен, проверяющее лицо должно сразу направить сведения об этом Роскомнадзору для принятия решения о проведении контрольных мероприятий. В результате возможно повышение категории риска и попадание в план проверок Роскомнадзора. При присвоении оператору среднего риска и выше будут запланированы инспекционные визиты и иные формы контроля.
Поможем подготовиться к профилактическому визиту Роскомнадзора
  • /
  • /
27 марта 2022
37
874
11 минут
Профилактические визиты Роскомнадзора
В 2022 году Роскомнадзор будет проводить такую процедуру, как обязательный профилактический визит Роскомнадзора. Предписания по итогам таких визитов не выносятся. В результате операторам персональных данных просто выдаются рекомендации. Причем, от профилактического визита разрешено отказываться. В рамках профилактического визита инспектор Роскомнадзора может собирать сведения, требуемые для отнесения объектов контроля к категориям риска (ч. 3 ст. 52 248-ФЗ). Разберемся подробнее, что такое профилактические визиты Роскомнадзора, и как они проводятся.
Содержание
Профилактический визит Роскомнадзора: что это значит
Такой визит означает одну из форм профилактических мероприятий, предусмотренных ст. 45 Федерального закона от 31 июля 2020 г. № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в РФ» и п. 13 Постановления Правительства РФ от 29 июня 2021 г. № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

В первую очередь, к профилактическому визиту следует готовиться тем компаниям, которые отнесены Роскомнадзором к высокому либо значительному риску. Здесь речь идет о компаниях, операторах персональных данных, на которые в последние годы часто составлялись протоколы об административных правонарушениях.

Также ожидать такой меры могут компании, начинающие свою деятельность по обработке персональных данных. Отправка уведомления в Роскомнадзор - один из признаков начала такой деятельности.

Надзорный орган должен предложить проведение профилактического визита любой организации, начинающей деятельность в той или иной сфере, не позднее чем в течение одного года со дня начала данной деятельности ( ч. 7 ст. 52 248-ФЗ).
Пример

Компанию, занимающуюся предоставлением образовательных услуг, посетили сотрудники Роскомнадзора. Они провели профилактическую беседу и проинформировали представителей организации об обязательных требованиях в сфере обработки персональных данных, основаниях и рекомендуемых способах снижения категории риска, а также о видах и сути контрольных мероприятий.
Планы-графики мероприятий опубликованы на официальных сайтах территориальных подразделений Роскомнадзора. Также существует график профилактических визитов Управления Роскомнадзора по ЦФО можно на сайте.
Профилактический визит проводится в компаниях, только начинающих свою деятельность, а также в фирмах, отнесенных Роскомнадзором к высокому / значительному риску. Наши юристы удаленно предоставят вам консультацию при подготовке ко всем видам профилактических и надзорных мероприятий Роскомнадзора. Мы проведем оценку мер защиты персональных данных вашей организации, составим организационно-распорядительные документы и полностью подготовим вас к участию в профилактическом мероприятии.
Процедура профилактического визита
Ниже в таблице рассмотрим, как выглядит процедура профилактического визита Роскомнадзора:
Если в ходе мероприятия будет установлено, что объекты контроля представляют угрозу причинения вреда ценностям, охраняемым законом, или что такой ущерб уже был причинен, то должностное лицо тут же обязано направить информацию об этом уполномоченному должностному лицу контролирующего органа (территориального органа). И уже на базе полученной информации уполномоченное лицо принимает решение о проведении контрольных мероприятий. Это могут быть инспекционный визит, документарная или выездная проверка.
Важно

При проведении обязательного профилактического визита граждане и организации не должны получать предписания об устранении нарушений обязательных требований. Но если будут обнаружены данные, указывающие на административное правонарушение, должностные лица контролирующего органа имеют право возбудить дело о данном правонарушении (ст. 28.1 КоАП РФ).
Можно ли отказаться от профилактического визита
Отказ от проведения обязательного профилактического визита Роскомнадзора возможен, в соответствии с ч. 6 ст. 52 Федерального закона от 31.07.2020 N 248-ФЗ (ред. от 06.12.2021). Данная норма дает законное право контролируемому лицу отказаться от проведения обязательного профилактического визита.

Для этого необходимо обязательно уведомить контролирующий орган об отказе от профилактической меры не позднее чем за три рабочих дня до назначенной даты его проведения.
Частые вопросы
Что проверяет Роскомнадзор в ходе профилактического визита?
Роскомнадзор проверяет документы оператора, подтверждающие принятие им мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных», перечень которых Роскомнадзор отправляет в приложении к уведомлению о проведении профилактического визита, а также соблюдение оператором требований в области персональных данных.
О чем информируют компанию в ходе профилактического визита?
В процессе такого контрольного мероприятия инспектор информирует представителей компании об обязательных требованиях к деятельности по обработке персональных данных, о соответствии критериям риска, об основаниях и рекомендуемых способах снижения категории риска, а также о видах, содержании и интенсивности надзорных мероприятий в отношении компании, исходя из ее отнесения к той или иной категории риска.
Нужно ли получать отдельно согласие на обработку персональных данных и отдельно на обработку персональных данных, разрешенных для распространения?
Данный вопрос необходимо рассматривать в двух аспектах. С одной стороны, если мы говорим об обработке персональных данных, относящихся к биометрическим и специальным категориям персональных данных, которые предусматривают обязанность получения согласия (за исключением отдельных случаев), то в этом случае оператор сначала должен получить согласие на обработку биометрических, специальных категорий персональных данных, а затем если предполагается распространение этих данных посредством сети интернет, должен получить согласие на распространение персональных данных в соответствии со ст. 10.1 Федерального закона № 152-ФЗ «О персональных данных». С другой стороны, если мы говорим об общих (иных) персональных данных, которые не требуют оформления согласия в письменной форме, то в этом случае согласие на обработку персональных данных путем их распространения требуется только в случае, если у оператора нет иных законных оснований. Но если эти сведения обрабатываться оператором, например, на основании договора, а в дальнейшем он планирует распространять персональные данные, оператор должен будет получить дополнительно согласие на распространение персональных данных.
Заключение
Обязательный профилактический визит Роскомнадзора проводится для того, чтобы по его итогам составить специальные разъяснения рекомендательного характера по организации деятельности по обработке персональных данных контролируемым лицом. Если в ходе посещения выяснилось, что оператор представляет угрозу причинения вреда ценностям, охраняемым законом, или такой вред был причинен, проверяющее лицо должно сразу направить сведения об этом Роскомнадзору для принятия решения о проведении контрольных мероприятий. В результате возможно повышение категории риска и попадание в план проверок Роскомнадзора. При присвоении оператору среднего риска и выше будут запланированы инспекционные визиты и иные формы контроля.
Автор статьи
Филиппович Максим Владиславович
Партнер, эксперт сервиса LegalBox