Плановая проверка Роскомнадзора по персональным данным: как часто вас могут проверить и от чего это зависит?
Разбираемся, с какой периодичностью Роскомнадзор проводит плановые проверки в сфере персональных данных согласно Закону № 248-ФЗ. Узнайте, какие компании находятся в зоне риска, как часто их проверяют, и какие исключения действуют до 2030 года. Подготовьтесь к визиту инспектора заранее!
Вопрос о том, как часто Роскомнадзор (РКН) может прийти с плановой проверкой соблюдения законодательства о персональных данных (ПДн), волнует многие компании и ИП. Порядок проведения государственного контроля и надзора в этой сфере регулируется Федеральным законом от 31.07.2020 № 248-ФЗ "О государственном контроле (надзоре)..." (далее – Закон № 248-ФЗ) и Положением о госконтроле (госнадзоре) за обработкой персональных данных, утвержденным Правительством РФ.
Общий принцип: Плановость и согласование
По общему правилу, плановые контрольные (надзорные) мероприятия (КНМ) проводятся Роскомнадзором на основании годового плана. Этот план обязательно согласовывается с органами прокуратуры (ч. 1 ст. 61 Закона № 248-ФЗ, п. 38 Положения).
Исключение: Мероприятия, которые РКН проводит без взаимодействия с проверяемой организацией (например, мониторинг сайтов), не включаются в план и их периодичность не регулируется Законом № 248-ФЗ (ч. 3 ст. 23.1 Закона о персональных данных, п. 22 ч. 5 ст. 2 Закона № 248-ФЗ). Они проводятся по заданию руководства РКН (п. 58 Положения).
Ключевой фактор: Категория риска
Частота плановых проверок напрямую зависит от категории риска, присвоенной деятельности вашей организации в сфере обработки ПДн. Роскомнадзор применяет риск-ориентированный подход.
Только для "Высокого риска"
Важно: Плановые контрольные (надзорные) мероприятия в сфере ПДн проводятся Роскомнадзором только в отношении объектов контроля, отнесенных к категории высокого риска.
Периодичность таких проверок установлена законом – один раз в два года (п. 2 ч. 2 ст. 25 Закона № 248-ФЗ).
Если вашей деятельности присвоена иная категория риска (значительный, средний, умеренный, низкий), плановые проверки РКН по линии ПДн проводиться не должны. Однако это не исключает возможности проведения внеплановых проверок или мероприятий без взаимодействия.
Как определяется категория риска?
Категория риска рассчитывается путем соотношения двух факторов (п. 11 Положения о госконтроле и п. 13 Приложения к нему):
- Группа тяжести: Оценивает потенциальную тяжесть негативных последствий, если вы нарушите обязательные требования в сфере ПДн.
- Группа вероятности: Оценивает вероятность того, что вы не будете соблюдать эти требования (часто основана на предыдущих нарушениях).
Примеры оценки риска:
| Критерии | Группа тяжести | Группа вероятности | Итоговая категория риска |
|---|---|---|---|
|
"А" | "1" | Высокий риск |
|
"А" | "2" | Значительный риск |
Примечание: Если деятельность компании подпадает под критерии разных категорий риска, применяется та, которая относит ее к более высокой категории (п. 6 Приложения к Положению).
Особые правила и исключения до 2030 года
Правительство РФ Постановлением от 10.03.2022 № 336 ввело ряд ограничений на проведение проверок. В частности, до 2030 года действует специальное правило для определенных организаций с высокой категорией риска:
- Кого касается: Образовательные организации, учреждения здравоохранения, организации соцобслуживания детей, организации общественного питания детей.
- Что действует: Даже если им присвоена категория высокого риска, они не включаются в планы плановых проверок Роскомнадзора по ПДн.
- Альтернатива: Вместо плановой проверки в отношении таких организаций может проводиться обязательный профилактический визит (п. 11(4) Постановления № 336).
Последствия нарушения периодичности
Если Роскомнадзор проведет плановую проверку чаще, чем это установлено законом (например, для объекта высокого риска чаще, чем раз в два года), или проведет плановую проверку объекта, не отнесенного к высокому риску, это будет считаться грубым нарушением.
Такое нарушение влечет за собой:
- Отмену решения, принятого по результатам КНМ.
- Признание результатов КНМ недействительными (ч. 1, п. 4 ч. 2 ст. 91 Закона № 248-ФЗ).
FAQ: Часто задаваемые вопросы
Вопрос: Как узнать свою категорию риска?
Ответ: Роскомнадзор должен размещать на своем официальном сайте информацию об объектах контроля, отнесенных к категориям высокого и значительного риска (ч. 3 ст. 24 Закона № 248-ФЗ). Также можно попробовать оценить свой риск самостоятельно, используя критерии из Приложения к Положению о госконтроле (госнадзоре) за обработкой персональных данных, или направить официальный запрос в РКН.
Вопрос: Если у меня не "высокий риск", значит, Роскомнадзор вообще не придет?
Ответ: Отсутствие плановых проверок не означает полного отсутствия контроля. Роскомнадзор может провести внеплановую проверку (например, по жалобе гражданина) или контрольное мероприятие без взаимодействия с вами (мониторинг вашего сайта на предмет наличия политики обработки ПДн).
Вопрос: Что такое "обязательный профилактический визит"?
Ответ: Это одна из форм профилактических мероприятий, предусмотренных Законом № 248-ФЗ. Он проводится в форме профилактической беседы по месту осуществления деятельности контролируемого лица либо путем использования видео-конференц-связи. В ходе визита инспектор информирует о требованиях законодательства, отвечает на вопросы. По итогам профилактического визита предписания об устранении нарушений не выдаются (за исключением случаев, когда выявляется непосредственная угроза охраняемым законом ценностям).
Понимание принципов формирования плана проверок и факторов, влияющих на частоту контроля со стороны Роскомнадзора, поможет вам оценить вероятные риски и лучше подготовиться к взаимодействию с надзорным органом.
