В случае выявления нарушений в плане соблюдения требований закона в части обращения с персональными данными, а тем более — утечку данных, бизнес серьёзно накажут. Чем может грозить проверка сотрудниками ведомства в 2023 году?
Если у предпринимателя имеются наёмные работники, включая трудовые отношения, прикрытые договорами ГПХ, происходит рассылка рекламы или коммерческих предложений, компания просит у клиентов номера телефонов, то необходимо соблюдать положения закона «О персональных данных» от 27.07.2006 № 152-ФЗ (в ред. от 14.07.2022).
Что относится к персональным данным
Сначала нужно уяснить сущность объекта защиты. Перечень персональных данных физических лиц включает в себя:
- фамилию, имя, отчество;
- дату и место рождения;
- адрес регистрации и проживания;
- электронный адрес, если он есть;
- номер телефона;
- национальность;
- политические и религиозные убеждения;
- биометрические данные, к которым относятся — отпечатки пальцев, образцы голоса, результаты медицинских анализов, фотография.
Типы проверок роскомнадзора
Предусмотрены плановые и внеплановые проверки, которые допустимо осуществлять в выездной или камеральной форме.
Плановые проверки осуществляются принимая во внимание определенную категорию риска, которую порождает своей деятельностью компания или ИП. Критерии риска указаны в постановлении Правительства от 29.06.2021 № 1046. Если бизнес отнесён к категории высокого риска, то один раз в течение двух лет проводится плановая выездная проверка.
Возможна замена этого мероприятия инспекционным визитом, который проходит на территории работодателя и занимает один рабочий день. Заранее сообщать о готовящемся инспекционном визите роскомнадзор не станет.
Также ведомство обладает правом проводить удалённое наблюдение за работодателем или прийти к нему с профилактическим визитом.
Наблюдение
Смотреть со стороны за работой оператора персональных данных служащие роскомнадзора смогут лишь при наличии для того весомых оснований:
- по поручению Правительства или по распоряжению руководителя;
- в ходе проведения мероприятий, связанных с проверкой поступившей жалобы;
- распространение СМИ информации о нарушении или утечке персональных данных.
Наблюдение проводится негласно. Сотрудники ведомства зайдут на сайт поднадзорной компании, ознакомятся со страницами в социальных сетях, проверят работу форм, предназначенных для передачи персональных данных.
В случае обнаружения ошибок, недочетов и нарушений, а также при возникновении обоснованных подозрений, назначается внеплановая проверка или потребуют в течение десяти дней исправить все найденные нарушения с обязательной оплатой штрафов.
О законности такого мероприятия, как наблюдение, говорит письмо роскомнадзора от 31.01.2023 № 09-6488.
Обработка данных без письменного согласия лица, а также несовместимая с целями сбора данных, может повлечь санкции и без посещения оператора ревизорами. Протокол выпишет служащий ведомства, обнаруживший нарушение.
Причины и последствия внеплановых проверок
Внеплановая проверка может произойти в любой момент, если:
- не исправлены обнаруженные ранее нарушения;
- объект персональных данных обратился с жалобой;
- прямой приказ от президента или правительства или действия согласованы с прокуратурой;
- наблюдение или профилактический визит показали наличие грубых нарушений.
Уведомление о проведении внеплановой проверки поступает за 24 часа до её начала. Возможность оспорить результаты появится только в том случае, если бизнес сможет предоставить всю полноту документов, подготовить которые в такой короткий срок очень трудно.
Внеплановые мероприятия длятся не более 10 дней, а при необходимости срок может быть увеличен, но не более, чем ещё на 10 дней. Возражения предпринимателя не являются основанием для отмены проверки, хотя она может быть отложена, но не более, чем на месяц. После этого внеплановый выезд случится уже без предупреждения.
В случае обнаружения нарушений обязательно последуют штрафы или запрет на сбор и обработку персональных данных. В некоторых случаях это равнозначно запрету на само ведение бизнеса.
Невзирая на мораторий, постановлением от 04.02.2023 № 161 Правительство увеличило перечень оснований для проведения внеплановых проверок по персональным данным. По решению главы или замглавы роскомнадзора в организацию, в том числе аккредитованную IT-организацию, могут пожаловать с внеплановой проверкой, если установят факт распространения баз с персональными данными. Даже ошибки в оформлении письменного согласия на обработку персональных данных могут привести к тому, что юридическое лицо оштрафуют на сумму до 150 тыс. рублей по ст. 13.11 КоАП.