15.02.2022
Статья 52 Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" от 31.07.2020 № 248-ФЗ, пункт 30 Постановления Правительства РФ "О федеральном государственном контроле (надзоре) за обработкой персональных данных" от 29.06.2021 № 1046, а также Программа профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям в области персональных данных Роскомнадзора предусматривают такой вид контрольной деятельности, как профилактические визиты надзорного органа.По итогам таких визитов не выносятся предписания, а выдаются рекомендации операторам персональных данных. Причем, от профилактического визита можно отказаться.
Инспектор Роскомнадзора в рамках профилактического визита может осуществлять сбор сведений, необходимых для отнесения объектов контроля к категориям риска (часть 3 Статьи 52 248-ФЗ). По итогам профилактического визита возможно повышение категории риска, попадание в план проверок в последующие годы. Если оператору будет присвоен средний риск и выше, это позволит проводить инспекционные визиты.
Инспекционный визит проводится по отношению к организациям, которые отнесены к категориям высокого и значительного риска, а также в отношении контролируемых лиц, приступающих к осуществлению деятельности в сфере обработки персональных данных. О таком визите бизнес должны уведомить не позднее чем за 5 рабочих дней до даты его проведения.
На основании пункта 1 части 1 Статьи 28.1 КоАП РФ без привязки к виду контрольного мероприятия в результате непосредственного обнаружения должностными лицами Роскомнадзора достаточных данных, указывающих на наличие события административного правонарушения может быть составлен протокол. Для профилактических визитов исключений нет.
В соответствии с частью 9 Статьи 52 248-ФЗ за профилактическим визитом в особых случаях может последовать проверка Роскомнадзора.
К профилактическому визиту в первую очередь нужно готовиться компаниям, которые Роскомнадзор отнес к высокому или значительному риску. Это большинство компаний, операторов персональных данных, на которые в последние годы составлялись протоколы об административных правонарушениях.
Также профилактический визит может последовать к компаниям, начинающим свою деятельность по обработке персональных данных. Признаком начала такой деятельности может служить отправка уведомление в Роскомнадзор.
Надзорный орган обязан предложить проведение профилактического визита всем компаниям, начинающим деятельность в определенной сфере, не позднее чем в течение одного года с момента начала такой деятельности (часть 7 Статьи 52 248-ФЗ). Несмотря на то, что профилактические визиты могут проводиться онлайн с использованием видеосвязи, непонятно, хватит ли ресурсов у Роскомнадзора, чтобы охватить всех операторов, подпадающих под профилактические визиты, и сколько времени будет уделяться одному оператору.
В соответствии с частью 6 Статьи 52 248-ФЗ компания имеет право отказаться от профилактического визита, и каждый оператор может самостоятельно рассмотреть риски и последствия своего согласия или отказа от профилактического визита.
С учетом того, что в соответствии со Статьей 19.4.1 КоАП РФ ответственность может наступить в случае воспрепятствования проверке, а не профилактическому визиту, операторам персональных данных можно задуматься о влиянии на порядок проведения профилактического визита. К примеру, какие процессы показывать, какие нет, и, как следствие, по каким вопросам получать рекомендации, а по каким нет.
При этом необходимо понимать, что у Роскомнадзора есть свое мнение на даваемые рекомендации, и недобросовестность и уловки в поведении контролируемого лица всегда видны. В такой ситуации проще направить отказ от профилактического визита и воспользоваться консультированием, которое надзорный орган планирует оказывать.
Теги: Роскомнадзор регуляторы