Профилактический визит относится к видам контрольных мероприятий (ст. 45 Федерального закона от 31.07.2020 г. № 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации").
Профилактический визит может проводиться в форме:
1) профилактической беседы по месту осуществления деятельности контролируемого лица
либо
2) путем использования видео-конференц-связи.
Из практики, чаще профилактические визиты проводятся инспектором Роскомнадзора посредством видео-конференции.
Организации, которые подпадают под профилактические визиты:
- операторы персональных данных - медицинские организации, отнесенные Роскомнадзором к категориям высокого либо значительного риска;
- операторы персональных данных - медицинские организации, направившие уведомление в Роскомнадзор о начале обработки персональных данных и приступающие к обработке персональных данных в течение одного года с момента начала такой деятельности (ч. 7 ст. 52 Федерального закона от 31.07.2020 г. № 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации").
Профилактический визит проводится только с согласия контролируемого лица либо по его инициативе.
О проведении профилактического визита контролируемое лицо уведомляется не позднее чем за 5 рабочих дней до даты его проведения.
Срок проведения обязательного профилактического визита не может превышать 5 рабочих дней.
Контролируемое лицо вправе отказаться от профилактического визита, направив в адрес Роскомнадзора уведомление об отказе не позднее чем за 3 рабочих дня до начала мероприятия. Молчание организации после получения уведомления о проведении профилактического визита - означает согласие на его проведение.
1. Может ли Роскомнадзор запрашивать документы и как он их запрашивает?
Может, согласно п. 30 Постановления Правительства РФ от 29.06.2021 г. № 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных":
- при проведении по месту осуществления деятельности контролируемого лица - должностные лица Роскомнадзора предъявляют служебные удостоверения, вручают руководителю медицинской организации или иному уполномоченному представителю письменный запрос о представлении документов и информации, необходимых для проведения обязательного профилактического визита.
- при проведении визита в режиме видео-конференц-связи должностное лицо Роскомнадзора направляют в адрес медицинской организации письменный запрос о представлении документов и информации, необходимых для проведения обязательного профилактического визита посредством использования электронных каналов связи (электронного письма на адрес электронной почты медицинской организации, подписанный электронной цифровой подписью).
2. Что проверяет Роскомнадзор и какие документы запрашивает?
Роскомнадзор проверяет документы Оператора - медицинской организации, подтверждающие соблюдение им законодательства в области персональных данных, принятие им мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных».
Конкретный перечень документации Роскомнадзор определяет в запросе, как правило истребуются следующие документы:
- Устав
- Положение об обработке персональных данных
- Приказ о назначении ответственного лица за организацию обработки персональных данных
- Политика обработки персональных данных
- Локальные акты, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений
- информацию о применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ «О персональных данных»
- информацию по организации внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону
- информацию об оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»
- информацию об ознакомлении работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников
- сведения об опубликовании документа, определяющего его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных с предоставлением адреса URL на сайте
3. Полномочия Роскомнадзора при проведении профилактических визитов
В ходе профилактического визита Роскомнадзор информирует об обязательных требованиях, предъявляемых к его деятельности либо к принадлежащим ему объектам контроля, их соответствии критериям риска, основаниях и о рекомендуемых способах снижения категории риска, а также о видах, содержании и об интенсивности контрольных (надзорных) мероприятий, проводимых в отношении объекта контроля исходя из его отнесения к соответствующей категории риска (Постановление Правительства РФ от 29.06.2021 г. № 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных").
По итогам проведения профилактического визита в адрес Оператора направляются разъяснения по организации контролируемым лицом деятельности по обработке персональных данных, которые носят рекомендательный характер.
Консультирование Оператора по вопросам организации обработки персональных данных осуществляется без взимания платы.
4. Может ли Роскомнадзор оштрафовать при проведении профилактического визита?
Продолжение статьи читайте здесь.