Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Мораторий: ловушки для бизнеса

10 мин
В 2022 г. был установлен мораторий на проведение плановых проверок в ряде сфер, в том числе в отношении обработки и защиты персональных данных. Этот мораторий продлен до 2030 г., и многие компании восприняли его как «передышку». Кажется, что можно расслабиться: риск визита Роскомнадзора минимален, а значит, расходы на приведение процессов в соответствие с законом можно отложить. Однако это опасное заблуждение. На практике компании любого размера продолжают попадать в поле зрения регулятора: и не только Роскомнадзора, но и прокуратуры. Более того, уже сейчас формируется судебная практика, показывающая: даже одна жалоба субъекта персональных данных способна запустить проверку. Разберем, какие механизмы контроля сохраняются, и в каких ситуациях «мораторий» не спасет бизнес. Правительство РФ установило мораторий на проверки до 2030 г., однако важно понимать: речь идет только о плановых проверках. Во-первых, само постановление правительства может быть изменено или дополнено. Исполнительная
Оглавление
изображение: recraft
изображение: recraft

В 2022 г. был установлен мораторий на проведение плановых проверок в ряде сфер, в том числе в отношении обработки и защиты персональных данных.

Этот мораторий продлен до 2030 г., и многие компании восприняли его как «передышку». Кажется, что можно расслабиться: риск визита Роскомнадзора минимален, а значит, расходы на приведение процессов в соответствие с законом можно отложить.

Однако это опасное заблуждение. На практике компании любого размера продолжают попадать в поле зрения регулятора: и не только Роскомнадзора, но и прокуратуры. Более того, уже сейчас формируется судебная практика, показывающая: даже одна жалоба субъекта персональных данных способна запустить проверку.

Разберем, какие механизмы контроля сохраняются, и в каких ситуациях «мораторий» не спасет бизнес.

Почему мораторий не является «индульгенцией» для бизнеса

Правительство РФ установило мораторий на проверки до 2030 г., однако важно понимать: речь идет только о плановых проверках.

Во-первых, само постановление правительства может быть изменено или дополнено. Исполнительная власть вправе как сократить срок моратория, так и внести исключения для отдельных отраслей или категорий нарушений.

Во-вторых, параллельно с мораторием сохраняются и активно применяются другие инструменты надзора: профилактические визиты, контрольные мероприятия без взаимодействия с контролируемыми лицами, проверки прокуратуры и внеплановые проверки по жалобам.

Таким образом, даже при действующем моратории риск попадания в поле зрения регулятора остается высоким.

Механизмы контроля, которые продолжают работать

Профилактические визиты

Профилактический визит — превентивное мероприятие, которым контрольный орган (в том числе Роскомнадзор) помогает бизнесу выявить и предотвратить возможные нарушения. Он может проходить лично на площадке компании или в формате видеоконференции.

Особенности и преимущества такого визита включают:

  • Проведение только при согласии контролируемого лица (либо по его инициативе)
  • Предварительное уведомление: не позднее, чем за 5 рабочих дней до визита
  • Бизнес может отказаться от визита, уведомив не менее чем за 3 рабочих дня
  • В ходе беседы контролируемое лицо получает информацию о требованиях, рисках и рекомендациях по снижению угрозы и о дальнейшем формате надзора
  • В рамках визита возможно консультирование — бесплатно и в рекомендательном формате

Обязательно ли участие и в каких случаях?

Обязательные профилактические визиты отличаются тем, что контролируемое лицо не вправе отказаться:

  • Если деятельность относится к высокой категории риска или является только начинающейся, визит проводится автоматически в рамках п. 1 ст. 52.1 ФЗ № 248-ФЗ
  • Также визиты обязательны, если компания подала формальное уведомление о начале деятельности для определенных видов бизнеса — визит должен быть проведен не позднее чем через 6 месяцев после уведомления

В чем отличия от обычной проверки?

Отсутствуют предписания: цель — предупредить нарушения, а не наказать. Рекомендации носят добровольный характер

Однако, если выявлена явная угроза или вред, инспектор передает информацию вышестоящему органу, что может вызвать полноценное надзорное вмешательство.

Контроль без взаимодействия

Даже в условиях моратория на плановые проверки операторы не остаются вне поля зрения регулятора. Один из самых активных инструментов Роскомнадзора сегодня — мероприятия по контролю без взаимодействия.

В отличие от профилактических визитов или прокурорских проверок, здесь отсутствует прямое общение с компанией. Инспекторы используют открытые источники и автоматизированные системы анализа, чтобы проверить:

  • Политики конфиденциальности на сайте или в мобильном приложении: наличие, корректность формулировок.
  • Формы для сбора данных: не собираются ли избыточные сведения (например, паспортные данные при подписке на рассылку).

Трансграничная передача персональных данных: соответствует ли она сведениям, указанным в уведомлении, поданном оператором в Роскомнадзор.

Почему риск выше, чем кажется

  • Процесс автоматизирован. Это означает, что система мониторинга может охватить тысячи сайтов и приложений без участия инспектора. Ошибки выявляются быстро и без предварительных сигналов.
  • Если выявлены несоответствия между данными в политике и данными в уведомлении трижды, Роскомнадзор вправе инициировать полноценную проверку. Важно, что выявление нарушений разделено во времени, т.е. три нарушения одномоментно не приведут к проверке.

Типичные нарушения, выявляемые при контроле

  1. На сайте нет политики конфиденциальности, доступной со всех страниц сайта.
  2. Политика не отражает реальных процессов.
  3. Избыточные поля в регистрационных формах (например, дата рождения при заказе доставки).
  4. Несоответствие данным в уведомлении (например, не подано уведомление о намерении осуществлять трансграничную передачу) и на сайте подключен зарубежный сервис аналитики.
  5. Неактуальная информация в политике, не соответствующая данным уведомления.

Проверки прокуратуры

Прокуратура не связана мораторием и вправе проверять деятельность компаний в части защиты персональных данных.

В чем специфика прокурорских проверок?

Независимость от моратория
Прокуратура действует на основании Федерального закона «О прокуратуре РФ» и вправе проверять исполнение законодательства в любой сфере, включая защиту персональных данных. При этом ограничения по срокам или категориям субъектов, как у Роскомнадзора, для нее не применяются.

Основания для проверки

  • Жалоба гражданина на нарушение его прав.
  • Информация из СМИ или от иных органов власти.
  • Сведения, поступившие от ведомств.

Внеплановые проверки по жалобам

Основания для проведения внеплановой проверки закреплены в ст. 57 248-ФЗ:

  1. Наличие у контрольного (надзорного) органа сведений о причинении вреда (ущерба) или об угрозе причинения вреда (ущерба) охраняемым законом ценностям с учетом положений статьи 60 248-ФЗ;
  2. Наступление сроков проведения контрольных (надзорных) мероприятий, включенных в план проведения контрольных (надзорных) мероприятий;
  3. Поручение Президента Российской Федерации, поручение Правительства Российской Федерации (в том числе в отношении видов федерального государственного контроля (надзора), полномочия по осуществлению которых переданы для осуществления органам государственной власти субъектов Российской Федерации) о проведении контрольных (надзорных) мероприятий в отношении конкретных контролируемых лиц;
  4. Требование прокурора о проведении контрольного (надзорного) мероприятия в рамках надзора за исполнением законов, соблюдением прав и свобод человека и гражданина по поступившим в органы прокуратуры материалам и обращениям;
  5. Истечение срока исполнения решения контрольного (надзорного) органа об устранении выявленного нарушения обязательных требований в случаях, установленных частью 1 статьи 95 248-ФЗ;
  6. Наступление события, указанного в программе проверок, если федеральным законом о виде контроля установлено, что контрольные (надзорные) мероприятия проводятся на основании программы проверок;
  7. Выявление соответствия объекта контроля параметрам, утвержденным индикаторами риска нарушения обязательных требований, или отклонения объекта контроля от таких параметров;
  8. Наличие у контрольного (надзорного) органа сведений об осуществлении деятельности без уведомления о начале осуществления предпринимательской деятельности, установленного частью 1 статьи 8 Федерального закона от 26 декабря 2008 года N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», в случае, если представление такого уведомления является обязательным, или без лицензии, предусмотренной для видов деятельности, указанных в пунктах 69.1, 11, 12, 1417, 1921, 2431, 3436, 39, 40, 4255 и 59 части 1 статьи 12 Федерального закона от 4 мая 2011 года N 99-ФЗ «О лицензировании отдельных видов деятельности», или без предоставления в государственную информационную систему мониторинга за оборотом товаров, подлежащих обязательной маркировке средствами идентификации, сведений, необходимых для регистрации в указанной информационной системе, в случаях, если представление таких сведений является обязательным, с извещением о проведении контрольного (надзорного) мероприятия в течение двадцати четырех часов органа прокуратуры по месту нахождения объекта контроля;
  9. Уклонение контролируемого лица от проведения обязательного профилактического визита.
  10. При наличии соответствующего положения в федеральном законе о виде контроля возможно проведение внепланового контрольного (надзорного) мероприятия в случае поступления от контролируемого лица в контрольный (надзорный) орган информации об устранении нарушений обязательных требований, выявленных в рамках процедур периодического подтверждения соответствия (компетентности), осуществляемых в рамках разрешительных режимов в формах лицензирования, аккредитации, сертификации, включения в реестр, аттестации, прохождения экспертизы и иных разрешений, предусматривающих бессрочный характер действия соответствующих разрешений. Предмет внепланового контрольного (надзорного) мероприятия в случае, предусмотренном ч. 3 ст. 57 248-ФЗ, ограничивается оценкой устранения нарушений обязательных требований, выявленных в рамках процедур периодического подтверждения соответствия (компетентности).

Как проходит проверка РКН

Плановые проверки проводятся в соответствии с ежегодным планом проверок, который составляется и публикуется в открытом доступе на сайте РКН. Периодичность проверок зависит от категории риска, присвоенной оператору.

  • Так, в отношении объектов контроля, отнесенных к категории высокого риска, — инспекционный визит или выездная проверка с периодичностью один раз в 2 года;
  • В отношении объектов контроля, отнесенных к категории значительного риска, — инспекционный визит или выездная проверка с периодичностью один раз в 3 года;
  • В отношении объектов контроля, отнесенных к категории среднего риска, — инспекционный визит или документарная проверка или выездная проверка с периодичностью один раз в 4 года;
  • В отношении объектов контроля, отнесенных к категории умеренного риска, — документарная проверка или выездная проверка с периодичностью один раз в 6 лет.
  • В отношении контролируемых лиц, деятельность которых в связи с обработкой персональных данных отнесена к категории низкого риска, плановые контрольные (надзорные) мероприятия не проводятся.

Внеплановые проверки могут быть инициированы при наличии жалоб граждан, выявлении фактов утечки данных или других оснований, закрепленных, в частности, в приказе Минцифры РФ от 15.11.2021 N 1187, приказе от 17.08.2023 N 720 и приказе от 01.08.2024 N 682.

О внеплановой проверке уведомляют не менее чем за 24 часа, за исключением случаев, связанных с причинением вреда жизни или здоровью граждан.

Выездные проверки проводятся по месту нахождения оператора. Во время таких проверок РКН проверяет документы и меры, принимаемые для соблюдения обязательных требований в сфере персональных данных.

Документарные проверки проводятся путем анализа документов и информации, предоставленной оператором персональных данных. Список документов и перечень запрашиваемой информации РКН присылает перед проведением проверки.

Также возможно проведение мероприятий по контролю без взаимодействия с контролируемым лицом. Такие мероприятия позволяют осуществлять контроль дистанционно, не уведомляя об этом контролируемое лицо и не запрашивая у него документы напрямую.

В ходе проверки РКН проверяет документы и получает письменные ответы. Проверка документов не может длиться более 10 рабочих дней.

Выездная проверка может включать в себя, помимо истребования документов и получения письменных объяснений, смотр, экспертизу, опрос работников, инструментальное обследование. Выездная проверка также не может длиться более 10 рабочих дней.

Результат проверки — акт контрольного (надзорного) мероприятия. Он должен быть составлен в течение 5 рабочих дней со дня проведения проверки.

Что делать бизнесу

Чтобы минимизировать риски, компании стоит выстроить системный подход к работе с персональными данными.

Чек-лист для руководителя:

  1. Провести аудит — проверить, какие данные собираются, где хранятся, кому передаются.
  2. Назначить ответственного за обработку ПДн.
  3. Актуализировать документы — внутренние и на сайте.
  4. Соблюдать требования локализации — хранить данные на серверах в РФ.
  5. Настроить ИТ-безопасность — разделить контроль доступа к документам, которые содержат ПДн.
  6. Создать процедуру реагирования — алгоритм действий при жалобе или утечке.

Заключение

Мораторий на проверки до 2030 года — лишь временное ослабление планового надзора. Реальные риски сохраняются: профилактические визиты, внеплановые проверки по жалобам, прокурорский контроль.

Более того, законодательство в сфере персональных данных постоянно развивается, и компании, которые сегодня игнорируют требования, завтра могут столкнуться с внезапным штрафом или судебным иском.

Оригинал публикации на сайте CISOCLUB: "Мораторий не спасет: в каких случаях компания все равно попадает в поле зрения регулятора".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Изменения в законодательстве
19,4 тыс интересуются