Проверки операторов персональных данных в 2025 году
Наш тест: персональные данные - работаем без штрафа Время прохождения около 5 мин.Постановлением Правительства РФ от 29.06.2021 № 1046 утвержден порядок проведения федерального госконтроля (надзора) за обработкой персональных данных (как и введено Положение о таком контроле). Указанным документом регулируются вопросы проведения проверок персональных данных Роскомнадзором в части соблюдения требований к их защите со стороны операторов.
А приказом Минцифры от 15.11.2021 № 1187 (в ред. от 01.08.2024) утвержден перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных. Выявление Роскомнадзором у оператора хотя бы одного индикатора является основанием для проведения внеплановой проверки.
ВАЖНО! С 30.05.2025 существенно ужесточается ответственность за нарушения с персональными данными. Подробности здесь.
Предметом проведения проверок является выполнение требований закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Конечной целью проверочных мероприятий РКН, в соответствии с п. 3 Правил, выступает выявление и пресечение нарушений в области защиты персональных данных со стороны операторов. Также эта деятельность надзорного органа направлена на предупреждение совершения подобных правонарушений.
Виды надзорных мероприятий Роскомнадзора
Нормы законодательства об организации и осуществления государственного контроля и надзора предусматривают проведение контрольно-надзорных мероприятий (пп. 37, 42, 58 Положения по постановлению № 1046):
- Со взаимодействием с объектом контроля:
- плановых;
- внеплановых.
В обоих форматах могут проводиться следующие контрольно-надзорные мероприятия:
- инспекционный визит;
- документарная проверка;
- выездная проверка.
Подробнее о специфике проведения инспекционного визита читайте в специальном материале.
- Без взаимодействия (на основании заданий от руководителя контролирующего органа):
- наблюдение за соблюдением требований при размещении информации в интернете;
- наблюдение за соблюдением требований посредством анализа информации о деятельности объекта контроля, которая предоставляется им в контролирующий орган.
Кроме контрольно-надзорных также предусмотрены профилактические мероприятия (п. 13 Положения):
- информирование;
- обобщение правоприменительной практики;
- вынесение предостережения;
- консультации;
- осуществление профилактического визита.
Указанная классификация контрольно-надзорных и прочих мероприятий, проводимых контролирующими ведомствами, соответствует той, что отражена в положениях основополагающего нормативного акта в сфере контрольно-надзорной деятельности — Закона от 31.07.2020 № 248-ФЗ. Эксперты рассказали о специфике применения его положений. Получите пробный доступ к публикации на данную тему бесплатно. Если вы хотите пользоваться системой «КонсультантПлюс» на постоянной основе, уточните ее стоимость.
В отношении плановых мероприятий п. 12 Положения предусмотрено, что они проводятся с периодичностью, зависящей от категории риска, присвоенной объекту контроля. Проводятся, в частности:
- инспекционный визит или выездная проверка — 1 раз в 2 года, если риск высокий;
- инспекционный визит или документарная проверка — 1 раз в 4 года, если риск средний.
Если риск низкий, то плановые мероприятия не проводятся.
Плановые проверки проводятся на основании плана на очередной календарный год, согласованного с органами прокуратуры (п. 38 Положения).
В 2025 году плановые проверки по закону № 248-ФЗ проводятся с особенностями, установленными постановлением Правительства России от 10.03.2022 № 336 (в ред. от 28.12.2024). Об ограничениях государственного и муниципального контроля читайте в обзоре от КонсультантПлюс. Пробный доступ бесплатный.
Мораторий на отдельные внеплановые проверки в рамках федерального госконтроля (надзора) за обработкой персональных данных был отменен с 14.02.2023. В случае установления факта распространения (предоставления) в Интернете баз данных (или их части), содержащих персональные данные, внеплановая проверка в отношении операторов может проводиться по решению руководства Роскомнадзора после согласования с органами прокуратуры (постановление Правительства РФ от 04.02.2023 № 161).
Кстати, визит Роскомнадзора эксперты оценивают, как самый "дорогой" риск для компании. Во-первых, принят закон об оборотных штрафах за утечки персональных данных на десятки миллионов рублей. Во-вторых, проверки Роскомнадзора одни из самых тщательных: проверяющие не просто формально оценивают наличие документов, а сопоставляют написанное в них с реальными процессами по обработке данных сотрудников, клиентов, подрядчиков и т.д. Так что шаблонные документы не уберегут компании от штрафов. Чтобы пройти проверку без нарушений, придется всерьез заняться упорядочиванием процессов и документов по персональным данным. В этом вам поможет Путеводитель от КонсультантПлюс. Какие еще проверки грозят работодателям в 2025 году, узнайте в статье. Изучайте материалы бесплатно, оформив пробный доступ к системе.
Акт проверки
По результатам проверки орган РКН, в соответствии с пп. 53-56 Положения, составляет акт проверки. К нему могут прилагаться фотографии, аудиозаписи, видеозаписи, созданные инспектором при проверке (п. 41 Положения).
Итоги
Подведем итоги:
- Порядок проведения проверок на предмет соблюдения требований по защите персональных данных со стороны операторов утвержден в НПА.
- Периодичность проверок зависит от категории риска, присвоенной объекту проверки.
- Внеплановая проверка может быть осуществлена по основаниям, предусмотренным законом № 248-ФЗ.