menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Мораторий не спасет: в каких случаях компания все равно попадает в поле зрения регулятора

лонгриды
13.01.2023
20/09/25
Б-152
Лонгриды
События /
Мораторий не спасет
В 2022 г. был установлен мораторий на проведение плановых проверок в ряде сфер, в том числе в отношении обработки и защиты персональных данных. 
Этот мораторий продлен до 2030 г., и многие компании восприняли его как «передышку». Кажется, что можно расслабиться: риск визита Роскомнадзора минимален, а значит, расходы на приведение процессов в соответствие с законом можно отложить.
Однако это опасное заблуждение. На практике компании любого размера продолжают попадать в поле зрения регулятора: и не только Роскомнадзора, но и прокуратуры. Более того, уже сейчас формируется судебная практика, показывающая: даже одна жалоба субъекта персональных данных способна запустить проверку.
Разберем, какие механизмы контроля сохраняются, и в каких ситуациях «мораторий» не спасет бизнес.
Почему мораторий не является «индульгенцией» для бизнеса
Механизмы контроля, которые продолжают работать
Содержание
Контроль без взаимодействия

Почему риск выше, чем кажется
Типичные нарушения, выявляемые при контроле
Проверки прокуратуры
Внеплановые проверки по жалобам
Как проходит проверка РКН
Что делать бизнесу
Заключение
Почему мораторий не является «индульгенцией» для бизнеса
Механизмы контроля, которые продолжают работать
Содержание
Контроль без взаимодействия

Почему риск выше, чем кажется
Типичные нарушения, выявляемые при контроле
Проверки прокуратуры
Внеплановые проверки по жалобам
Как проходит проверка РКН
Что делать бизнесу
Заключение

Почему мораторий не является «индульгенцией» для бизнеса

Правительство РФ установило мораторий на проверки до 2030 г., однако важно понимать: речь идет только о плановых проверках.
Во-первых, само Постановление правительства может быть изменено или дополнено. Исполнительная власть вправе как сократить срок моратория, так и внести исключения для отдельных отраслей или категорий нарушений.
Во-вторых, параллельно с мораторием сохраняются и активно применяются другие инструменты надзора: профилактические визиты, контрольные мероприятия без взаимодействия с контролируемыми лицами, проверки прокуратуры и внеплановые проверки по жалобам.
Таким образом, даже при действующем моратории, риск попадания в поле зрения регулятора остается высоким.

Механизмы контроля, которые продолжают работать

Профилактические визиты
Профилактический визит — превентивное мероприятие, которым контрольный орган (в том числе Роскомнадзор) помогает бизнесу выявить и предотвратить возможные нарушения. Он может проходить лично на площадке компании или в формате видеоконференции.
Особенности и преимущества такого визита включают:
  • Проведение только при согласии контролируемого лица (либо по его инициативе)
  • Предварительное уведомление: не позднее, чем за 5 рабочих дней до визита
  • Бизнес может отказаться от визита, уведомив не менее чем за 3 рабочих дня
  • В ходе беседы контролируемое лицо получает информацию о требованиях, рисках и рекомендациях по снижению угрозы и о дальнейшем формате надзора
  • В рамках визита возможно консультирование — бесплатно и в рекомендательном формате
Обязательно ли участие и в каких случаях?
Обязательные профилактические визиты отличаются тем, что контролируемое лицо не вправе отказаться:
  • Если деятельность относится к высокой категории риска или только начинающейся, визит проводится автоматически в рамках п. 1 ст. 52.1 ФЗ № 248-ФЗ
  • Также визиты обязательны, если компания подала формальное уведомление о начале деятельности для определенных видов бизнеса — визит должен быть проведен не позднее чем через 6 месяцев после уведомления
Отсутствуют предписания: цель — предупредить нарушения, а не наказать. Рекомендации носит добровольный характер
Однако, если выявлена явная угроза или вред, инспектор передает информацию вышестоящему органу, что может вызвать полноценное надзорное вмешательство.
В чем отличия от обычной проверки?

Контроль без взаимодействия

Даже в условиях моратория на плановые проверки операторы не остаются вне поля зрения регулятора. Один из самых активных инструментов Роскомнадзора сегодня — мероприятия по контролю без взаимодействия.
В отличие от профилактических визитов или прокурорских проверок, здесь отсутствует прямое общение с компанией. Инспекторы используют открытые источники и автоматизированные системы анализа, чтобы проверить:
  • Политики конфиденциальности на сайте или в мобильном приложении: наличие, корректность формулировок.
  • Формы для сбора данных: не собираются ли избыточные сведения (например, паспортные данные при подписке на рассылку).
Трансграничная передача персональных данных: соответствует ли она сведениям, указанным в уведомлении, поданном оператором в Роскомнадзор.

Почему риск выше, чем кажется

  • Процесс автоматизирован. Это означает, что система мониторинга может охватить тысячи сайтов и приложений без участия инспектора. Ошибки выявляются быстро и без предварительных сигналов.
  • Если выявлены несоответствия между данными в политике и данными в уведомлении трижды, Роскомнадзор вправе инициировать полноценную проверку. Важно, что выявление нарушений разделено во времени, т. е. три нарушения одномоментно не приведут к проверке.

Типичные нарушения, выявляемые при контроле

  1. На сайте нет политики конфиденциальности, доступной со всех страниц сайта.
  2. Политика не отражает реальных процессов.
  3. Избыточные поля в регистрационных формах (например, дата рождения при заказе доставки).
  4. Несоответствие данным в уведомлении (например, не подано уведомление о намерении осуществлять транграничную передач) и на сайте подключен зарубежный сервис аналитики.
  • Неактуальная информация в политике, не соответствующая данным уведомления.

Проверки прокуратуры

Прокуратура не связана мораторием и вправе проверять деятельность компаний в части защиты персональных данных.
В чем специфика прокурорских проверок?
  1. Независимость от моратория
Прокуратура действует на основании Федерального закона «О прокуратуре РФ» и вправе проверять исполнение законодательства в любой сфере, включая защиту персональных данных. При этом ограничения по срокам или категориям субъектов, как у Роскомнадзора, для нее не применяются.
2. Основания для проверки
  • Жалоба гражданина на нарушение его прав.
  • Информация из СМИ или от иных органов власти.
  • Сведения, поступившие от ведомств.

Внеплановые проверки по жалобам

Основания для проведения внеплановой проверки закреплены в ст. 57 248-ФЗ:
1. Наличие у контрольного (надзорного) органа сведений о причинении вреда (ущерба) или об угрозе причинения вреда (ущерба) охраняемым законом ценностям с учетом положений статьи 60 248-ФЗ;
2. Наступление сроков проведения контрольных (надзорных) мероприятий, включенных в план проведения контрольных (надзорных) мероприятий;
3. Поручение Президента Российской Федерации, поручение Правительства Российской Федерации (в том числе в отношении видов федерального государственного контроля (надзора), полномочия по осуществлению которых переданы для осуществления органам государственной власти субъектов Российской Федерации) о проведении контрольных (надзорных) мероприятий в отношении конкретных контролируемых лиц;
4. Требование прокурора о проведении контрольного (надзорного) мероприятия в рамках надзора за исполнением законов, соблюдением прав и свобод человека и гражданина по поступившим в органы прокуратуры материалам и обращениям;
5. Истечение срока исполнения решения контрольного (надзорного) органа об устранении выявленного нарушения обязательных требований в случаях, установленных частью 1 статьи 95 248-ФЗ;
6. Наступление события, указанного в программе проверок, если федеральным законом о виде контроля установлено, что контрольные (надзорные) мероприятия проводятся на основании программы проверок;
7. Выявление соответствия объекта контроля параметрам, утвержденным индикаторами риска нарушения обязательных требований, или отклонения объекта контроля от таких параметров;
8. Наличие у контрольного (надзорного) органа сведений об осуществлении деятельности без уведомления о начале осуществления предпринимательской деятельности, установленного частью 1 статьи 8 Федерального закона от 26 декабря 2008 года N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», в случае, если представление такого уведомления является обязательным, или без лицензии, предусмотренной для видов деятельности, указанных в пунктах 6 — 9.1, 11, 12, 14 — 17, 19 — 21, 24 — 31, 34 — 36, 39, 40, 42 — 55 и 59 части 1 статьи 12 Федерального закона от 4 мая 2011 года N 99-ФЗ «О лицензировании отдельных видов деятельности», или без предоставления в государственную информационную систему мониторинга за оборотом товаров, подлежащих обязательной маркировке средствами идентификации, сведений, необходимых для регистрации в указанной информационной системе, в случаях, если представление таких сведений является обязательным, с извещением о проведении контрольного (надзорного) мероприятия в течение двадцати четырех часов органа прокуратуры по месту нахождения объекта контроля;
9. Уклонение контролируемого лица от проведения обязательного профилактического визита.
10. При наличии соответствующего положения в федеральном законе о виде контроля возможно проведение внепланового контрольного (надзорного) мероприятия в случае поступления от контролируемого лица в контрольный (надзорный) орган информации об устранении нарушений обязательных требований, выявленных в рамках процедур периодического подтверждения соответствия (компетентности), осуществляемых в рамках разрешительных режимов в формах лицензирования, аккредитации, сертификации, включения в реестр, аттестации, прохождения экспертизы и иных разрешений, предусматривающих бессрочный характер действия соответствующих разрешений. Предмет внепланового контрольного (надзорного) мероприятия в случае, предусмотренном ч. 3 ст. 57 248-ФЗ, ограничивается оценкой устранения нарушений обязательных требований, выявленных в рамках процедур периодического подтверждения соответствия (компетентности).

Как проходит проверка РКН

1. Плановые проверки проводятся в соответствии с ежегодным планом проверок, который составляется публикуется в открытом доступе на сайте РКН. Периодичность проверок зависит от категории риска, присвоенной оператору.
  • Так, в отношении объектов контроля, отнесенных к категории высокого риска, — инспекционный визит или выездная проверка с периодичностью один раз в 2 года;
  • В отношении объектов контроля, отнесенных к категории значительного риска, — инспекционный визит или выездная проверка с периодичностью один раз в 3 года;
  • В отношении объектов контроля, отнесенных к категории среднего риска, — инспекционный визит или документарная проверка или выездная проверка с периодичностью один раз в 4 года;
  • В отношении объектов контроля, отнесенных к категории умеренного риска, — документарная проверка или выездная проверка с периодичностью один раз в 6 лет.
  • В отношении контролируемых лиц, деятельность которых в связи с обработкой персональных данных отнесена к категории низкого риска, плановые контрольные (надзорные) мероприятия не проводятся.
2. Внеплановые проверки могут быть инициированы при наличии жалоб граждан, выявлении фактов утечки данных или других оснований, закрепленных, в частности, в приказе Минцифры Р Ф от 15.11.2021 N 1187, приказе от 17.08.2023 N 720 и приказе от 01.08.2024 N 682. 
О внеплановой проверке уведомляют не менее чем за 24 часа, за исключением случаев, связанных с причинением вреда жизни или здоровью граждан.
3. Выездные проверки проводятся по месту нахождения оператора. Во время таких проверок РКН проверяет документы и меры, принимаемые для соблюдения обязательных требований в сфере персональных данных.
4. Документарные проверки проводятся путем анализа документов и информации, предоставленной оператором персональных данных. Список документов и перечень запрашиваемой информации РКН присылает перед проведением проверки.
Также возможно проведение мероприятий по контролю без взаимодействия с контролируемым лицом. Такие мероприятия позволяют осуществлять контроль дистанционно, не уведомляя об этом контролируемое лицо и не запрашивая у него документы напрямую.  
В ходе проверки РКН проверяет документы и получает письменные ответы. Проверка документов не может длиться более 10 рабочих дней.
Выездная проверка может включать в себя, помимо истребования документов и получения письменных объяснений, смотр, экспертизу, опрос работников, инструментальное обследование. Выездная проверка также не может длиться более 10 рабочих дней.
Результат проверки — акт контрольного (надзорного) мероприятия. Он должен быть составлен в течение 5 рабочих дней со дня проведения проверки.

Что делать бизнесу

Чтобы минимизировать риски, компании стоит выстроить системный подход к работе с персональными данными.
  1. Провести аудит — проверить, какие данные собираются, где хранятся, кому передаются.
  2. Назначить ответственного за обработку ПДн.
  3. Актуализировать документы — внутренние и на сайте.
  4. Соблюдать требования локализации — хранить данные на серверах в РФ.
  5. Настроить ИТ-безопасность — разделить контроль доступа к документам, которые содержат ПДн.
  6. Создать процедуру реагирования — алгоритм действий при жалобе или утечке.
Чек-лист для руководителя:

Заключение

Мораторий на проверки до 2030 года — лишь временное ослабление планового надзора. Реальные риски сохраняются: профилактические визиты, внеплановые проверки по жалобам, прокурорский контроль. 
Более того, законодательство в сфере персональных данных постоянно развивается, и компании, которые сегодня игнорируют требования, завтра могут столкнуться с внезапным штрафом или судебным иском.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме