- Операторы персональных данных
- Роскомнадзор получил право проводить проверки операторов персональных данных
- План проверок раз в два года
- Уведомление УО и ТСЖ
- Запрос Роскомнадзора
- Оператор ПДн обязан создать условия для проведения проверки
- Требование об остановке обработки персональных данных
- На заметку
Управляющие организации являются операторами персональных данных, поэтому в отношении таких организаций Роскомнадзор имеет право проводить проверки согласно Постановлению Правительства РФ от 13 февраля 2019 года № 146.
Операторы персональных данных
Персональные данные (далее ПДн) – это любая информация, которая относится к физическому лицу – субъекту и помогает идентифицировать его. К таким данным относятся общие сведения о человеке: фамилия, имя, отчество, дата и место рождения, данные документа, удостоверяющего личность, другие сведения, по которым прямо или косвенно можно определить конкретного человека.
УО обрабатывают персональные данные жителей многоквартирных домов, начисляя плату за ЖКУ, ведя реестры собственников, оформляя платёжные документы, передавая ПДн собственников помещений в ресурсоснабжающие организации при заключении прямого договора. Обработку ПДн подразумевают заключённый УО с собственниками помещений договор управления или устав.
Роскомнадзор получил право проводить проверки операторов персональных данных
Поскольку УО работают с ПДн собственников и жителей многоквартирных домов, то к ним применяются нормы постановления № 146. Документ утверждает Правила проведения государственного контроля и надзора за обработкой персональных данных.
Федеральная служба по надзору в сфере связи, информационные технологий и массовых коммуникаций (далее Роскомнадзор) должно предупреждать, выявлять и пресекать нарушения в деятельности операторов ПДн.
Для этого Роскомнадзор уполномочен проводить плановые и внеплановые, документарные и выездные проверки, профилактические мероприятия, принимать меры, чтобы устранить последствия противоправных действий операторов ПДн.
План проверок раз в два года
Плановые проверки в отношении операторов ПДн проводятся в соответствии с графиком, размещённым в интернете. Попасть в такой план может любой оператор ПДн, если с момента его регистрации как юридического лица или с момента последней проверки прошло 3 года.
При этом поставщики информации в государственные информационные системы могут оказываться в плане по контролю чаще: раз в два года.
Роскомнадзор имеет право проводить и внеплановые проверки операторов ПДн по нескольким основаниям:
- неисполнение выданного ранее предписания по устранению нарушений;
- по требованию прокурора, поручению Президента РФ, Правительства РФ;
- по заявлению граждан, если они в обращении докажут факт нарушения их прав;
- по результатам проверки, проведённой Роскомнадзором без взаимодействия с оператором ПДн.
Внеплановые проверки, организованные по двум последним причинам, должны быть согласованы с прокуратурой.
Уведомление УО и ТСЖ
Уведомить о проведении плановой проверки Роскомнадзор должен не позднее, чем за 3 рабочих дня до этого, о внеплановой – не менее чем за 24 часа до её начала. Копия приказа о проведении проверки направляется проверяемому:
- по почте с уведомлением о вручении;
- по электронной почте, если адрес оператора размещён на его сайте;
- по электронной почте, если оператор сообщал адрес ранее в Роскомнадзор;
- либо другим доступным способом.
При этом электронный образ документа должен быть подписан усиленной электронной подписью уполномоченного должностного лица Роскомнадзора.
Срок проведения плановой проверки – 20 рабочих дней, внеплановой – 10 рабочих дней. Продлить проверку можно не более, чем в два раза. Во время контрольных мероприятий проверяются соблюдение оператором требований к обработке ПДн, документы и информационные системы персональных данных.
Запрос Роскомнадзора
Роскомнадзор может проводить плановые выездные и документарные проверки. Внеплановые проверки могут быть только выездными.
В рамках документарной проверки оператор ПДн должен предоставить документы и информацию по запросу ведомства в течение 5 рабочих дней со дня получения письма. Документы предоставляются в виде заверенных печатью и подписью копий либо в электронном виде с использованием усиленной электронной подписи.
Дополнительные пояснения в рамках той же проверки должны быть направлены оператором ПДн в ведомство в течение 3 рабочих дней после получения запроса.
Необходимо обратить внимание, что дата поступления ответа на запрос от оператора – это дата, которую указывает Роскомнадзор при принятии пакета документов, а не дата его отправки. Если документы не предоставлены в срок, то в отношении оператора проводится выездная проверка.
Оператор ПДн обязан создать условия для проведения проверки
Если документарная проверка проходит по месту размещения Роскомнадзора, то выездная – по месту размещения оператора персональных данных. Если оператор является физическим лицом, а не юридическим или индивидуальным предпринимателем, то в его отношении выездная проверка проводиться не может.
Перед началом проверки должностное лицо Роскомнадзора должно предъявить удостоверение и ознакомить проверяемого с приказом о проведении выездной проверки. Оператор ПДн со своей стороны должен создать необходимые условия для проведения контрольных мероприятий, обеспечить доступ в помещения и к оборудованию.
Если проверяемый препятствует действиям сотрудников Роскомнадзора, проводящих проверку, то об этом составляется акт. Затем контрольный орган имеет право обратиться в прокуратуру или в правоохранительные органы.
При составлении такого акта, а также при отсутствии оператора ПДн в день проверки она приостанавливается до момента устранения причин остановки либо же до проведения внеплановой проверки без предварительного уведомления оператора ПДн.
Требование об остановке обработки персональных данных
По результатам проверки Роскомнадзор составляет в двух экземплярах акт, в котором делает заключение об отсутствии нарушений или об их наличии с указанием на статьи НПА. При этом акт должен быть подписан представителем проверяемого юридического лица или индивидуального предпринимателя. Если оператор ПДн отказался подписать акт, то об этом в акте делается отметка.
Экземпляр акта проверки вручается оператору персональных данных под подпись или направляется с уведомлением о вручении либо другим доступным способом в течение 10 дней со дня его подписания.
Если Роскомнадзор выявил нарушения при проверке, то вместе с актом оператору вручается предписание об устранении нарушений со сроком выполнения не более 6 месяцев с дня вручения этих документов. Оператор должен предоставить в Роскомнадзор информацию о выполнении предписания – в ином случае в его отношении проводится внеплановая выездная проверка.
Если невыполнение предписания влечёт нарушение прав и интересов субъектов персональных данных, то оператор обязан по требованию Роскомнадзора прекратить обработку любых персональных данных до устранения допущенных нарушений. Если этого не сделать, оператор ПДн будет привлечён к административной ответственности.
На заметку
Правила проведение проверок УО как операторов ПДн во многом схожи с правилами проверок, которые проводит в их отношении орган Государственная Жилищная Инспекция.
УО должны иметь в виду, что Роскомнадзор имеет право планово проверять их чаще, чем других операторов ПДн, поскольку они являются поставщиками информации в ГИС ЖКХ.
В ходе контрольных мероприятий будут проверяться как документы, так и порядок их хранения и информационные системы, с помощью которых происходит обработка ПДн.
Хотя внеплановыми могут быть только выездные проверки, плановая документарная проверка легко может превратиться во внеплановую, если Роскомнадзор обнаружит какие-либо нарушения в работе оператора ПДн или в срок не получит необходимые документы.
В случае неустранения нарушений, затрагивающих интересы и права субъектов ПДн, оператор обязан остановить любую обработку персональных данных. В отношении УО это значит, что в такой ситуации они не смогут выставлять счета на оплату жилищно-коммунальных услуг, проводить общие собрания собственников, передавать данные в РСО в рамках договоров ресурсоснабжения и даже обрабатывать заявки, поступающие в аварийно-диспетчерскую службу.