Полевые заметки: "Как проверка сайта Роскомнадзором привела к документарной проверке компании"

С марта 2022 года действует мораторий на проверки в области персональных данных, но это не значит, что инспекторы Роскомнадзора не осуществляют «невидимый» контроль за компаниями. Неожиданности могут подстерегать любого оператора персональных данных.
Один из очередных наших срочных проектов последних недель как раз был связан с плановым контрольным мероприятием Роскомнадзора в одном из регионов ЦФО. Мероприятия систематического наблюдения - это на сегодня единственный легальный вид планового надзорного мероприятия, и итоговый результат такой проверки, когда нет прямого взаимодействия компании и Роскомнадзора, как раз и может привести к непосредственному контакту руководителя организации или ответственного за организацию обработки персональных данных с инспектором Роскомнадзора. Так и произошло в случае, когда нашего клиента пригласили на «ковер» в Управление Роскомнадзора.
               И вновь проблема в том, что большинство организаций по незнанию или по забывчивости не открывают на сайте местного регулятора ежегодный План его деятельности, где в разделе «О проведении мероприятий по контролю за обработкой персональных данных, проводимых без взаимодействия с контролируемым лицом» (а попросту - в плане контроля за нашими сайтами) имеется график контрольных мероприятий и список конкретных сфер, сайты предприятий которых будут подвергаться детальному анализу.
Но это только часть проблемы. В конце 2023 года Приказом №720 Минцифры утверждены индикаторы риска в сфере персональных данных. Так вот, если в ходе такого мониторинга сайта организации специальная программа Роскомнадзора найдет 3 и более несоответствий информации, размещенной на сайте, с информацией из Уведомления об обработке персональных данных (которое, кстати, все компании обязаны были обновить), то Роскомнадзор имеет право на проведение внеплановой проверки.
На таком несоответствии информации как раз и «попался» наш новый клиент. В 2022 году, сменив свою основную деятельность, он был выведен ЦБ РФ из реестра микрофинансовых организаций. На своем официальном сайте компания разместила тогда соответствующую информацию, внесла изменения в ряд опубликованных внутренних документов, в том числе и в Политику по обработке и защите персональных данных. Но при этом ответственный за организацию обработки персональных данных не отправил в Роскомнадзор обновленное Уведомление.
В начале 2024 года региональный регулятор провел мониторинг сайтов микрофинансовых организаций, в том числе и сайта нашего клиента (по Уведомлению они относились к таким организациям), и в частности, по ключевым словам, нашел отличие информации на сайте компании от информации в Уведомлении, хотя по факту в 2023 и 2024 годах наш клиент финансовой деятельностью не занимался и соответственно изменил «Цели обработки персональных данных». И вот - как «гром среди ясного неба»: в апреле 2024 года из Роскомнадзора в компанию приходит циркуляр: «О несоответствии требованиям законодательства РФ в области персональных данных».
Генеральный директор, будучи уверенным в том, что он, не занимаясь финансовой деятельностью (а к финансовым, как и иным высоко-рискованным сферам, у регулятора особое отношение), как бы и не имеет проблем (тем более - при объявленном моратории на проверки), приказал ответственному за организацию обработки персональных данных отправить в Роскомнадзор формальный ответ.
Роскомнадзор расценил такой ответ как отписку и «запустил» документарную проверку, потребовав предоставить порядка 30 документов как по обработке, так и по защите персональных данных.
Только тогда руководитель компании понял, что дела плохи. Ведь во многих внутренних документах не учтены изменения законодательства в области персональных данных 2022 и 2023 годов, они требуют доработки, а своими силами оперативно этот пробел не закрыть и главное - в реестре Роскомнадзора размещена старая форма их Уведомления. Обновить в короткий 10-дневный срок порядка 20 документов и подготовить для Уведомления и Политики новый раздел «Цели обработки персональных данных», в котором их оказалось более 20, - задачи почти невыполнимая. Те из вас, кто самостоятельно выполнял эту работу, знают, как трудоемко и весьма непросто выполнить требования п.2 ч.1 ст.18.1 ФЗ-152 «О персональных данных».
Поэтому компаниям не стоит откладывать в «долгий ящик» ту обязательную работу с обновлением и подготовкой зарегулированных документов, 13 из которых напрямую попадают под санкции КоАП. Следует помнить, что в новой редакции ст.13.11 КоАП, в том числе, будет предусмотрена часть 10 - о невыполнении или несвоевременном выполнении оператором обязанности по уведомлению Роскомнадзора с наказанием оператора персональных данных в размере 100-300 тыс. рублей или руководителя в размере 30-50 тыс. рублей.
Такова будет цена Уведомления! А нашему клиенту в эти майские дни остается ожидать вердикта Роскомнадзора.