Предписание Роскомнадзора об устранении нарушений в области обработки персональных данных

В связи с вступлением с 01.07.2021 в силу Закона о государственном контроле (надзоре) в РФ и поправок в Закон о персональных данных проверки обработки персональных данных и иные контрольные надзорные мероприятия в этой сфере надзора будут проводиться по новым правилам.

Кроме того, Правительство РФ утвердило положение о федеральном государственном контроле (надзоре) за обработкой персональных данных. Материал будет актуализирован в ближайшее время.

Если проверка Роскомнадзора обнаружила какие-нибудь нарушения требований законодательства в области персональных данных, то вместе с актом проверяемому лицу обязаны выдать предписание об устранении выявленных нарушений (п. 46, пп. "в" п. 21 Правил N 146, п. 85 Регламента).

Полномочие Роскомнадзора по выдаче таких предписаний хотя прямо и не поименовано в Законе N 152-ФЗ, но вытекает из ряда других прав надзорного ведомства:

Роскомнадзор вправе требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных (п. 3 ч. 3 ст. 23 Закона N 152-ФЗ). Роскомнадзор также вправе ограничивать доступ к информации, обрабатываемой с нарушением закона (п. 3.1. ч. 3 ст. 23 Закона N 152-ФЗ). Роскомнадзор вправе также принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона (п. 4 ч. 3 ст. 23 Закона N 152-ФЗ).

В предписании об устранении выявленных нарушений указываются (п.п. 86 - 86.11 Регламента):

-наименование управления Роскомнадзора;

-дата выдачи предписания и его номер;

-наименование оператора, его регистрационный номер в Реестре операторов (если внесен в Реестр), сведения о видах его деятельности;

-дата и номер акта проверки;

-описание нарушения с указанием соответствующих требований и основание выдачи предписания (п. 47 Правил N 146, п.86.8, п. 86.9 Регламента).

Это означает, что предписание должно быть законным и обоснованным, со ссылками на конкретные пункты и статьи нормативно-правовых актов, четким и понятным для исполнения, в нем должны быть указаны конкретные, законные и обоснованные меры для устранения нарушений, при этом данные меры должны быть реальными и исполнимыми. Кроме того, недопустимо выявление смысла предписания путем сопоставления его текста с актом проверки (постановления Пятнадцатого ААС от 11.02.2015 N 15 АП-24218/14, Второго ААС от 24.06.2014 N 02 АП-4244/14, Четырнадцатого ААС от 21.01.2013 N 14 АП-9918/12);

-сроки устранения нарушения - не более шести месяцев - и срок информирования об этом Роскомнадзора (п. 47 Правил N 146, п.п. 86.10, 86.11 Регламента). При этом срок должен быть достаточным для выполнения указанных в предписании мер. В противном случае предписание станет неисполнимым, и его можно оспорить в суде по этому основанию (постановление АС Северо-Кавказского округа от 20.05.2015 N Ф 08-2474/15).

Предписание подписывается должностными лицами Роскомнадзора, проводившими проверку (п. 86.12 Регламента).

Если нарушения обнаружены при проверке лица, осуществляющего деятельность в разных регионах, то предписания выдаются ответственным за проверку управлением Роскомнадзора (п. 87 Регламента).

В случае несогласия с выданным предписанием его можно обжаловать в арбитражном суде, по правилам главы 24 АПК РФ (см. также ч. 6 ст. 23 Закона N 152-ФЗ). Можно также написать схожее заявление в Роскомнадзор, причем не только об отмене предписания, но и по другому сопутствующему вопросу, например, о продлении срока его исполнения (п. 45 Правил N 146, п. 104, п. 8.4 Регламента). Такое заявление будет рассмотрено Роскомнадзором в течение 30 календарных дней (п. 64 Правил N 146, п. 108 Регламента).

Предписание Роскомнадзора, выданное по результатам проверки, должно быть исполнено в указанный в нем срок, с документальным подтверждением исполнения (п.п. 48-51 Правил N 146):

-во-первых, под угрозой выездной внеплановой проверки (проводится, если оператор не доказал исполнение предписания, п. 49 Правил N 146),

-во-вторых, под угрозой приостановления деятельности по обработке ПДн (если предписание мало, что не исполнено, но еще и нарушает права и законные интересы субъектов ПДн, п. 50 Правил N 146),

-в-третьих, под угрозой наказания по ч. 1 ст. 19.5 КоАП РФ. За неисполнение выданного предписания Роскомнадзора об устранении нарушений в области обработки персональных данных предусмотрена административная ответственность по ч. 1 ст. 19.5 КоАП РФ: штраф в размере 300-500 рублей для граждан, штраф в размере 1000-2000 рублей или дисквалификация до трех лет для должностных лиц и ИП (см. примечание к ст. 2.4 КоАП РФ), штраф в размере 10 000-20 000 для организаций.