Роскомнадзор, ФСТЭК России и ФСБ России в рамках своей компетенции осуществляют плановые и внеплановые проверки законности обработки персональных данных. Это предусмотрено регламентом проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных (www.rsoc.ru/.cmsc/upload/documents/20090828191123gJ.doc).
Проверка осуществляется в отношении Операторов - государственных органов, муниципальных органов, юридических или физических лиц, организующих и (или) осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных.
Проверка соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных завершается:
- составлением и вручением Оператору акта проверки;
- выдачей Оператору предписания об устранении выявленных нарушений требований законодательства Российской Федерации в области персональных данных;
- составлением протокола об административном правонарушении в отношении Оператора;
- подготовкой и направлением материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам правонарушений (преступлений), связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.
О проведении плановой проверки Оператор уведомляется не позднее, чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Роскомнадзора или ее территориального органа с уведомлением о вручении или иным доступным способом.
Внеплановые проверки проводятся по следующим основаниям:
- истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных;
- поступление в Роскомнадзор или его территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
- возникновение угрозы причинения вреда жизни, здоровью граждан;
- причинение вреда жизни, здоровью граждан;
- нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных;
- нарушение Операторами требований настоящего Федерального закона и иных нормативных правовых актов в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.
О проведении внеплановой выездной проверки Оператор уведомляется Роскомнадзором или ее территориальным органом не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.
Должностные лица Роскомнадзора или его территориального органа, в качестве приглашенных специалистов, могут принимать участие в проверках ФСБ России, ФСТЭК России, правоохранительных органов и органов прокуратуры.
В ходе проведения проверки Роскомнадзор или его территориальный орган осуществляют следующие мероприятия по контролю:
а) рассмотрение документов Оператора, включающих сведения:
- содержащиеся в уведомлении об обработке персональных данных, поступивших от Оператора и фактической деятельности Оператора;
- о фактах, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Роскомнадзор или его территориальный орган;
- о выполнении Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных. Данная проверка проводится в виде внеплановой проверки;
- о наличии у Оператора письменного согласия субъекта персональных данных на обработку его персональных данных;
- о соблюдении требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных;
- о порядке и условиях трансграничной передачи персональных данных;
- о порядке обработки персональных данных, осуществляемой без использования средств автоматизации;
- о соблюдении требований конфиденциальности при обработке персональных данных;
- о фактах уничтожения Оператором персональных данных субъектов персональных данных по достижении цели обработки;