5. План проверок Службы защиты персональных данных на 2025 годВ начале года Служба опубликовала
План проверок - официальный документ, определяющий основные направления плановых проверок и конкретные сферы, на которых сосредоточено внимание регулятора. Однако, помимо плановых мероприятий, всегда сохраняются риски внеплановых проверок, которые назначаются по заявлениям граждан или после крупного инцидента.
5.1. Общие направления и сферы проверокСогласно плану,
целевыми группами в 2025 году стали: Несовершеннолетние, молодёжь, мигранты, женщины, пожилые люди, социально незащищённые граждане, лица с ограниченными возможностями, а также обвиняемые/осуждённые.
Сферы, наиболее интересующие Службу: Трудовые отношения, дистанционные услуги, современные технологии, медицинские услуги, скрытые следственные действия.
Тематика проверок охватывает:
- Объёмы и безопасность обработки данных;
- Работу с данными особой категории;
- Права субъектов (доступ, удаление, исправление и пр.);
- Раскрытие и трансграничную передачу сведений;
- Назначение и деятельность офицера по защите данных (DPO).
5.2. Основные категории проверяемых организаций:В недавно опубликованном Службой Плане проверок на 2025 год прямо указаны некоторые государственные (в том числе: Министерство экономики, Министерство финансов, Министерство здравоохранения, Министерство образования), муниципальные (мэрии 5 муниципалитетов), правоохранительные органы (В том числе: МВД, генеральная прокуратура и Министерство обороны), а также коммерческие организации и сферы бизнеса, в том числе: Компании с веб-сайтами и приложениями, Медицинские учреждения, Фитнес-центры и аптеки, Отели и рестораны, Образовательные учреждения, Компании частного права
5.3. Риски внеплановых проверок и ключевые выводы:Регулятор не ограничивается лишь заранее опубликованным списком. Любая организация
может попасть под внеплановую проверку при:
- Поступлении жалобы от субъекта данных;
- Выявлении утечки или другого инцидента, ставшего достоянием общественности;
- Сигналах о несоблюдении законодательства (например, факте отсутствия DPO в обязанных к этому организациях).
Таким образом, всем компаниям важно поддерживать надлежащий уровень защиты данных
и быть готовыми к визиту Службы.