13 февраля 2019 года Правительством РФ были приняты[1] Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее – Правила). Указанные Правила были приняты в целях реализации полномочия Правительства РФ, предусмотренного частью 1.1 статьи 23 Федерального закона «О персональных данных»[2] (далее – Закон о персональных данных). Правила вступают в силу 23 февраля 2019 года и обязательны к применению уполномоченным органом – Роскомнадзором.
Ранее порядок проведения контрольно-надзорных мероприятий регламентировался соответствующим Административным регламентом Роскомнадзора[3] (далее – Регламент).
Юрист практики по интеллектуальной собственности / информационным технологиям «Качкин и Партнеры» Андрей Алексейчук проанализировал основные нововведения, предложенные в Правилах.
Изменены сроки проведения проверок
Ранее пунктом 20 Регламента было установлено, что срок проведения и плановых, и внеплановых проверок не может превышать 20 рабочих дней и может быть продлен в исключительных случаях не более чем на 20 рабочих дней. Для субъектов малого предпринимательства были установлены еще более сокращенные сроки проведения проверок – не более 50 часов для малого предприятия и не более 15 часов для микропредприятия.
В новых Правилах, во-первых, сократили срок проведения внеплановых проверок – теперь в соответствии с пунктом 17 Правил срок их проведения составляет не более 10 рабочих дней и может быть продлен в исключительных случаях не более чем на 10 рабочих дней.
Во-вторых, в Правилах отсутствует указание на более сокращенные сроки проведения проверок для субъектов малого предпринимательства.
В-третьих, установлено специальное правило исчисления сроков проведения проверок в отношении операторов обработки персональных данных, действующих на территории нескольких субъектов РФ. Согласно пункту 18 Правил срок проведения проверки в отношении таких операторов исчисляется в отношении каждого филиала, однако совокупный срок проверки не может превышать более 60 рабочих дней.
Скорректированы основания для проведения внеплановых проверок
Действующей редакцией Регламента предусмотрены 4 основания для проведения внеплановых проверок:
-
Неисполнение оператором обработки персональных данных выданного Роскомнадзором предписания об устранении нарушений;
-
Поступление в Роскомнадзор информации о причинении вреда жизни и здоровью граждан или возникновению угрозы причинения такого вреда вследствие ненадлежащего исполнения оператором обработки персональных данных своих обязанностей;
-
Приказ руководителя Роскомнадзора или его территориального подразделения, изданный в соответствии с поручением Президента РФ, Правительства РФ или прокуратуры.
В пункте 8 Правил основания для проведения внеплановой проверки несколько изменены:
-
Внеплановые проверки теперь могут быть назначены в связи с поступлением в Роскомнадзор любой информации о нарушении прав субъектов персональных данных, предусмотренных главой 3 Закона о персональных данных;
-
Поручения Президента РФ и Правительства РФ, а также требования прокурора являются теперь самостоятельным основанием для проведения внеплановой проверки;
-
Плановые проверки также могут быть назначены по решению руководителя Роскомнадзора на основании проведенных сотрудниками Роскомнадзора мероприятий по контролю без взаимодействия с операторами (о них далее).
Регламентирован порядок проведения контроля без взаимодействия с оператором
Правилами регламентирована новая форма осуществления контроля – мероприятия по контролю без взаимодействия с операторами. В рамках данных мероприятий осуществляется:
-
Проверка информации, размещенной оператором в Интернете и в СМИ;
-
Анализ информации, предоставленной оператором или полученной от других органов государственной власти в рамках межведомственного взаимодействия.
Основанием для проведения данных мероприятий являются, во-первых, поручения Президента РФ, Правительства РФ или руководителя Роскомнадзора, а, во-вторых, поступление в Роскомнадзор информации от физических или юридических лиц, из сети «Интернет» или из СМИ, о нарушении прав субъектов персональных данных или нарушении оператором обязательных требований.
В случае выявления нарушений в результате проведения мероприятий оператору направляется требование об устранении нарушений, которое должно быть исполнено в течение 10 дней, а также (как указано выше) может быть назначена внеплановая проверка.
Скорректирован порядок проведения плановых проверок
Пунктом 33 Регламента установлено, что плановые проверки проводятся 1 раз в 3 года. Данный срок установлен и в Правилах (пункт 6), но, кроме того, установлено специальное правило в отношении операторов:
-
Обрабатывающих персональные данные в государственных информационных системах;
-
Осуществляющих сбор биометрических или специальных категорий персональных данных;
-
Осуществляющих трансграничную передачу персональных данных на территорию, на которой не обеспечивается адекватная защита прав субъектов;
-
Осуществляющих обработку персональных данных по поручению иностранного лица или органа власти, которые не зарегистрированы в России.
В отношении таких операторов плановые проверки осуществляются 1 раз в 2 года.
Несмотря на то что Регламент на момент подготовки данного материала не изменен и не утратил силу, он применяется в части, не противоречащей Правилам, поскольку Правила утверждены нормативным актом более высокого уровня. Можно ожидать, что Регламент будет приведен в соответствии с Правилами в ближайшее время, отмечает Андрей Алексейчук.
[1] Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»
[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
[3] Приказ Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (Зарегистрировано в Минюсте России 13.12.2011 № 22595)
|