13 февраля 2019 г. постановлением правительства РФ № 146 утверждены “Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных”.
Сравниваем с действующим административным регламентом функции по осуществлению государственного контроля (надзора) за соблюдением обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных от 14.11.2011 № 312
Основные изменения:
· Явно исключили контроль за выполнением организационных и технических мер по обеспечению безопасности ПДн
· Соответственно убрали возможность Роскомнадзора привлекать к государственному контролю внешних экспертов (по обеспечению безопасности)
· Обычная периодичность проведения плановых проверок осталась такой же – не чаще чем раз в 3 года. Но добавили 4 исключения, когда периодичность проведения плановых проверок может составлять 2 года: оператор ГИС, специальные категории ПДн и биометрия, трансграничная передача, поручение на обработку от иностранных лиц и компаний.
· Новые основания для проведения внеплановых проверок:
o обращения граждан при условии предоставления подтверждающих материалов
o если в результате контролю без взаимодействия с оператором выявлены нарушения
· Кроме планового и внепланового контроля определены ещё 2 типа мероприятия по контролю:
o контроль без взаимодействия с оператором
o профилактика нарушений
· Протоколы об административном нарушении можно составлять в том числе по результатам “контроля без взаимодействия с оператором”
· На предоставление документов в рамках документарной проверки дается теперь не 10, а всего 5 рабочих дней; на предоставление пояснений всего 3 дня. При несоблюдении сроков, документарная проверка переходит в выездную проверку.
· Теперь можно понять, как будут развиваться события в случае, если оператор не собирается устранять нарушения или полностью бездействует:
o Проводится удаленный контроль без участия оператора
o Выдается предписание устранить нарушение в 10 дневной срок и сообщить в РКН (+ протокол по КОАП 13.11)
o Назначается внеплановая выездная проверка
o В случае бездействия оператора = воспрепятствование проведению проверки - привлекаются правоохранительные органы (+ протокол по КОАП 19.4.1)
o Предписание устранить нарушение в срок установленный Роскомнадзором (+ протокол по КОАП 19.5)
o Предписание о приостановлении деятельности по обработке ПДн
o Меры предусмотренные 152-ФЗ по прекращению обработки ПДн с нарушениями (внесение в Реестр нарушителей + блокирование доступа к сайту)
Выводы: стоит ожидать больше внеплановых проверок, больше случаев, когда оператор “не успел” предоставить информацию или устранить нарушение и больше случаев приостановления обработки ПДн и внесения в реестр нарушителей.
PS: Также подробный анализ изменений у Михаила Емельянникова