Правительство определило правила контроля и надзора за соответствием обработки персональных данных требованиям законодательства

Правительство определило правила контроля и надзора за соответствием обработки персональных данных требованиям законодательства

После пяти попыток и трех с половиной лет Постановлением Правительства РФ от 13.02.2019 № 146 утверждены «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных», которые 15 февраля опубликованы на Официальном интернет-портале правовой информации .
С проектами произошел просто какой-то казус. Предыдущий проект был «завернут» при регистрации Минюстом из-за отсутствия в названии «государственный контроль и надзор» слова «федеральный», которое используется в том случае, если правила контроля и надзора определяют президент или правительство. Именно с этим словом проект висит до сих пор на официальном сайте раскрытия информации о подготовке нормативных правовых актов. А документ вышел без него. И Положение превратилось в Правила. Но не в названии суть.
Я не буду сравнивать пять версий документа и анализировать, что и когда менялось, смысла нет. Самое важное – чем Правила отличаются от действующего Административного регламента Роскомнадзора, и что в них нового.
В Правилах четко и однозначно указано, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона «О персональных данных». Поэтому никаких экспертов и экспертных организаций при Роскомнадзоре для «обследования и определения уровня защищенности негосударственных информационных систем персональных данных», о которых я писал четыре года назад . Они в правилах вообще не упоминаются.
Контроль и надзор осуществляется все-таки за соблюдением закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, как написано в части 1.1 статьи 23 закона, а не законодательства Российской Федерации в области персональных данных, как написано в части 1 той же статьи. Почувствуйте разницу. Снова придется возвращаться к вопросу о полномочиях по контролю и надзору за соблюдением требований главы 14 Трудового кодекса .
К плановым и внеплановым проверкам и принятием мер по пресечению и (или) устранению последствий выявленных нарушений добавились две новые формы надзорных мероприятий: контроль без взаимодействия с операторами (который в планах деятельности территориальных управлений Роскомнадзора называется «мероприятиями систематического наблюдения») и профилактика нарушений. Систематическое наблюдение ведется года так с 2015, но нормативно не регулировалось, а вот профилактики не было совсем.
Закреплена сложившая практика определения проверок не в планах проверок, а в планах деятельности территориальных органов. Разница колоссальная: планы проверок согласовываются с прокуратурой и их изменить без прокуратуры нельзя, план деятельности – нет, изменения вносятся приказом надзорного органа легко и просто. Посмотрите, например, здесь . Год только начался, а в план внесены изменения уже 13-ю приказами.
Допустимая периодичность плановых проверок в отношении оператора по-прежнему составляет 3 года, но появились исключения, когда проверка может проводиться раз в два года: операторов ИСПДн, являющихся ГИСами; обрабатывающих спецкатегории и биометрию; осуществляющих трансграничную передачу персданных в государства, не обеспечивающие адекватную защиту прав субъектов персональных данных (вниманию дочек американских, японских, китайских компаний и пользователей дешевой инфраструктуры в Бангалоре); и, наконец, обрабатывающих персональные данные по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации (вниманию представительств и филиалов иностранных компаний, не образующих в России юрлиц). Как эти иностранные органы и лица могут быть зарегистрированы в России, я не знаю.
Из принципиально нового. Все-таки появилось такое основание внеплановых проверок (только выездных), как обращения граждан при условии наличия в обращении материалов, подтверждающих факт нарушения их прав действиями (бездействием) оператора, определенных статьями 14-17 закона «О персональных данных», чего надзорный орган добивался давно, и что далеко выходит за пределы закона 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Появилось и еще одно новое основание для внеплановых проверок – нарушение, выявленное в ходе мероприятия систематического наблюдения.
Таким образом, ситуация меняется радикально – внеплановые проверки, которых было очень мало ввиду жестких ограничений закона и Административного регламента, могут стать основным видом надзорной деятельности. Сдерживающим фактором может стать необходимость согласования проверок по новым основаниям с прокуратурой. Посмотрим.
Наконец-то вслед за законом, в котором изменения были сделаны в 2016 году, исправлена совершенно удивительная формулировка Административного регламента об уведомлении о плановых проверках («не позднее, чем в течение 3 рабочих дней до начала ее проведения»): теперь это надо делать не позднее чем за 3 рабочих дня до даты начала ее проведения. Уведомить о проверке теперь официально можно по электронной почте, что давно делается на практике, а также «иным доступным способом».
Срок проведения внеплановой проверки сокращен до 10 рабочих дней, но может быть продлен на такой же период.
Установлены основания для продления сроков плановых и внеплановых проверок. Их четыре:
·         получение в ходе проведения проверки от правоохранительных органов, органов прокуратуры, из иных источников документов, свидетельствующих о нарушении оператором требований;
·         обстоятельства непреодолимой силы (затопление, наводнение, пожар и тому подобное) на территории, где проводится проверка;
·         непредставление оператором в ходе проведения проверки необходимых документов;
·         выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки
персональных данных.
Последнее основание применимо к деятельности любой большой компании, но продление сроков проверки, во всяком случае, в ЦФО, давно стало обыденным делом.
Еще из нового. Теперь применять принадлежащую Роскомнадзору технику и оборудование можно только в ходе мероприятий систематического наблюдения.
Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований, надзорный орган может только в установленном законодательством Российской Федерации порядке. Что это за порядок – загадка, как 12 лет назад, когда закон вступил в силу.
Протоколы об административном правонарушении теперь можно составлять по материалам систематического наблюдения, так что оператор сможет о привлечении к ответственности узнать, только получив повестку в суд.
Однозначно зафиксировано, что запрос о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в надзорный орган, не является документарной проверкой.
Срок представления материалов для документарной проверки сокращен с 10 до 5 дней, если они представляются в электронной форме, то должны быть подписаны усиленной квалифицированной электронной подписью. Как ее может проверить надзорный орган, по-прежнему неясно.
Если документы, в том числе дополнительно запрашиваемые (для их представления отводится теперь всего 3 дня, а не 10, как в действующем Административном регламенте), не предоставляются оператором в надзорный орган в установленный срок, документарная проверка может, как и ранее, превратиться в выездную.
Назначить выездную проверку физлица, не являющегося индивидуальным предпринимателем (например, нотариуса), нельзя совсем.
Остальным проверяемым лицам на предоставление запрашиваемых при выездной проверке документов отводится не менее 2-х дней. Нынешний перечень запрашиваемых документов занимает 6 листов. То есть 6 листов только наименований документов, которые надо предоставить за два дня! Один из операторов, проверку которого мы сопровождали, подготовил и передал больше 400 документов. 
В Правилах прямо установлено, что в случае действий (бездействия) оператора, препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки и подробно расписывается сценарий действий при таком воспрепятствовании.
Ну, и, наконец, что в Правилах так и не появилось, хотя этого очень ждали:
·         риск-ориентированный подход при определении операторов, у которых планируется проверка;
·         использование проверочных листов (списков контрольных вопросов), предусмотренных законом 294-ФЗ, который с 1 сентября 2015 года не регламентирует проверки соблюдения законодательства о персональных данных;
·         сроки оформления актов проверок после их окончания;
·         основания и порядок признания проверок недействительными (статья 20 закона 294-ФЗ).
Ждем теперь изменения Административного регламента.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение

Михаил Емельянников

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.