Новые правила проверок Роскомнадзора в области персональных данных
Юридическая компания «Пепеляев Групп» сообщает о вступлении в силу обновленного порядка проверок соблюдения законодательства в области персональных данных
23 февраля 2019 г. вступает в силу Постановление Правительства РФ[1], устанавливающее порядок организации и осуществления проверок в отношении операторов персональных данных (далее – Постановление). Ранее порядок проведения проверок регулировался Административным регламентом 2011 г.[2] (далее – Административный регламент). Постановление обновило и дополнило этот порядок, закрепив его на более высоком нормативном уровне, как того требует законодательство.
Несмотря на то, что общие правила проведения проверок, установленные Административным регламентом, не изменились, Постановление вводит ряд любопытных, на наш взгляд, положений. Среди них можно отметить следующие.
Исключается «техническая сторона» вопроса
В Постановлении акцентировано внимание на том, что Роскомнадзор не проверяет выполнение организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (далее – ИСПДн). Причем из-под сферы проверок выведена целиком ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В связи с выведением за пределы проверки существенного блока регуляторных требований в части обеспечения безопасности персональных данных в ИСПДн, можно ожидать последующего утверждения соответствующих правил контроля и надзора в данной области, вероятно, с передачей данной компетенции другим контрольно-надзорным органам, например, ФСТЭК России. |
Увеличивается частота плановых проверок
Как и ранее, сохранилось общее правило о проведении плановых проверок операторов раз в три года и реже. Однако появилась новая классификация операторов персональных данных для целей проверок, среди них операторы:
- осуществляющие сбор биометрических и специальных категорий персональных данных;
- осуществляющие трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;
- обрабатывающие персональные данные по поручению иностранной компании (физического лица, государственного органа), не зарегистрированного в России.
Таких операторов теперь смогут проверять чаще – один раз в два года.
Уточняются иные процедурные положения
Несмотря на то, что Роскомнадзор теперь вправе осуществлять плановые проверки операторов чаще, следует учитывать нехватку ресурсов для регулярной проверки значительного количества компаний. Однако если обратить внимание на список операторов, то, например, в связи с обработкой специальных категорий персональных данных, которая осуществляется практически всеми работодателями (например, сведения о состоянии здоровья работников), в данную группу операторов попадают, по сути, все компании. Поэтому если у Роскомнадзора будет намерение проверять того или иного оператора столь часто, это будет допустимо в рамках закона. |
Уточнен и расширен перечень оснований для продления срока проведения проверки. Так, например, основанием для продления проверки теперь является разветвленность организационно-хозяйственной структуры оператора, сложность технологических процессов обработки персональных данных.
Упразднены внеплановые документарные проверки.
В отношении ИСПДн уточнено право регулятора получать во время выездной проверки доступ к ИСПДн оператора в режиме просмотра и выборки информации на предмет соответствия содержания, объема, способов обработки и сроков хранения обрабатываемых персональных данных целям их обработки.
Срок внеплановой проверки сокращается с 20 до 10 дней.
Кроме того, установлен предельный срок устранения выявленных в ходе проверки нарушений, который будет составлять шесть месяцев (ранее такой срок определялся на усмотрение Роскомнадзора).
О чем подумать, что сделать
Компаниям рекомендуется провести проверку соблюдения требований законодательства о персональных данных, а также заблаговременно подготовиться к возможным контрольно-надзорным мероприятиям Роскомнадзора.
Помощь консультантов
Специалисты юридической компании «Пепеляев Групп» рады оказать услуги по проведению аудита операторов персональных данных в части соблюдения требований законодательства о персональных данных и по приведению деятельности операторов в соответствие с требованиями закона.
Наши юристы обладают большим опытом по подготовке и сопровождению проверок, проводимых Роскомнадзором, и готовы оказать соответствующее комплексное правовое и техническое содействие для своевременного выявления возможных нарушений и их устранения, а также представлять интересы организации и ее сотрудников при проведении контрольных мероприятий и в спорах с административными органами.
[1] Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».
[2] Утвержден Приказом Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».