13 Февраля 2019 года вышло Постановление Правительства Российской Федерации № 146 «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных». Данное постановление устанавливает правила проведения мероприятий контроля и проверок Роскомнадзором организаций операторов персональных данных и права регулятора в рамках этих мероприятий.
Выделим основные моменты Постановления:
1. Помимо проверок, у Роскомнадзора появились новые формы надзорных мероприятий: контроль без взаимодействия с операторами (мероприятия систематического наблюдения) и профилактика нарушений.
2. Протоколы об административном правонарушении Роскомнадзор теперь имеет право составлять по результатам мероприятий систематического наблюдения. То есть оператор может узнать о привлечении к ответственности, только получив повестку в суд.
3. Закрепляется практика принятия решений о проведении проверки по решению Роскомнадзора без санкций прокуратуры.
4. Периодичность проверок для всех операторов осталась 3 года. При этом для операторов информационных систем персональных данных ГИС (государственных информационных систем); производящих обработку специальных категорий и биометрических персональных данных; осуществляющих трансграничную передачу персональных данных в страны, не обеспечивающие адекватную защиту (к примеру, США, Япония, Китай); обрабатывающих персональные данные по поручению иностранного государственного органа, юридического лица, физического лица, не зарегистрированных на территории РФ (к примеру, представительства зарубежных компаний) – 2 года.
5. Утверждено проведение внеплановых проверок на основании обращения граждан, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав действиями (бездействием) оператора.
6. На предоставление запрашиваемых материалов в рамках документарной проверки теперь отводится всего 5 дней, а не 10, как было ранее. Если документы предоставляются в электронной форме, они должны быть подписаны усиленной квалифицированной электронной подписью.
7. В случае, если в рамках документарной проверки выявлены ошибки и противоречия в предоставленных документах и информации, дополнительно запрашиваемые документы теперь необходимо предоставить в течение всего 3 рабочих дней.
8. Если документы не предоставляются в срок, документарная проверка может перерасти в выездную.
9. На предоставление документов при выездной проверке дается не менее двух дней. Актуальный на настоящий момент перечень запрашиваемых документов занимает 6 листов. То есть за 2 дня нужно предоставить документы, один список наименований которых занимает 6 листов.
10. Установлены основания для продления сроков проведения плановых и внеплановых проверок. В их числе:
- непредставление оператором в ходе проведения проверки необходимых документов;
- выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов;
- получение в ходе проведения проверки от правоохранительных органов, органов прокуратуры, из иных источников документов, свидетельствующих о нарушении оператором требований.
11. В случае осуществления оператором действий (бездействия), препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки.
При воспрепятствовании оператором проведению выездной проверки Роскомнадзор может обратиться в правоохранительные органы, в том числе в органы прокуратуры, за содействием в предотвращении или пресечении действий, препятствующих осуществлению государственного контроля и надзора.
12. Полномочия Роскомнадзора не распространяются на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных.
Проверку криптографических средств защиты осуществляет ФСБ, все остальные устройства и программное обеспечение, предназначенные для технической защиты конфиденциальной информации, находятся в ведении ФСТЭК.
Также в рамках проверки инспекторы Роскомнадзора имеют право:
- посещать во время проведения выездной проверки помещения, используемые оператором при осуществлении деятельности по обработке персональных данных, и проводить их обследование;
- получать во время проведения выездной проверки доступ к информационным системам персональных данных оператора в режиме просмотра и выборки информации, необходимой для оценки законности деятельности по обработке персональных данных, в том числе на предмет соответствия содержания, объема, способов обработки и сроков хранения обрабатываемых персональных данных целям их обработки;
- по итогам проведения проверки или мероприятия по контролю без взаимодействия с операторами принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований;
- по итогам проведения мероприятия по контролю без взаимодействия с оператором требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
Теги: ПДн, аналитика