Небольшой обзор постановления правительства № 146 от 13.02.2019, регламентирующего проверки Роскомнадзора

04.03.2019

13 Февраля 2019 года вышло Постановление Правительства Российской Федерации № 146 «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных». Данное постановление устанавливает правила проведения мероприятий контроля и проверок Роскомнадзором организаций операторов персональных данных и права регулятора в рамках этих мероприятий.

Выделим основные моменты Постановления:

1. Помимо проверок, у Роскомнадзора появились новые формы надзорных мероприятий: контроль без взаимодействия с операторами (мероприятия систематического наблюдения) и профилактика нарушений.

2. Протоколы об административном правонарушении Роскомнадзор теперь имеет право составлять по результатам мероприятий систематического наблюдения. То есть оператор может узнать о привлечении к ответственности, только получив повестку в суд.

3. Закрепляется практика принятия решений о проведении проверки по решению Роскомнадзора без санкций прокуратуры.

4. Периодичность проверок для всех операторов осталась 3 года. При этом для операторов информационных систем персональных данных ГИС (государственных информационных систем); производящих обработку специальных категорий и биометрических персональных данных; осуществляющих трансграничную передачу персональных данных в страны, не обеспечивающие адекватную защиту (к примеру, США, Япония, Китай); обрабатывающих персональные данные по поручению иностранного государственного органа, юридического лица, физического лица, не зарегистрированных на территории РФ (к примеру, представительства зарубежных компаний) – 2 года.

5. Утверждено проведение внеплановых проверок на основании обращения граждан, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав действиями (бездействием) оператора.

6. На предоставление запрашиваемых материалов в рамках документарной проверки теперь отводится всего 5 дней, а не 10, как было ранее. Если документы предоставляются в электронной форме, они должны быть подписаны усиленной квалифицированной электронной подписью.

7. В случае, если в рамках документарной проверки выявлены ошибки и противоречия в предоставленных документах и информации, дополнительно запрашиваемые документы теперь необходимо предоставить в течение всего 3 рабочих дней.

8. Если документы не предоставляются в срок, документарная проверка может перерасти в выездную.

9. На предоставление документов при выездной проверке дается не менее двух дней. Актуальный на настоящий момент перечень запрашиваемых документов занимает 6 листов. То есть за 2 дня нужно предоставить документы, один список наименований которых занимает 6 листов.

10. Установлены основания для продления сроков проведения плановых и внеплановых проверок. В их числе:

- непредставление оператором в ходе проведения проверки необходимых документов;

- выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов;

- получение в ходе проведения проверки от правоохранительных органов, органов прокуратуры, из иных источников документов, свидетельствующих о нарушении оператором требований.

11. В случае осуществления оператором действий (бездействия), препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки.

При воспрепятствовании оператором проведению выездной проверки Роскомнадзор может обратиться в правоохранительные органы, в том числе в органы прокуратуры, за содействием в предотвращении или пресечении действий, препятствующих осуществлению государственного контроля и надзора.

12. Полномочия Роскомнадзора не распространяются на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных.

Проверку криптографических средств защиты осуществляет ФСБ, все остальные устройства и программное обеспечение, предназначенные для технической защиты конфиденциальной информации, находятся в ведении ФСТЭК.

 

Также в рамках проверки инспекторы Роскомнадзора имеют право:

- посещать во время проведения выездной проверки помещения, используемые оператором при осуществлении деятельности по обработке персональных данных, и проводить их обследование;

- получать во время проведения выездной проверки доступ к информационным системам персональных данных оператора в режиме просмотра и выборки информации, необходимой для оценки законности деятельности по обработке персональных данных, в том числе на предмет соответствия содержания, объема, способов обработки и сроков хранения обрабатываемых персональных данных целям их обработки;

- по итогам проведения проверки или мероприятия по контролю без взаимодействия с операторами принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований;

- по итогам проведения мероприятия по контролю без взаимодействия с оператором требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

Теги: ПДн, аналитика