Язык:
Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • ПО ElvisSIM.OS
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
    •

    Об изменении порядка организации и осуществления государственного контроля и надзора за обработкой персональных данных

    23.04.2019 Булаев Михаил Александрович, ведущий консультант-аналитик

    Немного об истории вопроса

    До 1 сентября 2015 года Роскомнадзор осуществлял свои полномочия в части осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов в соответствии с положениями Федерального закона от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

    Однако, с 1 сентября 2015 года Федеральным законом от 21 июля 2014 г. №242-ФЗ деятельность Роскомнадзора по осуществлению государственного контроля и надзора за соответствием обработки персональных данных как уполномоченного органа по защите прав субъектов персональных данных была выведена из-под регулирования Федеральным законом от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

    Через 1,5 года Федеральным законом от 22 февраля 2017 года № 16-ФЗ было установлено, что порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных лицами, являющимися операторами, устанавливается Правительством Российской Федерации.

    Наконец (т.е. через 3,5 года), этот порядок был установлен постановлением Правительства РФ от 13 февраля 2019 года №146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».

    Какие же полномочия и особенности осуществления государственного контроля и надзора за обработкой персональных данных предоставлены Роскомнадзору этими Правилами?
    • Действие Правил не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона «О персональных данных».
    • Контроль и надзор осуществляются все-таки за соблюдением закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, а не законодательства Российской Федерации в области персональных данных.
    • Установлены следующие формы контроля:
          - организация и проведение плановых и внеплановых проверок;
          -­ принятие мер по пресечению и (или) устранению последствий выявленных нарушений; ­
          - проведение мероприятий по контролю без взаимодействия с операторами («мероприятия систематического наблюдения в сети Интернет»); ­
          - проведение мероприятий по профилактике нарушений.
    • Закреплена сложившаяся практика определения проверок не в планах проверок, а в планах деятельности территориальных органов. Разница колоссальная: планы проверок согласовываются с прокуратурой и их изменить без прокуратуры нельзя, план деятельности – нет, изменения легко и просто вносятся приказом надзорного органа.
    • Основанием для включения плановой проверки в отношении оператора в план по контролю является истечение 3 лет со дня:
          - ­ государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;
          - ­ окончания последней плановой проверки оператора.
    • Допустимая периодичность плановых проверок в отношении оператора по-прежнему составляет 3 года, но появились исключения, когда проверка может проводиться раз в два года. Это может относиться к операторам следующих ИСПДн: ­
          - являющихся ГИС; ­
          - обрабатывающих спецкатегории и биометрию; ­
          - осуществляющих трансграничную передачу персданных в государства, не обеспечивающие адекватную защиту прав субъектов персональных данных;
          - обрабатывающих персональные данные по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации.
    • Предусмотрены новые основания проведения внеплановых проверок (только выездных): ­
          - обращения граждан при условии наличия в обращении материалов, подтверждающих факт нарушения их прав действиями (бездействием) оператора, определенных статьями 14-17 Федерального закона «О персональных данных»; ­
          - нарушение, выявленное в ходе мероприятия систематического наблюдения.
      • Установлена необходимость согласования внеплановых проверок по новым основаниям с прокуратурой.
    • Уведомление о плановых проверках должно направляться не позднее чем за 3 рабочих дня до даты начала ее проведения. Уведомить о проверке теперь официально можно по электронной почте, а также «иным доступным способом».
    • Сроки проведения проверок:
      ­    - плановой - до 20 рабочих дней, но может быть продлен однократно на такой же период;
          - ­ внеплановой - до 10 рабочих дней, но может быть продлен однократно на такой же период.
    • Установлены основания для продления сроков плановых и внеплановых проверок. Их четыре:
          - ­ получение в ходе проведения проверки от правоохранительных органов, органов прокуратуры, иных источников документов, свидетельствующих о нарушении оператором требований; ­
          - обстоятельства непреодолимой силы (затопление, наводнение, пожар и тому подобное) на территории, где проводится проверка; ­
          - непредоставление оператором в ходе проведения проверки необходимых документов; ­
          - выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки персональных данных.
    • Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований, надзорный орган может только в установленном законодательством Российской Федерации порядке. Однако этот порядок до настоящего времени законом не установлен.
    • Протоколы об административном правонарушении теперь можно составлять по материалам систематического наблюдения, так что о привлечении к ответственности оператор сможет узнать, только получив повестку в суд.
    • Установлено, что запрос о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в надзорный орган, не является документарной проверкой.
    • Срок представления материалов для документарной проверки сокращен с 10 до 5 дней; если они представляются в электронной форме, то должны быть подписаны усиленной квалифицированной электронной подписью.
      • Если документы, в том числе дополнительно запрашиваемые (для их предоставления отводится теперь всего 3 дня, а не 10, как в действующем Административном регламенте Роскомнадзора), не предоставляются оператором в надзорный орган в установленный срок, то документарная проверка может, как и ранее, превратиться в выездную.
    • Не допускается назначение выездной проверки физического лица, не являющегося индивидуальным предпринимателем (например, нотариуса).
      • Остальным проверяемым лицам на предоставление запрашиваемых при выездной проверке документов отводится не менее 2-х дней.
    • Установлено, что в случае действий (бездействия) оператора, препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки и подробно расписывается сценарий действий при таком воспрепятствовании.

    Возврат к списку

    Начиная пользоваться Сайтом, Вы считаетесь принявшими условия Пользовательского Соглашения и соглашаетесь на обработку данных о Вас АО «ЭЛВИС-ПЛЮС», сервисами Яндекс.Метрика и Google Analytics в порядке и целях, указанных в этом Соглашении, и в соответствии с Политикой обработки персональных данных. Если Вы не согласны с этими условиями, покиньте Сайт. Подробнее

    Этот сайт использует сервисы веб-аналитики Яндекс.Метрика и Google Analytics. Эти сервисы используют технологию cookie — небольшие текстовые файлы, размещаемые на компьютере пользователей с целью анализа их пользовательской активности.

    Собранная сервисами при помощи cookie информация не может идентифицировать Вас, однако может помочь нам улучшить работу нашего сайта. Информация об использовании Вами данного сайта, собранная при помощи cookie, будет передаваться компаниям Яндекс и Google. Собранные данные будут обрабатываться для оценки использования Вами сайта, составления для нас отчетов о деятельности нашего сайта, и предоставления других услуг. Яндекс и Google обрабатывают эту информацию в порядке, установленном в условиях использования этих сервисов (см. Пользовательское Соглашение).

    Вы можете отказаться от использования файлов cookie, выбрав соответствующие настройки в браузере. Однако это может повлиять на работу некоторых функций сайта.