Об изменении порядка организации и осуществления государственного контроля и надзора за обработкой персональных данных
- Действие Правил не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона «О персональных данных».
- Контроль и надзор осуществляются все-таки за соблюдением закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, а не законодательства Российской Федерации в области персональных данных.
- Установлены следующие формы контроля:
- организация и проведение плановых и внеплановых проверок;
- принятие мер по пресечению и (или) устранению последствий выявленных нарушений;
- проведение мероприятий по контролю без взаимодействия с операторами («мероприятия систематического наблюдения в сети Интернет»);
- проведение мероприятий по профилактике нарушений. - Закреплена сложившаяся практика определения проверок не в планах проверок, а в планах деятельности территориальных органов. Разница колоссальная: планы проверок согласовываются с прокуратурой и их изменить без прокуратуры нельзя, план деятельности – нет, изменения легко и просто вносятся приказом надзорного органа.
- Основанием для включения плановой проверки в отношении оператора в план по контролю является истечение 3 лет со дня:
- государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;
- окончания последней плановой проверки оператора. - Допустимая периодичность плановых проверок в отношении оператора по-прежнему составляет 3 года, но появились исключения, когда проверка может проводиться раз в два года. Это может относиться к операторам следующих ИСПДн:
- являющихся ГИС;
- обрабатывающих спецкатегории и биометрию;
- осуществляющих трансграничную передачу персданных в государства, не обеспечивающие адекватную защиту прав субъектов персональных данных;
- обрабатывающих персональные данные по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации. - Предусмотрены новые основания проведения внеплановых проверок (только выездных):
- обращения граждан при условии наличия в обращении материалов, подтверждающих факт нарушения их прав действиями (бездействием) оператора, определенных статьями 14-17 Федерального закона «О персональных данных»;
- нарушение, выявленное в ходе мероприятия систематического наблюдения. - Уведомление о плановых проверках должно направляться не позднее чем за 3 рабочих дня до даты начала ее проведения. Уведомить о проверке теперь официально можно по электронной почте, а также «иным доступным способом».
- Сроки проведения проверок:
- плановой - до 20 рабочих дней, но может быть продлен однократно на такой же период;
- внеплановой - до 10 рабочих дней, но может быть продлен однократно на такой же период. - Установлены основания для продления сроков плановых и внеплановых проверок. Их четыре:
- получение в ходе проведения проверки от правоохранительных органов, органов прокуратуры, иных источников документов, свидетельствующих о нарушении оператором требований;
- обстоятельства непреодолимой силы (затопление, наводнение, пожар и тому подобное) на территории, где проводится проверка;
- непредоставление оператором в ходе проведения проверки необходимых документов;
- выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки персональных данных. - Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований, надзорный орган может только в установленном законодательством Российской Федерации порядке. Однако этот порядок до настоящего времени законом не установлен.
- Протоколы об административном правонарушении теперь можно составлять по материалам систематического наблюдения, так что о привлечении к ответственности оператор сможет узнать, только получив повестку в суд.
- Установлено, что запрос о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в надзорный орган, не является документарной проверкой.
- Срок представления материалов для документарной проверки сокращен с 10 до 5 дней; если они представляются в электронной форме, то должны быть подписаны усиленной квалифицированной электронной подписью.
- Не допускается назначение выездной проверки физического лица, не являющегося индивидуальным предпринимателем (например, нотариуса).
- Установлено, что в случае действий (бездействия) оператора, препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки и подробно расписывается сценарий действий при таком воспрепятствовании.