Контакты Скачать
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии и сертификаты
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • ПО ElvisSIM.OS
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • Об изменении порядка организации и осуществления государственного контроля и надзора за обработкой персональных данных

    23.04.2019 Булаев Михаил Александрович, ведущий консультант-аналитик

    Немного об истории вопроса

    До 1 сентября 2015 года Роскомнадзор осуществлял свои полномочия в части осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов в соответствии с положениями Федерального закона от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

    Однако, с 1 сентября 2015 года Федеральным законом от 21 июля 2014 г. №242-ФЗ деятельность Роскомнадзора по осуществлению государственного контроля и надзора за соответствием обработки персональных данных как уполномоченного органа по защите прав субъектов персональных данных была выведена из-под регулирования Федеральным законом от 26 декабря 2008 года № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

    Через 1,5 года Федеральным законом от 22 февраля 2017 года № 16-ФЗ было установлено, что порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных лицами, являющимися операторами, устанавливается Правительством Российской Федерации.

    Наконец (т.е. через 3,5 года), этот порядок был установлен постановлением Правительства РФ от 13 февраля 2019 года №146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».

    Какие же полномочия и особенности осуществления государственного контроля и надзора за обработкой персональных данных предоставлены Роскомнадзору этими Правилами?

    • Действие Правил не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона «О персональных данных».
    • Контроль и надзор осуществляются все-таки за соблюдением закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, а не законодательства Российской Федерации в области персональных данных.
    • Установлены следующие формы контроля:
          - организация и проведение плановых и внеплановых проверок;
          -­ принятие мер по пресечению и (или) устранению последствий выявленных нарушений; ­
          - проведение мероприятий по контролю без взаимодействия с операторами («мероприятия систематического наблюдения в сети Интернет»); ­
          - проведение мероприятий по профилактике нарушений.
    • Закреплена сложившаяся практика определения проверок не в планах проверок, а в планах деятельности территориальных органов. Разница колоссальная: планы проверок согласовываются с прокуратурой и их изменить без прокуратуры нельзя, план деятельности – нет, изменения легко и просто вносятся приказом надзорного органа.
    • Основанием для включения плановой проверки в отношении оператора в план по контролю является истечение 3 лет со дня:
          - ­ государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;
          - ­ окончания последней плановой проверки оператора.
    • Допустимая периодичность плановых проверок в отношении оператора по-прежнему составляет 3 года, но появились исключения, когда проверка может проводиться раз в два года. Это может относиться к операторам следующих ИСПДн: ­
          - являющихся ГИС; ­
          - обрабатывающих спецкатегории и биометрию; ­
          - осуществляющих трансграничную передачу персданных в государства, не обеспечивающие адекватную защиту прав субъектов персональных данных;
          - обрабатывающих персональные данные по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации.
    • Предусмотрены новые основания проведения внеплановых проверок (только выездных): ­
          - обращения граждан при условии наличия в обращении материалов, подтверждающих факт нарушения их прав действиями (бездействием) оператора, определенных статьями 14-17 Федерального закона «О персональных данных»; ­
          - нарушение, выявленное в ходе мероприятия систематического наблюдения.
    • Установлена необходимость согласования внеплановых проверок по новым основаниям с прокуратурой.
    • Уведомление о плановых проверках должно направляться не позднее чем за 3 рабочих дня до даты начала ее проведения. Уведомить о проверке теперь официально можно по электронной почте, а также «иным доступным способом».
    • Сроки проведения проверок:
      ­    - плановой - до 20 рабочих дней, но может быть продлен однократно на такой же период;
          - ­ внеплановой - до 10 рабочих дней, но может быть продлен однократно на такой же период.
    • Установлены основания для продления сроков плановых и внеплановых проверок. Их четыре:
          - ­ получение в ходе проведения проверки от правоохранительных органов, органов прокуратуры, иных источников документов, свидетельствующих о нарушении оператором требований; ­
          - обстоятельства непреодолимой силы (затопление, наводнение, пожар и тому подобное) на территории, где проводится проверка; ­
          - непредоставление оператором в ходе проведения проверки необходимых документов; ­
          - выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки персональных данных.
    • Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований, надзорный орган может только в установленном законодательством Российской Федерации порядке. Однако этот порядок до настоящего времени законом не установлен.
    • Протоколы об административном правонарушении теперь можно составлять по материалам систематического наблюдения, так что о привлечении к ответственности оператор сможет узнать, только получив повестку в суд.
    • Установлено, что запрос о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в надзорный орган, не является документарной проверкой.
    • Срок представления материалов для документарной проверки сокращен с 10 до 5 дней; если они представляются в электронной форме, то должны быть подписаны усиленной квалифицированной электронной подписью.
    • Если документы, в том числе дополнительно запрашиваемые (для их предоставления отводится теперь всего 3 дня, а не 10, как в действующем Административном регламенте Роскомнадзора), не предоставляются оператором в надзорный орган в установленный срок, то документарная проверка может, как и ранее, превратиться в выездную.
    • Не допускается назначение выездной проверки физического лица, не являющегося индивидуальным предпринимателем (например, нотариуса).
    • Остальным проверяемым лицам на предоставление запрашиваемых при выездной проверке документов отводится не менее 2-х дней.
    • Установлено, что в случае действий (бездействия) оператора, препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки и подробно расписывается сценарий действий при таком воспрепятствовании.

    Возврат к списку