Юрист практики по интеллектуальной собственности и информационным технологиям «Качкин и Партнеры»
Посты
7
Лайки
36

Утверждены Правила организации и осуществления государственного контроля и надзора за обработкой ПД

  • 26 февраля 2019 в 11:20
  • 361
  • 4
  • 0

    Добрый день, коллеги!

    13 февраля 2019 года Правительством РФ были приняты[1] Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее – Правила). Указанные Правила были приняты в целях реализации полномочия Правительства РФ, предусмотренного частью 1.1 статьи 23 Федерального закона «О персональных данных»[2] (далее – Закон о персональных данных). Правила вступают в силу 23 февраля 2019 года и обязательны к применению уполномоченным органом – Роскомнадзором.

    Ранее порядок проведения контрольно-надзорных мероприятий регламентировался соответствующим Административным регламентом Роскомнадзора[3] (далее – Регламент).

    Мы проанализировали основные нововведения, предложенные в Правилах.

    Изменены сроки проведения проверок

    Ранее пунктом 20 Регламента было установлено, что срок проведения и плановых, и внеплановых проверок не может превышать 20 рабочих дней и может быть продлен в исключительных случаях не более чем на 20 рабочих дней. Для субъектов малого предпринимательства были установлены еще более сокращенные сроки проведения проверок – не более 50 часов для малого предприятия и не более 15 часов для микропредприятия.

    В новых Правилах, во-первых, сократили срок проведения внеплановых проверок – теперь в соответствии с пунктом 17 Правил срок их проведения составляет не более 10 рабочих дней и может быть продлен в исключительных случаях не более чем на 10 рабочих дней.

    Во-вторых, в Правилах отсутствует указание на более сокращенные сроки проведения проверок для субъектов малого предпринимательства.

    В-третьих, установлено специальное правило исчисления сроков проведения проверок в отношении операторов обработки персональных данных, действующих на территории нескольких субъектов РФ. Согласно пункту 18 Правил срок проведения проверки в отношении таких операторов исчисляется в отношении каждого филиала, однако совокупный срок проверки не может превышать более 60 рабочих дней.

    Скорректированы основания для проведения внеплановых проверок

    Действующей редакцией Регламента предусмотрены 4 основания для проведения внеплановых проверок:

    1. Неисполнение оператором обработки персональных данных выданного Роскомнадзором предписания об устранении нарушений;
    2. Поступление в Роскомнадзор информации о причинении вреда жизни и здоровью граждан или возникновению угрозы причинения такого вреда вследствие ненадлежащего исполнения оператором обработки персональных данных своих обязанностей;
    3. Приказ руководителя Роскомнадзора или его территориального подразделения, изданный в соответствии с поручением Президента РФ, Правительства РФ или прокуратуры.

    В пункте 8 Правил основания для проведения внеплановой проверки несколько изменены:

    1. Внеплановые проверки теперь могут быть назначены в связи с поступлением в Роскомнадзор любой информации о нарушении прав субъектов персональных данных, предусмотренных главой 3 Закона о персональных данных;
    2. Поручения Президента РФ и Правительства РФ, а также требования прокурора являются теперь самостоятельным основанием для проведения внеплановой проверки;
    3. Плановые проверки также могут быть назначены по решению руководителя Роскомнадзора на основании проведенных сотрудниками Роскомнадзора мероприятий по контролю без взаимодействия с операторами (о них далее).

    Регламентирован порядок проведения контроля без взаимодействия с оператором

    Правилами регламентирована новая форма осуществления контроля – мероприятия по контролю без взаимодействия с операторами. В рамках данных мероприятий осуществляется:

    1. Проверка информации, размещенной оператором в Интернете и в СМИ;
    2. Анализ информации, предоставленной оператором или полученной от других органов государственной власти в рамках межведомственного взаимодействия.

    Основанием для проведения данных мероприятий являются, во-первых, поручения Президента РФ, Правительства РФ или руководителя Роскомнадзора, а, во-вторых, поступление в Роскомнадзор информации от физических или юридических лиц, из сети «Интернет» или из СМИ, о нарушении прав субъектов персональных данных или нарушении оператором обязательных требований.

    В случае выявления нарушений в результате проведения мероприятий оператору направляется требование об устранении нарушений, которое должно быть исполнено в течение 10 дней, а также (как указано выше) может быть назначена внеплановая проверка.

    Скорректирован порядок проведения плановых проверок

    Пунктом 33 Регламента установлено, что плановые проверки проводятся 1 раз в 3 года. Данный срок установлен и в Правилах (пункт 6), но, кроме того, установлено специальное правило в отношении операторов:

    1. Обрабатывающих персональные данные в государственных информационных системах;
    2. Осуществляющих сбор биометрических или специальных категорий персональных данных;
    3. Осуществляющих трансграничную передачу персональных данных на территорию, на которой не обеспечивается адекватная защита прав субъектов;
    4. Осуществляющих обработку персональных данных по поручению иностранного лица или органа власти, которые не зарегистрированы в России.

    В отношении таких операторов плановые проверки осуществляются 1 раз в 2 года.

    Несмотря на то что Регламент на момент подготовки данного материала не изменен и не утратил силу, он применяется в части, не противоречащей Правилам, поскольку Правила утверждены нормативным актом более высокого уровня. Можно ожидать, что Регламент будет приведен в соответствии с Правилами в ближайшее время.

    _____________________________________

    [1] Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»

    [2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

    [3] Приказ Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (Зарегистрировано в Минюсте России 13.12.2011 № 22595)

    Добавить
    Юрист практики по интеллектуальной собственности и информационным технологиям «Качкин и Партнеры»
    Для того, чтобы оставить комментарий или проголосовать, вам необходимо войти под своим логином или пройти несложную процедуру регистрации
    Также, вы можете войти используя:

    Прямой эфир

    Cliffсегодня в 12:36
    Новое положение по проведению общих собраний акционеров
    PrimeLсегодня в 10:35
    Потерянный участник с долей в 50% и невозможность одобрения крупной сделки
    GIDAвчера в 21:01
    Самозанятый, оказывающий юруслуги, может использовать НПД