Утверждены Правила организации и осуществления государственного контроля и надзора за обработкой ПД

Добрый день, коллеги!

13 февраля 2019 года Правительством РФ были приняты[1] Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее – Правила). Указанные Правила были приняты в целях реализации полномочия Правительства РФ, предусмотренного частью 1.1 статьи 23 Федерального закона «О персональных данных»[2] (далее – Закон о персональных данных). Правила вступают в силу 23 февраля 2019 года и обязательны к применению уполномоченным органом – Роскомнадзором.

Ранее порядок проведения контрольно-надзорных мероприятий регламентировался соответствующим Административным регламентом Роскомнадзора[3] (далее – Регламент).

Мы проанализировали основные нововведения, предложенные в Правилах.

Изменены сроки проведения проверок

Ранее пунктом 20 Регламента было установлено, что срок проведения и плановых, и внеплановых проверок не может превышать 20 рабочих дней и может быть продлен в исключительных случаях не более чем на 20 рабочих дней. Для субъектов малого предпринимательства были установлены еще более сокращенные сроки проведения проверок – не более 50 часов для малого предприятия и не более 15 часов для микропредприятия.

В новых Правилах, во-первых, сократили срок проведения внеплановых проверок – теперь в соответствии с пунктом 17 Правил срок их проведения составляет не более 10 рабочих дней и может быть продлен в исключительных случаях не более чем на 10 рабочих дней.

Во-вторых, в Правилах отсутствует указание на более сокращенные сроки проведения проверок для субъектов малого предпринимательства.

В-третьих, установлено специальное правило исчисления сроков проведения проверок в отношении операторов обработки персональных данных, действующих на территории нескольких субъектов РФ. Согласно пункту 18 Правил срок проведения проверки в отношении таких операторов исчисляется в отношении каждого филиала, однако совокупный срок проверки не может превышать более 60 рабочих дней.

Скорректированы основания для проведения внеплановых проверок

Действующей редакцией Регламента предусмотрены 4 основания для проведения внеплановых проверок:

1. Неисполнение оператором обработки персональных данных выданного Роскомнадзором предписания об устранении нарушений;
2. Поступление в Роскомнадзор информации о причинении вреда жизни и здоровью граждан или возникновению угрозы причинения такого вреда вследствие ненадлежащего исполнения оператором обработки персональных данных своих обязанностей;
3. Приказ руководителя Роскомнадзора или его территориального подразделения, изданный в соответствии с поручением Президента РФ, Правительства РФ или прокуратуры.

В пункте 8 Правил основания для проведения внеплановой проверки несколько изменены:

1. Внеплановые проверки теперь могут быть назначены в связи с поступлением в Роскомнадзор любой информации о нарушении прав субъектов персональных данных, предусмотренных главой 3 Закона о персональных данных;
2. Поручения Президента РФ и Правительства РФ, а также требования прокурора являются теперь самостоятельным основанием для проведения внеплановой проверки;
3. Плановые проверки также могут быть назначены по решению руководителя Роскомнадзора на основании проведенных сотрудниками Роскомнадзора мероприятий по контролю без взаимодействия с операторами (о них далее).

Регламентирован порядок проведения контроля без взаимодействия с оператором

Правилами регламентирована новая форма осуществления контроля – мероприятия по контролю без взаимодействия с операторами. В рамках данных мероприятий осуществляется:

1. Проверка информации, размещенной оператором в Интернете и в СМИ;
2. Анализ информации, предоставленной оператором или полученной от других органов государственной власти в рамках межведомственного взаимодействия.

Основанием для проведения данных мероприятий являются, во-первых, поручения Президента РФ, Правительства РФ или руководителя Роскомнадзора, а, во-вторых, поступление в Роскомнадзор информации от физических или юридических лиц, из сети «Интернет» или из СМИ, о нарушении прав субъектов персональных данных или нарушении оператором обязательных требований.

В случае выявления нарушений в результате проведения мероприятий оператору направляется требование об устранении нарушений, которое должно быть исполнено в течение 10 дней, а также (как указано выше) может быть назначена внеплановая проверка.

Скорректирован порядок проведения плановых проверок

Пунктом 33 Регламента установлено, что плановые проверки проводятся 1 раз в 3 года. Данный срок установлен и в Правилах (пункт 6), но, кроме того, установлено специальное правило в отношении операторов:

1. Обрабатывающих персональные данные в государственных информационных системах;
2. Осуществляющих сбор биометрических или специальных категорий персональных данных;
3. Осуществляющих трансграничную передачу персональных данных на территорию, на которой не обеспечивается адекватная защита прав субъектов;
4. Осуществляющих обработку персональных данных по поручению иностранного лица или органа власти, которые не зарегистрированы в России.

В отношении таких операторов плановые проверки осуществляются 1 раз в 2 года.

Несмотря на то что Регламент на момент подготовки данного материала не изменен и не утратил силу, он применяется в части, не противоречащей Правилам, поскольку Правила утверждены нормативным актом более высокого уровня. Можно ожидать, что Регламент будет приведен в соответствии с Правилами в ближайшее время.

_____________________________________

^{[1] Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»}

^{[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»}

^{[3] Приказ Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (Зарегистрировано в Минюсте России 13.12.2011 № 22595)}