В этом браузере сайт может отображаться некорректно. Рекомендуем Вам установить более современный браузер.

Chrome Safari Firefox Opera IE  
Меню
x
 
 
Версия для печати

Приняты новые правила государственного надзора за операторами персональных данных

25 февраля 2019

С 23 февраля 2019 года вступило в силу Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных». Правила вводят новый вид контрольного мероприятия – наблюдение за оператором персональных данных, а также конкретизируют многие аспекты контрольно-надзорной деятельности Роскомнадзора.

До появления новых Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных (далее – «Правила») Роскомнадзор применял Административный регламент, утвержденный Приказом Минкомсвязи России от 14.11.2011 № 312. Ниже представлены основные новеллы, важные для коммерческих компаний – операторов персональных данных.

Наблюдение за деятельностью оператора персональных данных

Пункт 54 Правил предусматривает проведение мероприятий по контролю без непосредственного взаимодействия с операторами. Ранее подобные формы контроля в области персональных данных не были установлены на нормативном уровне. К ним относятся:

  • наблюдение за выполнением требований о персональных данных при размещении информации в Интернете и СМИ; и
  • наблюдение посредством анализа информации о деятельности оператора, предоставленной самим оператором в Роскомнадзор в соответствии с нормами законодательства или полученной Роскомнадзором, в том числе в рамках межведомственного взаимодействия.

Во втором случае речь может идти о соответствии реальной деятельности оператора тому, что он указал в своем уведомлении об обработке персональных данных. За редкими исключениями подача уведомления является обязательной согласно ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон»). Роскомнадзор сможет, к примеру, получить сведения об операторе из других государственных органов (налоговая инспекция, трудовая инспекция). Исходя из буквального прочтения Правил, необходимую для контроля информацию Роскомнадзор может собирать и самостоятельно, но пределы и условия осуществления подобных действий не обозначены.

Указанные мероприятия проводятся на основании обращения гражданина, юридического лица, государственного органа, публикации в СМИ или Интернете о нарушении оператором законодательства, а также в других случаях. По результатам контроля может быть назначена выездная проверка (пп. Д) п.8 Правил). Кроме того, оператор персональных данных может получить требование об уточнении, блокировании или уничтожении недостоверных или незаконно полученных данных и/или сразу протокол об административном правонарушении.

Основания и сроки внеплановой проверки

В соответствии с п. 8 Правил внеплановая проверка может быть назначена по результатам наблюдения за оператором персональных данных. По согласованию с прокуратурой проверка проводится и по результатам обращения граждан. К таким обращениям должны быть приложены материалы, подтверждающие нарушение прав субъектов персональных данных, предусмотренных в ст. 14 – 17 Закона (право на доступ к своим персональным данным, права при обработке данных в целях продвижения товаров, работ и услуг и т.д.). Остальные основания для назначения проверки остались без существенных изменений. К ним относятся требования прокуратуры, неисполнение предписания Роскомнадзора и некоторые другие.

Срок проведения внеплановой проверки не может превышать 10 рабочих дней (с возможностью продления еще на 10 рабочих дней). Согласно п. 25 Правил, внеплановые документарные проверки больше не осуществляются.

Сроки назначения и проведения плановой проверки

Согласно п. 6 и 7 Правил, плановая проверка оператора персональных данных может проводиться не чаще одного раза в три года. Этот интервал сокращается до двух лет, если оператор:

  • работает с персональными данными в государственных информационных системах;
  • обрабатывает биометрические данные (например, отпечаток пальца) и специальные категории данных (например, сведения о состоянии здоровья);
  • передает персональные данные на территорию иностранного государства, не обеспечивающего их адекватную защиту (например, в США, Индию или Китай);
  • обрабатывает персональные данные по поручению иностранной компании, государственного органа или физического лица, которые не зарегистрированы в России.

Срок проведения проверки не должен превышать 20 рабочих дней. Допускается продление еще на 20 рабочих дней.

Полномочия проверяющих

В п.21 Правил перечислены полномочия должностных лиц Роскомнадзора. В частности, они получили право во время контрольных мероприятий или надзорной проверки использовать принадлежащие Роскомнадзору технику и оборудование без взаимодействия с оператором. Иными словами, проверяющие смогут свободно проносить в офис проверяемой компании, в том числе в серверную комнату, любые имеющиеся у них технические средства, что создает риски информационной безопасности.

Объем проверки

Под проверку подпадают:

  • деятельность оператора по обработке персональных данных с использованием и/или без использования средств автоматизации;
  • документы, локальные акты и предпринятые меры по выполнению обязанностей оператора (согласно ч.1 ст.18.1 Закона);
  • информационные системы (например, 1С или CRM-системы), но только в части, касающейся процессов обработки персональных данных.

При этом Правила не регламентируют контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности информационных систем персональных данных. Подобные меры предусмотрены в ст.19 Закона и в основном предполагают защиту компьютерных систем от неправомерного доступа, утечек или повреждения информации.

Последствия для бизнеса

  • Новые Правила должны применяться даже к тем плановым проверкам, которые назначены на 2019 год (кроме уже прошедших). Это обстоятельство целесообразно учитывать при подготовке к проверке.
  • В связи с внедрением процедуры наблюдения за деятельностью операторов, компаниям следует уделять особое внимание своевременной подаче уведомлений об обработке персональных данных в Роскомнадзор и поддержанию сведений в Реестре операторов в актуальном состоянии.
  • Интернет-компаниям необходимо убедиться, что их сайты отвечают всем законодательным требованиям и тенденциям в правоприменительной практике, в том числе содержат политики в отношении обработки персональных данных, сведения о реализуемых требованиях к защите персональных данных и согласия пользователей на обработку их данных.
  • Для международных компаний, их филиалов и представительств в России особое значение имеет правильное оформление отношений по обмену данными с материнской компанией и другими иностранными офисами. Теперь от этого будет зависеть периодичность (а возможно и вероятность) плановых проверок.

Настоящий обзор подготовлен в справочных целях и не отражает всех нововведений. Для получения более подробной информации, пожалуйста, свяжитесь с нами по следующим контактным данным:
Станислав Румянцев, к.ю.н., CIPP/E
старший юрист

тел: +7 495 937 61 16
RumyantsevS@gorodissky.ru


Поделиться:
Вернуться назад