27 июля 2017

Изменения порядка проведения проверок операторов персональных данных

В начале июля на портале regulation.gov.ru выложили на обсуждение проект нормативно-правового акта «Об утверждении Положения о порядке осуществления федерального государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации» (далее — Положение). На текущий момент Положение все еще находится в стадии общественного обсуждения и проходит антикоррупционную экспертизу до 07 сентября 2017.
В связи с расширением полномочий Роскомнадзора — с этого года он обеспечивает, организует и осуществляет государственный контроль и надзор за обработкой персональных данных — принятие Положения и вступление его в силу видится вполне вероятным.
Положение регулирует проведение проверок именно обработки персональных данных. Применение организационных и технических мер по защите персональных данных исключено из области действия документа. Либо будет отдельное положение, либо защиту проверять не будут, либо ее будет проверять кто-то другой… Who knows…

Новые основания для включения операторов в план проверок

Сформулированы новые основания для включения оператора в план проверок — теперь это только осуществление деятельности по обработке персональных данных. Причем периодичность проведения проверок в отношении оператора определяется с учетом риск-ориентированного подхода. Критерии отнесения оператора к той или иной группе риска устанавливаются Роскомнадзором самостоятельно.
Если документ будет принят без существенных изменений, Роскомнадзор получит почти полную свободу проверять, кого хочет и как хочет. И если компания будет отнесена к высокой группе риска, то проверять ее смогут хоть каждый год.

Для сравнения, на текущий момент основанием для включения плановой проверки в план является начало осуществления оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:

  • государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;
  • окончания проведения последней плановой проверки оператора.

Проверки без взаимодействия с оператором персональных данных

Документ предусматривает еще один вид проверок: без взаимодействия с оператором персональных данных. Такие проверки также могут быть плановыми или внеплановыми.
Новый вид проверок состоит с том, что (далее почти дословно) Роскомнадзор будет наблюдать за деятельностью по обработке персональных данных с использованием сети Интернет, а также при оказании услуг и продаже товаров, предметом которых являются персональные данные и/или деятельность по их обработке.
Новый вид проверок состоит с том, что (далее почти дословно из Положения) Роскомнадзор будет наблюдать за деятельностью по обработке персональных данных с использованием сети Интернет, а также при оказании услуг и продаже товаров, предметом которых являются персональные данные и/или деятельность по их обработке.
Мысли и движения в этом направлении уже были, однако ранее инициативы оставались без внимания. На практике Роскомнадзор, как и любой другой гос. орган, и так может наблюдать за сайтами интересных ему компаний. С принятием рассматриваемого Положения результаты наблюдений могут уже приводить к весьма конкретным последствиям: предписания, штрафы, выездная проверка.
В группе риска компании, имеющие на сайте личные кабинеты, формы обратной связи, анкеты кандидатов и иные формы, предназначенные для ввода персональных данных.

Что делать

Не паниковать :) Серьезных изменений на самом деле не предвидится. Роскомнадзор вряд ли существенно изменит сложившуюся практику формирования планов и проведения проверок операторов персональных данных. Поэтому для тех, кто старается соблюдать законодательство о персональных данных, по существу ничего не изменится.
Хочется порекомендовать всем операторам персональных данных (по сути любым компаниям), особенно имеющим официальные сайты в сети Интернет, сделать ряд вещей заранее:
  • Проверьте сайт на предмет наличия там форм для сбора данных.
  • Если они там «для красоты» — уберите.
  • Если они важны для вас, приведите сайт в соответствие требованиям ФЗ-152.
  • Проверьте, что в вашей компании соблюдаются требования по обработке персональных данных любых лиц: работников, кандидатов, клиентов, посетителей и т. п.
  • Будьте готовы, что ваш новый клиент или кандидат, пришедший на собеседование, может быть из Роскомнадзора и проинструктируйте своих сотрудников, как правильно и законно обрабатывать персональные данные.
  • Пока есть шанс что-то поменять, пишите свое мнение о проекте документа, вносите конструктивные предложения. Чем больше мнений, тем больше шанс, что их услышат и рассмотрят.
  • Если есть вопросы или нужна помощь — звоните нам.
Анна Шестакова
Руководитель проектов, Акрибия
Другие публикации по теме