Новый уровень правил организации госконтроля в области персональных данных

13 февраля 2019 года Постановлением Правительства № 146 утверждены правила организации государственного контроля и надзора за обработкой персональных данных. Документ готовился на протяжении долгого времени и наконец-то вышел в свет, утверждая правила проверок Роскомнадзора на ином уровне (относительно уже существующего Административного регламента, утвержденного приказом Минкомсвязи России).

А теперь коротко о главном:

Сфера влияния. Утверждённые правила не касаются контроля за выполнением организационных и технических мер по обеспечению безопасности ПДн (персональных данных), установленных в статье 19 ФЗ-152, а значит теперь уверенно можно противостоять попыткам Роскомнадзора проверить то, на что уполномочен проверять совсем другой орган.

Мероприятия по контролю. Помимо привычных плановых и внеплановых выездных и документарных проверок состав мероприятий по контролю пополняется следующими:

• мероприятия по контролю без взаимодействия с операторами персональных данных;
• мероприятия по профилактике нарушения требований.

Ни для кого не секрет, что мероприятия по контролю без взаимодействия с оператором практикуются уже давно, однако теперь такой контроль закреплен законодательно. Мало того, по результатам такого контроля от оператора могут потребовать уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных в течение 10 дней. При неисполнении требования контролирующий орган имеет право составить протокол об административном правонарушении. Другими словами, впредь протокол об административном правонарушении в области персональных данных может быть составлен и без организации выездной или документарной проверки оператора.

Периодичность плановых проверок. Операторы привыкли к тому, что проведение плановых проверок осуществляется не чаще одного раза в 3 года. Однако теперь проверка будет осуществляться не чаще одного раза в 2 года со дня окончания предыдущей плановой проверки для операторов:

• осуществляющих обработку персональных данных в ИС, имеющих статус государственных информационных систем;
• осуществляющих сбор биометрических и специальных категорий персональных данных;
• осуществляющих трансграничную передачу персональных данных на территорию стран, не обеспечивающих адекватную защиту прав субъектов персональных данных;
• осуществляющих обработку персональных данных по поручению иностранного государственного органа, юридического или физического лица, которые не зарегистрированы на территории РФ.

Внеплановые документарные проверки. Новые правила исключают проведение внеплановой документарной проверки (вероятно, с утверждением новых правил практика проведения плановых документированных проверок увеличится).

Выездная проверка. Операторы, которые являются физическими лицами, но при этом не являются индивидуальным предпринимателями, могут больше не гадать над вопросом «а может ли Роскомнадзор прийти к нам с проверкой?». Новые правила исключают возможность выездной проверки таких операторов. Однако от документарной проверки никто не освобождается.

И еще немного деталей:

Сроки проведения внеплановых проверок. Если раньше сроки проведения как плановых, так и внеплановых проверок не могли превышать 20 дней, то в соответствии с новыми правилами срок проведения внеплановой проверки уменьшен до 10 дней (с возможным однократным продлением не более чем на 10 дней).

Документарная проверка. До вступления в силу новых правил срок предоставления всех необходимых документов для документарной проверки составлял 10 дней, сейчас же срок сокращен до 5 дней. Похожие изменения затронули и сроки предоставления пояснений операторами — срок предоставления пояснения сократился с 10 до 5 дней.