13 февраля 2019 г. постановлением Правительства РФ от 13.02.2019 г. №146 были утверждены «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных”.

Нашими экспертами было проведено сравнение данного документа с «Административным регламентом по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных», утвержденным приказом Министерства связи и массовых коммуникаций РФ от 14.11.2011 г. №312.

Представляем вашему вниманию обзор основных изменений.

  1. Исключен контроль государства за выполнением организационных и технических мер по обеспечению безопасности персональных данных.
  2. Исключена возможность Роскомнадзора привлекать к государственному контролю внешних экспертов по обеспечению безопасности.
  3. Периодичность проведения плановых проверок в общих случаях осталась прежней – не чаще, чем раз в 3 года.

Тем не менее были добавлены исключения, когда периодичность проведения плановых проверок составляет 2 года:

  • для операторов ГИС;
  • для операторов, обрабатывающих специальные категории ПДн и биометрические данные;
  • для операторов, осуществляющих трансграничную передачу данных;
  • для операторов, обрабатывающих ПДн по поручению иностранных лиц, компаний и госорганов.
  1. Расширен список оснований для проведения внеплановых проверок. Согласно новым Правилам, внеплановые проверки могут также назначаться в случаях:
  • обращения граждан в контролирующие органы о нарушении их прав действиями или бездействием операторов ПДн при условии предоставления подтверждающих материалов;
  • выявления нарушений по результатам проведения контролирующих мероприятий без взаимодействия с оператором.
  1. Кроме планового и внепланового контроля определены ещё 2 типа контролирующих мероприятий:
  • контроль без взаимодействия с оператором;
  • профилактика нарушений.
  1. Контролирующий орган получил возможность составлять Протоколы об административном нарушении по результатам “контроля без взаимодействия с оператором”.
  2. Операторам ПДн теперь дается всего 5 рабочих дней вместо 10 на предоставление документов контролирующему органу в рамках документарной проверки; на предоставление пояснений законодатель отводит всего 3 рабочих дня. При несоблюдении указанных сроков документарная проверка переходит в выездную проверку.
  3. Новые Правила внесли ясность, как будут развиваться события в случае, если оператор не собирается устранять выявленные контролирующим органом нарушения или полностью бездействует.

Выводы, которые можно сделать из обзора изменений, неутешительные для операторов ПДн. Законодательство ужесточается, а полномочия контролирующих органов расширяются. Можно ожидать увеличения количества внеплановых проверок со стороны Роскомнадзора (незаметных для оператора ПДн в том числе). Сокращение сроков предоставления документов и разъяснений, а также устранения нарушений повлечет за собой больше случаев, когда оператор “не успел” выполнить требования законодательства. Соответственно, мы не исключаем вероятности увеличения количества случаев приостановления деятельности операторов ПДн за нарушение регламентов обработки данных и внесения их в реестр нарушителей.