Блог

    С 23 февраля будут проверять по-новому тех, кто обрабатывает персональные данные

    Назад к списку новостей

    /upl/pictures/KR_2019/News/obrabotka-i-zashhita-personalnyih-dannyih.jpg

    Правительство утвердило новые правила[1], по которым Роскомнадзор будет проводить проверки операторов персональных данных[2].

    Ведомство сможет применять документ уже с 23 февраля вместо действующего регламента по надзору за обработкой персональных данных[3].

    Сравним новые правила с положениями регламента.

    Организация проверок

    Меньше оснований запланировать проверку

    Начало обработки персональных данных больше не будет основанием для того, чтобы Роскомнадзор включил проверку в план. Таким образом, вместо трех оснований[4] останется два[5].

    Новое правило о периодичности плановой проверки

    В некоторых случаях проверку будут проводить не чаще одного раза в два года со дня окончания последней проверки[6]. Это касается, в частности, операторов, которые:

    • обрабатывают персональные данные в государственных информационных системах[7];

    • собирают биометрические персональные данные[8] и специальные категории таких данных[9].

    В регламенте подобного правила нет.

    Новое основание для внеплановой проверки

    Проверку смогут провести по решению руководителя Роскомнадзора или его территориального органа по итогам рассмотрения докладной записки[10]. Из нее должно следовать, что есть нарушения, которые выявлены в ходе контрольных мероприятий, проведенных без взаимодействия с оператором. К ним относится, например, наблюдение за тем, как компания или ИП размещает информацию в Интернете и СМИ[11]. Регламент этого не предусматривает.

    Проведение проверок

    Новый срок внеплановой проверки

    Проверка займет максимум 10 рабочих дней[12]. Этот срок смогут продлить один раз еще на столько же. Сейчас эти сроки в два раза больше.

    Срок проведения плановой проверки не изменится[13].

    Документарная проверка

    Внеплановую документарную проверку проводить больше не будут[14]. Сейчас она возможна[15].

    Сократится срок представления документов проверяющим. Оператору нужно будет уложиться в пять рабочих дней с даты получения запроса[16], а не в десять рабочих дней, как сейчас[17].

    Предоставить пояснения по поводу ошибок, противоречий в направленных ранее документах нужно будет в течение трех рабочих дней[18], сейчас — десять рабочих дней[19].

    Выездная проверка

    У оператора появится обязанность до начала проверки представить документы по запросу проверяющих[20]. Сделать это нужно будет в срок, указанный в запросе. Он не будет меньше двух рабочих дней со дня вручения запроса[21].

    Документы представляются в виде копий, заверенных печатью (если она есть) и подписью представителя оператора[22]. Их можно будет направить через Интернет, заверив усиленной квалифицированной электронной подписью. Сейчас такой обязанности нет.

    Основания продления проверки

    Роскомнадзор продлит срок проверки[23], если во время ее проведения:

    • ведомство получило документы о нарушении требований к обработке персональных данных;

    • возникли обстоятельства непреодолимой силы (пожар, затопление и пр.);

    • оператор не представил нужные документы;

    • проверяющие столкнулись с большим объемом работы.

    Сейчас регламент устанавливает только последнее из перечисленных оснований[24].

    Уведомление о продлении проверки

    Роскомнадзору потребуется уведомить оператора о продлении проверки[25]. На это отводится три рабочих дня с даты издания приказа о продлении. Сейчас такого требования нет.

    Предписания для нарушителей

    Срок устранения нарушений

    Устранить нарушения нужно в течение шести месяцев со дня выдачи предписания[26]. Могут установить и меньший срок. Сейчас предельный срок не установлен.

    Приостановка обработки персональных данных

    От оператора могут потребовать приостановить обработку персональных данных. Это может произойти, если неисполнение предписания нарушает права и законные интересы субъекта персональных данных (например, работника)[27]. Сейчас основания для выдачи такого требования не определены[28].

    Источник: КонсультантПлюс

     

    [1] Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденные Постановлением Правительства РФ от 13.02.2019 № 146 (далее — Правила).

    [2] Пункт 2 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 31.12.2017; далее — Федеральный закон № 152-ФЗ).

    [4] Пункт 33 Административного регламента.

    [5] Пункт 6 Правил.

    [6] Пункт 7 Правил.

    [7] Статья 13 Федерального закона № 152-ФЗ.

    [8] Статья 11 Федерального закона № 152-ФЗ.

    [9] Статья 10 Федерального закона № 152-ФЗ.

    [10] Подпункт «д» п. 8 Правил.

    [11] Подпункт «а» п. 54 Правил.

    [12] Пункт 17 Правил.

    [13] Пункт 16 Правил.

    [14] Пункт 25 Правил.

    [15] Пункт 29 Административного регламента.

    [16] Пункт 27 Правил.

    [17] Пункт 70.5 Административного регламента.

    [18] Пункт 39 Правил.

    [19] Пункт 70.8 Административного регламента.

    [20] Пункт 33 Правил.

    [21] Пункт 34 Правил.

    [22] Пункт 35 Правил.

    [23] Пункт 19 Правил.

    [24] Пункт 21 Административного регламента.

    [25] Часть 2 п. 20 Правил.

    [26] Пункт 47 Правил.

    [27] Пункт 50 Правил.

    [28] Пункт 6.8 Административного регламента.

    20.02.2019, 16:28

Подпишитесь на нашу рассылку

Рассылка о новых материалах в блоге и новых номерах журналов. Отправляется в среднем 1 письмо в 2 недели.