Обсуждения второго варианта закончилось в марте этого года, а в мае неожиданно появился третий. Видимо, на этапе доработки или при согласовании проекта появились новые требования, которые повлияли на содержание документа.
Третий вариант и называться стал по-другому – не «Порядок организации…», а «Положение о порядке осуществления…», и не просто «государственного контроля и надзора», а «федерального государственного». В новой редакции части 1.1 статьи 23 закона «О персональных данных», принятой уже в этом году, говорится о государственном контроле, про федеральный там ничего нет. Однако, в соответствии с пунктом 2 статьи 2 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», Правительством РФ должны утверждаться положения именно о федеральном государственном контроле (надзоре). На приведение проекта в соответствие этим законодательным нормам, видимо, и были направлены усилия при внесении изменений в предыдущую редакцию документа. Спасибо доценту Воронежского госуниверситета Алексею Ефремову за помощь в попытке разобраться в этих хитросплетениях законодательства.
В документе много косметических правок, в частности, везде, где можно, стал упоминаться индивидуальный предприниматель. Но есть и принципиальные изменения.
Упоминавшийся выше закон № 294-ФЗ вводит три вида контрольной деятельности:
- плановые и внеплановые проверки юридических лиц, индивидуальных предпринимателей,
- мероприятия по профилактике нарушений обязательных требований,
- мероприятия по контролю, осуществляемые без взаимодействия с юридическими лицами, индивидуальными предпринимателями (мероприятия систематического наблюдения).
- размещение на официальном сайте Роскомнадзора перечней нормативных правовых актов, содержащих обязательные требования (что очень логично, поскольку проверять можно, как известно, только выполнение обязательных требований);
- информирование операторов о положении дел в области защиты прав субъектов персональных данных (это будет что-то новенькое);
- регулярное обобщение практики осуществления государственного контроля и надзора в области персональных данных посредством составления ежегодного отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных (это делается и сегодня, о последнем докладе надзорного ведомства можно посмотреть у меня на блоге ).
Из других изменений надо отметить возвращение нормы о сроках проверок (не более 20 рабочих дней плюс продление на срок не более 20 рабочих дней). Предполагается, что, как и в предыдущей редакции, периодичность проведения плановых проверок устанавливается с учетом риск-ориентированного подхода, критерии которого Роскомнадзор определит сам.
Уточнено понятие мероприятий систематического наблюдения. Теперь к ним относится наблюдение за деятельностью по обработке персональных данных с использованием в сети Интернет и (внимание!) наблюдение за обработкой при оказании услуг и продаже товаров, предметом которых являются персональные данные и (или) деятельность по их обработке. Операторам связи и поисковикам, продающим профили абонентов и посетителей сайтов, даже безымянных (!), стоит напрячься и подумать о дальнейших действиях для обеспечения спокойной жизни.
Самое спорное и опасное, на мой взгляд, в проекте постановления – право Роскомнадзора выдавать обязательные для исполнения требования о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушениями требований Федерального закона «О персональных данных» и об уничтожении недостоверных или полученных незаконным путем персональных данных. Из текста документа вытекает, что это право реализуется во внесудебном порядке, а механизм оспаривания такого требования не устанавливается. Мне кажется, экспертам, осуществляющим независимую антикоррупционную экспертизу, необходимо хорошо подумать о законности этих норм и возможных последствиях их реализации для бизнеса.
Из других сохраненных в новой редакции положений стоит отметить существенное расширение оснований для проведения внеплановых проверок по сравнению с законом № 294-ФЗ и отсутствие необходимости согласовывать проверки, как плановые, так и внеплановые, с прокуратурой.
И чтобы не было иллюзий: основанием для включения плановой проверки в план деятельности Роскомнадзора и его территориальных органов является осуществление деятельности по обработке персональных данных, а вовсе не наличие проверяемой организации в Реестре операторов. Теперь это прописано прямо.
Наконец, отмечу, что в проекте документа из области деятельности Роскомнадзора исключен контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных в ИСПДн, установленных статьей 19 закона «О персональных данных». Это и раньше вытекало из положений статьи 19, но разговоры на эту тему время от времени возобновляются.
Ждем постановление. Принято оно будет обязательно, с 22 февраля 2017 года наличие соответствующего акта Правительства РФ - обязательное требование закона.
Публичное обсуждение и антикоррупционная экспертиза заканчиваются уже завтра (25 мая).
В связи с размещением новой редакции проекта постановления с подачи «Известий» в СМИ и на интернет-ресурсах появилась масса публикаций примерно с такими заголовками «Роскомнадзор получит доступ ко всем персональным данным россиян». Жаль, что их авторы и те, кто бездумно перепечатывает, не утруждаются хотя бы разобраться с вопросом. Роскомнадзор всегда имел к ним доступ, и в этом вопросе ничего не поменялось. Не очень хорошо вводить миллионную аудиторию в заблуждение из-за лени и непрофессионализма. Так что, если захочется что-то еще почитать «про это» - читайте проект постановления .