Постепенно "закрываются" белые пятна по части нормотворчества в области персональных данных, о которых я писал между майскими праздниками.
И хотя господин Жаров в своем выступлении заявил, что запланирован переход на риск-ориентированную модель при проведении надзорных мероприятий и после принятия соответствующего и готовящегося сейчас законопроекта поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан и на основе такой дифференциации планировать и проводить надзорные мероприятия, ситуация немного иная. 8 мая был опубликован проект еще одного Постановления Правительства в области персданных - теперь в отношении контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации. Я про него уже упоминал и хочу акцентировать внимание только на нескольких моментах:
И хотя господин Жаров в своем выступлении заявил, что запланирован переход на риск-ориентированную модель при проведении надзорных мероприятий и после принятия соответствующего и готовящегося сейчас законопроекта поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан и на основе такой дифференциации планировать и проводить надзорные мероприятия, ситуация немного иная. 8 мая был опубликован проект еще одного Постановления Правительства в области персданных - теперь в отношении контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации. Я про него уже упоминал и хочу акцентировать внимание только на нескольких моментах:
- Проект очень сильно похож на Административный регламент РКН в части осуществления государственной функции по контролю (надзору) в сфере ПДн, но есть и некоторые серьезные отличия.
- Явный запрет на проверки технических и организационных мер по защите ПДн, предусмотренные 19-й статьей ФЗ-152. Это и так вытекали из действующего законодательства, но теперь это, наконец-то, зафиксировано явно.
- Помимо плановых и внеплановых проверок теперь будут проводиться мероприятия систематического наблюдения. У этого понятия есть неоспоримое преимущество - мало кто понимает, что это такое и оно точно не попадает под ФЗ-294. Собственно РКН этим и раньше занимался, но теперь это обрело законную форму. А главное, что можно как угодно проводить это наблюдение руководствуясь своим пониманием и своими внутренними документами (а то и вовсе без них).
- Список плановых проверок должен быть опубликован на сайте РКН, но согласовывать их с прокуратурой теперь не надо. Если вспомнить, что около 50% всех заявок на проведение плановых проверок отбраковывалось, то теперь понятно, что проверять будут тех, кого хочет РКН - никаких посредников, которые могут сказать как "да", так и "нет".
- К основаниям формирования плана плановых проверок теперь относятся (список шире, чем раньше):
- Трехлетний период с момента окончания последней плановой проверки.
- Информация от госорганов, муниципалитетов и СМИ о нарушении. А у нас и многие Интернет-ресурсы теперь считают СМИ.
- Обработка ПДн значительного количества субъектов ПДн, а также обработка биометрических и специальных категорий ПДн. Понятие значительности нигде не определено - так что в список могут попасть многие.
- Непредставление информации РКН.
- Отказ от согласования проверок с прокуратурой - это одно из ключевых отличий нового документа от действующей практики проведения проверок.
- Еще большее количество оснований для проведения внеплановых проверок
- Истечение срока выданного предписания
- По доказательным обращениям граждан. Это единственный случай, когда требуется согласования с прокуратурой. Учитывая, что во всех остальных случаях эта "головная боль" не нужна могу предположить, что по заявлениям субъектов ПДн проверок будет меньше всего. Это опять расходится с духом закона о персональных данных, но это уже мало кого волнует. Достаточно посмотреть, как сам РКН обращается с конфиденциальностью ПДн при электронном общении с гражданами ( слайд 6 ).
- По причине непредоставления (неполного представления) информации оператором по запросу РКН
- Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов
- Поручение Президента или Правительства
- В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения. Ну очень размытая формулировка :-(
- Несоответствие сведений, указанных в уведомлении
- В случае неисполнения требования РКН об устранении выявленного нарушения
- На основании представления органа прокуратуры
- РКН активно готов привлекать экспертов для проведения проверок, особенно в части анализа содержания ИСПДн. Но проверять вопросы защиты персональных данных из 19-й статьи они не могут - это явно описано в самом начале проекта Постановления. В противном случае оно бы никогда не прошло согласование с ФСТЭК и ФСБ.
- Периодичность проверок установлена один раз в 2 года для госов, муниципалов и коммерсантов (раньше было три), и один раз в три года в отношении физлиц и индивидуальных предпринимателей.
- Расширение полномочий сотрудников РКН по доступу к запрашиваемым документам, помещениям и ИСПДн. Отказ в предоставлении доступа влечет за собой обращение РКН в правоохранительные органы.
Вот такой блиц-анализ этого проекта документа. Не думаю, что он сильно изменится в финальной версии. С одной стороны опасения о том, что РКН сможет приходить когда угодно и как угодно часто, не оправдались. С другой стороны - отказ от согласования с прокуратурой, расширение оснований для внеплановых проверок, привлечение экспертов и... планируемый рост штрафов, существенно повышают риски. Учитывайте это в своих планах приведения себя в соответствие.
