Как будет осуществляться надзор в сфере ПДн с 1-го сентября?

Законодательство
Постепенно «закрываются» белые пятна по части нормотворчества в области персональных данных, о которых я писал между майскими праздниками.

И хотя господин Жаров в своем выступлении заявил, что запланирован переход на риск-ориентированную модель при проведении надзорных мероприятий и после принятия соответствующего и готовящегося сейчас законопроекта
поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан и на основе такой дифференциации планировать и проводить надзорные мероприятия, ситуация немного иная. 8 мая был опубликован проект еще одного Постановления Правительства в области персданных — теперь в отношении контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации. Я про него уже упоминал и хочу акцентировать внимание только на нескольких моментах:

  • Проект очень сильно похож на Административный регламент РКН в части осуществления государственной функции по контролю (надзору) в сфере ПДн, но есть и некоторые серьезные отличия.
  • Явный запрет на проверки технических и организационных мер по защите ПДн, предусмотренные 19-й статьей ФЗ-152. Это и так вытекали из действующего законодательства, но теперь это, наконец-то, зафиксировано явно.
  • Помимо плановых и внеплановых проверок теперь будут проводиться мероприятия систематического наблюдения. У этого понятия есть неоспоримое преимущество — мало кто понимает, что это такое и оно точно не попадает под ФЗ-294. Собственно РКН этим и раньше занимался, но теперь это обрело законную форму. А главное, что можно как угодно проводить это наблюдение руководствуясь своим пониманием и своими внутренними документами (а то и вовсе без них).
  • Список плановых проверок должен быть опубликован на сайте РКН, но согласовывать их с прокуратурой теперь не надо. Если вспомнить, что около 50% всех заявок на проведение плановых проверок отбраковывалось, то теперь понятно, что проверять будут тех, кого хочет РКН — никаких посредников, которые могут сказать как «да», так и «нет».
  • К основаниям формирования плана плановых проверок теперь относятся (список шире, чем раньше):
    • Трехлетний период с момента окончания последней плановой проверки.
    • Информация от госорганов, муниципалитетов и СМИ о нарушении. А у нас и многие Интернет-ресурсы теперь считают СМИ.
    • Обработка ПДн значительного количества субъектов ПДн, а также обработка биометрических и специальных категорий ПДн. Понятие значительности нигде не определено — так что в список могут попасть многие.
    • Непредставление информации РКН.
  • Отказ от согласования проверок с прокуратурой — это одно из ключевых отличий нового документа от действующей практики проведения проверок.
  • Еще большее количество оснований для проведения внеплановых проверок
    • Истечение срока выданного предписания
    • По доказательным обращениям граждан. Это единственный случай, когда требуется согласования с прокуратурой. Учитывая, что во всех остальных случаях эта «головная боль» не нужна могу предположить, что по заявлениям субъектов ПДн проверок будет меньше всего. Это опять расходится с духом закона о персональных данных, но это уже мало кого волнует. Достаточно посмотреть, как сам РКН обращается с конфиденциальностью ПДн при электронном общении с гражданами (слайд 6).
    • По причине непредоставления (неполного представления) информации оператором по запросу РКН
    • Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов
    • Поручение Президента или Правительства
    • В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения. Ну очень размытая формулировка 🙁
    • Несоответствие сведений, указанных в уведомлении
    • В случае неисполнения требования РКН об устранении выявленного нарушения
    • На основании представления органа прокуратуры
  • РКН активно готов привлекать экспертов для проведения проверок, особенно в части анализа содержания ИСПДн. Но проверять вопросы защиты персональных данных из 19-й статьи они не могут — это явно описано в самом начале проекта Постановления. В противном случае оно бы никогда не прошло согласование с ФСТЭК и ФСБ.
  • Периодичность проверок установлена один раз в 2 года для госов, муниципалов и коммерсантов (раньше было три), и один раз в три года в отношении физлиц и индивидуальных предпринимателей.
  • Расширение полномочий сотрудников РКН по доступу к запрашиваемым документам, помещениям и ИСПДн. Отказ в предоставлении доступа влечет за собой обращение РКН в правоохранительные органы.
Вот такой блиц-анализ этого проекта документа. Не думаю, что он сильно изменится в финальной версии. С одной стороны опасения о том, что РКН сможет приходить когда угодно и как угодно часто, не оправдались. С другой стороны — отказ от согласования с прокуратурой, расширение оснований для внеплановых проверок, привлечение экспертов и… планируемый рост штрафов, существенно повышают риски. Учитывайте это в своих планах приведения себя в соответствие.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. (_DeV1L_)

    "РКН активно готов привлекать экспертов для проведения проверок, особенно в части анализа содержания ИСПДн. Но проверять вопросы защиты персональных данных из 19-й статьи они не могут — это явно описано в самом начале проекта Постановления."
    А инициировать проверку со стороны ФСТЭК/ФСБ они как-нибудь могут?

    Ответить
  2. Алексей Лукацкий

    Нет. ФСТЭК и ФСБ не имеют полномочий по проверке коммерческих компаний

    Ответить
  3. Unknown

    Алексей, подскажите ваше мнение по п. 19., где указывается, что о проведении документарной проверки оператор "уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа почтовым отправлением с уведомлением о вручении или иным доступным способом".
    Как я понимаю уведомление отправленное даже за час до проверки попадает в "не позднее чем в течение трех рабочих дней до начала".

    Ответить
  4. Unknown

    По-хорошему, данный документ позволяет реанимировать идею привлечения экспертов и аккредитованных интеграторов для проведения технических проверок. Опять же, их присутствие незаконно, а во-вторых прямейший конфликт интересов и желание зачморить работы конкурента.

    Ответить
  5. Алексей Лукацкий

    Реанимировать — да. Но эксперты третьих фирм не могут быть допущены к чужим ПДн

    Ответить
  6. Unknown

    Евгений, "уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа почтовым отправлением с уведомлением о вручении или иным доступным способом" имеется ввиду — "не менее чем за три рабочих дня" разъяснения тут:http://www.eg-online.ru/article/239761/

    Ответить