И хотя господин Жаров в своем выступлении заявил, что запланирован переход на риск-ориентированную модель при проведении надзорных мероприятий и после принятия соответствующего и готовящегося сейчас законопроекта
поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан и на основе такой дифференциации планировать и проводить надзорные мероприятия, ситуация немного иная. 8 мая был опубликован проект еще одного Постановления Правительства в области персданных — теперь в отношении контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации. Я про него уже упоминал и хочу акцентировать внимание только на нескольких моментах:
- Проект очень сильно похож на Административный регламент РКН в части осуществления государственной функции по контролю (надзору) в сфере ПДн, но есть и некоторые серьезные отличия.
- Явный запрет на проверки технических и организационных мер по защите ПДн, предусмотренные 19-й статьей ФЗ-152. Это и так вытекали из действующего законодательства, но теперь это, наконец-то, зафиксировано явно.
- Помимо плановых и внеплановых проверок теперь будут проводиться мероприятия систематического наблюдения. У этого понятия есть неоспоримое преимущество — мало кто понимает, что это такое и оно точно не попадает под ФЗ-294. Собственно РКН этим и раньше занимался, но теперь это обрело законную форму. А главное, что можно как угодно проводить это наблюдение руководствуясь своим пониманием и своими внутренними документами (а то и вовсе без них).
- Список плановых проверок должен быть опубликован на сайте РКН, но согласовывать их с прокуратурой теперь не надо. Если вспомнить, что около 50% всех заявок на проведение плановых проверок отбраковывалось, то теперь понятно, что проверять будут тех, кого хочет РКН — никаких посредников, которые могут сказать как «да», так и «нет».
- К основаниям формирования плана плановых проверок теперь относятся (список шире, чем раньше):
- Трехлетний период с момента окончания последней плановой проверки.
- Информация от госорганов, муниципалитетов и СМИ о нарушении. А у нас и многие Интернет-ресурсы теперь считают СМИ.
- Обработка ПДн значительного количества субъектов ПДн, а также обработка биометрических и специальных категорий ПДн. Понятие значительности нигде не определено — так что в список могут попасть многие.
- Непредставление информации РКН.
- Отказ от согласования проверок с прокуратурой — это одно из ключевых отличий нового документа от действующей практики проведения проверок.
- Еще большее количество оснований для проведения внеплановых проверок
- Истечение срока выданного предписания
- По доказательным обращениям граждан. Это единственный случай, когда требуется согласования с прокуратурой. Учитывая, что во всех остальных случаях эта «головная боль» не нужна могу предположить, что по заявлениям субъектов ПДн проверок будет меньше всего. Это опять расходится с духом закона о персональных данных, но это уже мало кого волнует. Достаточно посмотреть, как сам РКН обращается с конфиденциальностью ПДн при электронном общении с гражданами (слайд 6).
- По причине непредоставления (неполного представления) информации оператором по запросу РКН
- Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов
- Поручение Президента или Правительства
- В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения. Ну очень размытая формулировка 🙁
- Несоответствие сведений, указанных в уведомлении
- В случае неисполнения требования РКН об устранении выявленного нарушения
- На основании представления органа прокуратуры
- РКН активно готов привлекать экспертов для проведения проверок, особенно в части анализа содержания ИСПДн. Но проверять вопросы защиты персональных данных из 19-й статьи они не могут — это явно описано в самом начале проекта Постановления. В противном случае оно бы никогда не прошло согласование с ФСТЭК и ФСБ.
- Периодичность проверок установлена один раз в 2 года для госов, муниципалов и коммерсантов (раньше было три), и один раз в три года в отношении физлиц и индивидуальных предпринимателей.
- Расширение полномочий сотрудников РКН по доступу к запрашиваемым документам, помещениям и ИСПДн. Отказ в предоставлении доступа влечет за собой обращение РКН в правоохранительные органы.
"РКН активно готов привлекать экспертов для проведения проверок, особенно в части анализа содержания ИСПДн. Но проверять вопросы защиты персональных данных из 19-й статьи они не могут — это явно описано в самом начале проекта Постановления."
А инициировать проверку со стороны ФСТЭК/ФСБ они как-нибудь могут?
Нет. ФСТЭК и ФСБ не имеют полномочий по проверке коммерческих компаний
Алексей, подскажите ваше мнение по п. 19., где указывается, что о проведении документарной проверки оператор "уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа почтовым отправлением с уведомлением о вручении или иным доступным способом".
Как я понимаю уведомление отправленное даже за час до проверки попадает в "не позднее чем в течение трех рабочих дней до начала".
По-хорошему, данный документ позволяет реанимировать идею привлечения экспертов и аккредитованных интеграторов для проведения технических проверок. Опять же, их присутствие незаконно, а во-вторых прямейший конфликт интересов и желание зачморить работы конкурента.
Реанимировать — да. Но эксперты третьих фирм не могут быть допущены к чужим ПДн
Евгений, "уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа почтовым отправлением с уведомлением о вручении или иным доступным способом" имеется ввиду — "не менее чем за три рабочих дня" разъяснения тут:http://www.eg-online.ru/article/239761/