Как РКН будет проводить проверки по линии ПДн в ближайшее время — новое Постановление Правительства

В прошлом мае Минэкономразвития уже рассматривал проект Постановления Правительства по наделению РКН новыми полномочиями в части надзора (контроля) в области ПДн. И хотя коллеги из Роскомнадзора неоднократно уверяли меня, что они и в мыслях не имели желания проводить контроль и надзор за соблюдением технических и организационных мер обеспечения безопасности ПДн в негосударственных ИСПДн, я одну из задач, возлагаемых на РКН проектом Постановления, и читаемую как «Контроль и надзор за соблюдением обязательных требований ФЗ и принимаемыми в соответствии с ними НПА, в т.ч. за выполнением организационных и технических мер по обеспечению безопасности ПДн в негосударственных информационных системах» не могу воспринимать никак иначе. Чтобы совсем уж поставить точку над i в данном вопросе еще одно доказательство — в прошлом проекте Постановления Правительства служащий РКН наделялся правом «получать доступа и проверять выполнение организационных и технических мер по обеспечению безопасности ПДн в негосударственных информационных системах«.

Потом, на различных заседаниях с участием представителей ФСТЭК и ФСБ они неоднократно заявляли, что они не пропустят проект в такой формулировке, т.к. РКН вторгается не в свою область. Но вот на последнем заседании Консультативного Совета при РКН, в котором я состою, было вскользь отмечено, что РКН договорился со всеми (Минкомсвязь, ФСТЭК, ФСБ и МинЮст) и направил финальный вариант проекта Постановления на экспертизу в Минэкономразвития. Вот этот проект!

Второй абзац данного положения, еще до начала нумерации, четко говорит, что «Действие данного Положения не распространяется на деятельность по осуществлению контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствие со статьей 19 Федерального закона «О персональных данных«. И хотя это пока проект, я думаю можно поставить точку в вопросе полномочий РКН по части технических проверок (да и сам РКН это подтверждает).

Что еще интересного есть в этом проекте?

• Письма счастья в явной форме не относятся к документарным проверкам.
• Вся информация и документы запрашиваются только на основании мотивированного письменного запроса.
• РКН имеет право получать доступ к ИСПДн.
• РКН имеет право применять меры по приостановлению или прекращению деятельности, осуществляемой с нарушением ФЗ-152.
• Проверки госорганов, муниципалов и физлиц проводятся в соответствие с внутренними планами РКН и они не должны публиковаться, как это делается в отношении юрлиц и индивидуальных предпринимателей.
• Число оснований для плановых и внеплановых проверок по сравнению с предыдущим проектом и административным регламентом чуть снизилось, но незначительно. А вот пункт об отсутствии согласовывать свои внеплановые проверки с прокуратурой остался.

Вот и все 😉 Ничего более интересного в проекте нет. По сути он фиксирует то, что и так уже делается сотрудниками РКН в рамках своих проверок, но что вызывало некоторые вопросы и коллизии.

ЗЫ. Интересно, что в пояснительной записке в проекту Постановления написано, что он выкладывался на сайт РКН в открытый доступ, но ни одного предложения по нему в адрес РКН не поступило. Я конечно не ежедневно хожу на сайт РКН, но что-то я не припомню, чтобы именно этот текст выкладывался на сайт. Ну да ладно…