Роскомнадзор получит право самостоятельно определять правила надзора за ПДн. Все логично — сам надзирает, сам и правила для себя пишет. Ничего нового я от этого не жду — РКН или оставит свой административный регламент неизменным, либо внесет туда незначительные правки, узаконив и так сложившуюся практику проведения проверок. В частности, могут добавить следующие темы:
- добавление к выездным и документарным проверкам мероприятий систематического наблюдения
- уточнение критериев формирование плана проверок, в частности усиление контроля за организациями, обрабатывающими ПДн значительного количества субъектов ПДн, а также биометрических и спецкатегорий ПДн
- расширение оснований для внеплановых проверок
- уточнение права доступа в любые помещения, исключая архивы и помещения с гостайной
- уточнение порядка привлечение аккредитованных экспертов.
Также Минкомсвязь подготовил проект приказа «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346», который уточняет процедуру исключения оператора ПДн из соответствующего реестра операторов ПДн.
Есть еще прошлогодний Федеральный закон № 246, который предписывает регуляторам разработать и применить риск-ориентированный подход к контролю и надзору, в том числе в части выполнения законодательства о ПДн. Это актуально. Наверняка РКН работает над этим вопросом. Тем более, что по возможному ущербу закон уже разделил ПДн на категории. Имеется и пример — ПП РФ № 1119, к котором имелась попытка учесть ущерб по категориям ПДн, категориям субъектов ПДн и их количеству. РКН может, например, разработать аналогичный документ и применить "уровни защищенности ПДн" или "уровни зрелости процессов обработки ПДн" к формам и периодичности контроля. Например, условно "УЗ-3" — самооценка оператора ПДн, "УЗ-2" — контроль РКН один раз в три года, "УЗ-1" — контроль РКН ежегодно. Алексей, может предложишь коллегам правильный "научный" подход к выполнению ФЗ № 246 в целях улучшения ситуации с проверками?
РКНу уже предлагали "ущербный" подход — они отказались
Уважаемый Алексей Викторович! Не могли бы вы помочь советом, какие темы по защите ПДн сейчас наиболее актуальны, чтобы их можно было взять для написания студенческой научной работы? Заранее буду благодарен за любой ответ.
Сейчас их уже вроде как и нет 🙂 РКН малость подзабил на эту тему и все расслабились. Из наиболее перспективных — анализ нового европейского законодательства по ПДн и его применимость в России.
Для Ивана. Разработка национальных стандартов связаных с организацией процессов обработки ПДн в соответствии с российским и международным законодательством, в том числе, для отраслевых процессов (банки, связь, медицина) или технологических, например:
1. "Организация обработки ПДн в процессах электронной торговле".
2. "Организация обработки ПДн в процессах обработки Big Data".
3. "Организация обработки ПДн в социальных сетях"
4. и т.п.
Уважаемый Алексей!
Подскажите, пожалуйста, у нас микро организация, кадровое агентство, РСО-Алания. Роскомнадор поставил нас в плановую проверку по персональным данным на конец января 2017 года. Мы написали письмо в Роскомнадзор с просьбой об исключении нас из реестра проверок на основании закона 246 о надзорных каникулах с 2016 по 2018 год, но получили отказ, в котором они сослались на письмо Ген Прокуратуры с сылкой на то, что Роскомнадзор не подпадает под этот закон . Могли бы Вы прояснить эту ситуацию? В свете того, что вы прокомментировали выше, они что хотят то и делают, т.е. 246 ФЗ для них не закон???
Они, возможно, считают, что 294-ФЗ о надзоре на них не распространяется (и это так). А значит и надзорные каникулы тоже 🙁