Изменение правил надзора за персональными данными

Не то, чтобы это новость, скорее для напоминания — Правительство, как и обещаловнесло в Госдуму законопроект о наделении Правительства России полномочием по установлению порядка государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства. Ничего нового в этом законопроекте нет — я про него уже писал. Прошлогодний проект Постановления Правительства приказал долго жить.

Роскомнадзор получит право самостоятельно определять правила надзора за ПДн. Все логично — сам надзирает, сам и правила для себя пишет. Ничего нового я от этого не жду — РКН или оставит свой административный регламент неизменным, либо внесет туда незначительные правки, узаконив и так сложившуюся практику проведения проверок. В частности, могут добавить следующие темы:

  • добавление к выездным и документарным проверкам мероприятий систематического наблюдения
  • уточнение критериев формирование плана проверок, в частности усиление контроля за организациями, обрабатывающими ПДн значительного количества субъектов ПДн, а также биометрических и спецкатегорий ПДн
  • расширение оснований для внеплановых проверок
  • уточнение права доступа в любые помещения, исключая архивы и помещения с гостайной
  • уточнение порядка привлечение аккредитованных экспертов.

Также Минкомсвязь подготовил проект приказа «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346», который уточняет процедуру исключения оператора ПДн из соответствующего реестра операторов ПДн.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Target

    Есть еще прошлогодний Федеральный закон № 246, который предписывает регуляторам разработать и применить риск-ориентированный подход к контролю и надзору, в том числе в части выполнения законодательства о ПДн. Это актуально. Наверняка РКН работает над этим вопросом. Тем более, что по возможному ущербу закон уже разделил ПДн на категории. Имеется и пример — ПП РФ № 1119, к котором имелась попытка учесть ущерб по категориям ПДн, категориям субъектов ПДн и их количеству. РКН может, например, разработать аналогичный документ и применить "уровни защищенности ПДн" или "уровни зрелости процессов обработки ПДн" к формам и периодичности контроля. Например, условно "УЗ-3" — самооценка оператора ПДн, "УЗ-2" — контроль РКН один раз в три года, "УЗ-1" — контроль РКН ежегодно. Алексей, может предложишь коллегам правильный "научный" подход к выполнению ФЗ № 246 в целях улучшения ситуации с проверками?

    Ответить
  2. Алексей Лукацкий

    РКНу уже предлагали "ущербный" подход — они отказались

    Ответить
  3. Unknown

    Уважаемый Алексей Викторович! Не могли бы вы помочь советом, какие темы по защите ПДн сейчас наиболее актуальны, чтобы их можно было взять для написания студенческой научной работы? Заранее буду благодарен за любой ответ.

    Ответить
  4. Алексей Лукацкий

    Сейчас их уже вроде как и нет 🙂 РКН малость подзабил на эту тему и все расслабились. Из наиболее перспективных — анализ нового европейского законодательства по ПДн и его применимость в России.

    Ответить
  5. Target

    Для Ивана. Разработка национальных стандартов связаных с организацией процессов обработки ПДн в соответствии с российским и международным законодательством, в том числе, для отраслевых процессов (банки, связь, медицина) или технологических, например:
    1. "Организация обработки ПДн в процессах электронной торговле".
    2. "Организация обработки ПДн в процессах обработки Big Data".
    3. "Организация обработки ПДн в социальных сетях"
    4. и т.п.

    Ответить
  6. Eteri

    Уважаемый Алексей!
    Подскажите, пожалуйста, у нас микро организация, кадровое агентство, РСО-Алания. Роскомнадор поставил нас в плановую проверку по персональным данным на конец января 2017 года. Мы написали письмо в Роскомнадзор с просьбой об исключении нас из реестра проверок на основании закона 246 о надзорных каникулах с 2016 по 2018 год, но получили отказ, в котором они сослались на письмо Ген Прокуратуры с сылкой на то, что Роскомнадзор не подпадает под этот закон . Могли бы Вы прояснить эту ситуацию? В свете того, что вы прокомментировали выше, они что хотят то и делают, т.е. 246 ФЗ для них не закон???

    Ответить
  7. Алексей Лукацкий

    Они, возможно, считают, что 294-ФЗ о надзоре на них не распространяется (и это так). А значит и надзорные каникулы тоже 🙁

    Ответить