Проверки операторов персональных данных роскомнадзором с 23.02.2019 проходят по новым правилам

Несмотря на то, что Роскомнадзор теперь вправе осуществлять плановые проверки операторов чаще, следует учитывать нехватку ресурсов для регулярной проверки значительного количества компаний.

Однако если обратить внимание на список операторов, то, например, в связи с обработкой специальных категорий персональных данных, которая осуществляется практически всеми работодателями (например, сведения о состоянии здоровья работников), в данную группу операторов попадают, по сути, все компании. Поэтому если у Роскомнадзора будет намерение проверять того или иного оператора столь часто, это будет допустимо в рамках закона.

Уточнен и расширен перечень оснований для продления срока проведения проверки. Так, например, основанием для продления проверки теперь является разветвленность организационно-хозяйственной структуры оператора, сложность технологических процессов обработки персональных данных.

Упразднены внеплановые документарные проверки.

В отношении ИСПДн уточнено право регулятора получать во время выездной проверки доступ к ИСПДн оператора в режиме просмотра и выборки информации на предмет соответствия содержания, объема, способов обработки и сроков хранения обрабатываемых персональных данных целям их обработки.

Срок внеплановой проверки сокращается с 20 до 10 дней.

Кроме того, установлен предельный срок устранения выявленных в ходе проверки нарушений, который будет составлять шесть месяцев (ранее такой срок определялся на усмотрение Роскомнадзора).

О чем подумать, что сделать

Видео (кликните для воспроизведения).

Компаниям рекомендуется провести проверку соблюдения требований законодательства о персональных данных, а также заблаговременно подготовиться к возможным контрольно-надзорным мероприятиям Роскомнадзора.

Помощь консультантов

Специалисты юридической компании «Пепеляев Групп» рады оказать услуги по проведению аудита операторов персональных данных в части соблюдения требований законодательства о персональных данных и по приведению деятельности операторов в соответствие с требованиями закона.

Наши юристы обладают большим опытом по подготовке и сопровождению проверок, проводимых Роскомнадзором, и готовы оказать соответствующее комплексное правовое и техническое содействие для своевременного выявления возможных нарушений и их устранения, а также представлять интересы организации и ее сотрудников при проведении контрольных мероприятий и в спорах с административными органами.

[1] Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».

[2] Утвержден Приказом Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».

Проверки операторов персональных данных Роскомнадзором с 23.02.2019 проходят по новым правилам

С 23 февраля 2019 года в силу вступили новые Правила по контролю и надзору за обработкой персональных данных (далее – ПД), которыми руководствуются органы Роскомнадзора при проверках. Были внесены следующие изменения:

125047, Москва, ул. 1-я
Тверская-Ямская, 23
БЦ «Парус»

191186, Санкт-Петербург,
Невский проспект, д. 10
БЦ «Geneum»

173004, Великий Новгород,
ул. Тимура Фрунзе-Оловянка,
д. 17/3 БЦ «Оловянка»

A15E2Y9, РК, Алматы, Бостандыкский р-н, пр. Аль-Фараби, д. 17/1, ПФЦ «Нурлы-Тау», блок 5Б, 23 этаж, офис 10

Проверки Роскомнадзора по защите персональных данных

Проверки операторов персональных данных в 2019 году

Постановлением Правительства РФ от 13.02.2019 № 146 были утверждены Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Указанным документом регулируются вопросы проведения проверок персональных данных Роскомнадзором в части соблюдения требований к их защите со стороны операторов.

Предметом проведения проверок является выполнение требований закона «О персональных данных» от 27.07.2006 № 152-ФЗ. Конечной целью проверочных мероприятий РКН, в соответствии с п. 3 Правил, выступает выявление и пресечение нарушений в области защиты персональных данных со стороны операторов. Также эта деятельность надзорного органа направлена на предупреждение совершения подобных правонарушений.

В связи с тем, что постановление № 146 принято совсем недавно, Роскомнадзор при проверках персональных данных в 2019 году ограничен. Не все предусмотренные Правилами инструменты могут быть использованы ведомством в текущем году, поскольку планы проведения надзорных мероприятий ведомством еще не сформированы.

Виды надзорных мероприятий Роскомнадзора

Правила организации и осуществления государственного контроля и надзора предусматривают следующие виды проверок Роскомнадзора по защите персональных данных:

• плановые — раздел II;
• внеплановые — раздел III;
• документарные — раздел VI;
• выездные — раздел VII.

Документарная проверка может проводиться только в ходе плановой (п. 25), выездная же проверка может быть как плановой, так и внеплановой.

В отношении плановых мероприятий Правила в п. 5 указывают, что они проводятся на основании ежегодного сформированного плана, подлежащего размещению в интернете (на официальном сайте РКН и его территориальных органов). Каждый оператор может ознакомиться с ежегодным планом и при обнаружении в нем себя провести подготовку к проверке Роскомнадзора по персональным данным.

Такие проверки, согласно п. 6 Правил, проводятся не чаще 1 раза в 3 года. При этом 3-летний срок отсчитывается либо с даты начала деятельности оператора персональных данных, либо с даты окончания предыдущей проверки.

Внеплановая же проверка осуществляется вне графика по основаниям, указанным в п. 8 Правил. К таковым, в частности, относятся, обращение гражданина, неисполнение оператором ранее выданного предписания и др.

Акт проверки

По результатам проверки орган РКН, в соответствии с п. 42 и абз. 2 п. 44 Правил, составляет акт проверки и вручает его руководителю проверяемого лица или иному уполномоченному представителю. Из раздела VIII Правил следует, что итоговый акт должен содержать, в частности:

• сведения о должностном лице, непосредственно проводившем проверку;
• указание вида проводимой проверки и ее обстоятельства;
• описание выявленных нарушений;
• ссылки на нормы закона или подзаконных актов, которые были нарушены проверяемым лицом.

Если должностное лицо РКН не выявило никаких нарушений, то в заключении акта проверки Роскомнадзора по защите персональных данных делается соответствующая отметка (п. 43 Правил).

Вручение акта осуществляется лично представителю оператора персональных данных. При этом уполномоченный представитель ставит свою подпись об ознакомлении с актом и получении его второго экземпляра. Также акт может направляться почтовым отправлением с уведомлением о вручении.

П. 44 Правил допускает возможность составления акта в форме электронного документа, подписываемого усиленной квалифицированной электронной подписью. Такой документ направляется оператору в течение 10 дней после подписания.

• Правила проведения проверок на предмет соблюдения требований по защите персональных данных со стороны операторов утверждены в начале 2019 года, а планы их проведения еще не сформированы.
• После утверждения плана проведения проверок с ним можно будет ознакомиться на официальном сайте Роскомнадзора и, соответственно, подготовиться к проверке.
• Внеплановая проверка может быть осуществлена по заявлению гражданина, поручению президента или правительства либо в связи с невыполнением ранее выданного предписания.

Операторов персональных данных будут проверять по обращениям граждан

Правительство расширило основания для проведения Роскомнадзором внеплановых проверок операторов персональных данных. Соответствующее постановление об утверждении Правил организации госконтроля за обработкой личной информации вступило в силу 23 февраля.

Согласно документу, причиной для внеочередной проверки может послужить обращение граждан. При этом в ведомство должны быть предоставлены материалы, подтверждающие факт нарушения правил хранения персональных данных. Контрольные мероприятия будут осуществляться после согласования с прокуратурой.

Россиянам могут дать возможность отзывать согласие на обработку персональных данных

Вместе с тем кроме плановых и внеплановых проверок были определены два новых надзорных мероприятия: контроль без взаимодействия с оператором и профилактика нарушений. Если в результате контроля без взаимодействия Роскомнадзор выявит несоблюдение правил, оператора также могут проверить внепланово.

Интересное за неделю

«Парламентская газета» — официальное еженедельное издание Федерального Собрания РФ. Издается с 1997 года. Учредители газеты — Государственная Дума и Совет Федерации РФ. Издание является официальным публикатором федеральных законов, постановлений, актов и других документов Федерального Собрания. «Парламентская газета» имеет пункты печати и представительства в десяти субъектах федерации. Распространяется по подписке и в розницу, в органах исполнительной и представительной власти федерального и регионального уровня, в поездах дальнего следования и «Сапсан», в самолетах ГТК «Россия», «Аэрофлот», а также региональных авиакомпаний.

Сайт «Парламентской газеты» — это оперативные новости и достоверная информация о принимаемых в стране законах и деятельности депутатов и сенаторов. При использовании материалов сайта «Парламентской газеты» активная ссылка на pnp.ru обязательна.

В рубрике «Деловая экспертиза» могут публиковаться материалы на правах рекламы

Проверки операторов персональных данных Роскомнадзором с 23.02.2019 проходят по новым правилам

Проверки операторов персональных данных будут проводиться Роскомнадзором в соответствии с новыми Правилами организации и осуществления государственного контроля и надзора за обработкой персональных данных, утв. постановлением Правительства РФ от 13.02.2019 № 146.

Важно! Правила не распространяются на соблюдение организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со ст. 19 закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Предмет проверки Роскомнадзора:

• деятельность оператора по обработке персональных данных;
• документы и локальные акты оператора;
• информационные системы персональных данных.

Виды проверок Роскомнадзора:

1. Документарные — в основном все плановые проверки. Документы представляются оператором по обработке персональных данных по запросу Роскомнадзора в течение 5 рабочих дней.
2. Выездные — по месту ведения деятельности оператором персональных данных. Все внеплановые проверки Роскомнадзора проводятся только в форме выездных проверок.

Обратите внимание! Если оператор чинит препятствия проверке, может быть составлен акт о воспрепятствовании проведению выездной проверки.

Плановые проверки операторов персональных данных:

1. Основание проведения — приказ, изданный в соответствии с графиком (планом) проверок. Планы проверок Роскомнадзор публикует на своем сайте ежегодно, опубликован план и на 2019 год. Периодичность проверок составляет:
   • 1 раз в 3 года — по общему правилу;
   • 1 раз в 2 года — в отношении отдельных операторов персональных данных (работа со специальными категориями данных, для иностранных лиц и др.).
2. Уведомление оператора по обработке персональных данных о плановой проверке Роскомнадзора — не позднее чем за 3 рабочих дня.
3. Срок проведения плановой проверки Роскомнадзора — 20 рабочих дней с возможностью продления на 20 рабочих дней.

Внеплановые проверки операторов персональных данных:

1. Основание проведения проверки — приказ о ее проведении, изданный в связи:
   • с невыполнением предписания;
   • обращением гражданина (при наличии признаков нарушений по сообщенной информации);
   • требованием прокуратуры и др.
2. Уведомление оператора по обработке персональных данных о внеплановой проверке Роскомнадзора — не позднее чем за 24 часа.
3. Срок проведения внеплановой проверки Роскомнадзора — 10 рабочих дней с возможностью продления на 10 рабочих дней.

Оформление результатов проверки

По результатам проверки оператора по обработке персональных данных Роскомнадзор:

• составляет акт проверки в 2 экземплярах, один из которых вручает проверяемому оператору персональных данных;
• выдает предписание об устранении выявленных нарушений (при их обнаружении).

Важно! Результаты проверки могут быть обжалованы как в судебном, так и в административном порядке.

Статьи об обработке персональных данных читайте в рубрике «Персональные данные».

С 23 февраля изменяются правила проверки операторов персональных данных

Правила организации и осуществления госконтроля и надзора за обработкой персональных данных были утверждены постановлением Правительства РФ от 13 февраля 2019 г №146.

Обновленный свод правил регламентирует организацию плановых, внеплановых, документарных, выездных проверок, порядок их проведения, права и обязанности должностных лиц при осуществлении госконтроля и надзора. Кроме этого, документ приводит меры, которые следует принимать при обнаружении фактов нарушения требований и прочее.

Подробнее о новых правилах в новости Единого портала Электронной подписи «Утверждены правила защиты персональных данных» от 18.02.2019.

С 23 февраля 2019 года Роскомнадзор будет осуществлять проверки операторов персональных данных «по-новому».

Читайте также:

Электронная подпись в 2019 году станет облачной и универсальной

Текущий год должен стать периодом качественного рывка в области цифровых технологий. Минкомсвязь России в связке с другими ведомствами и заинтересованными организациями в текущим году переведет ЭП в «облако» и обеспечит ее универсальность.

Совфед рекомендует регионам перенимать опыт Подмосковья в мониторинге жалоб населения через соцсети

Министр Правительства Московской области по информационной политике Анастасия Звягина приняла участие в заседании совета по развитию социальных инноваций субъектов Российской Федерации «Масс-медиа: индикатор и инструмент развития социальной экономики».

СОГЛАШЕНИЕ О ПРЕДОСТАВЛЕНИИ И ИСПОЛЬЗОВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящее соглашение регламентирует отношения между АО «Аналитический центр» и физическим лицом (Пользователь) и вступает в силу с момента принятия Пользователем условий настоящего соглашения. При несогласии Пользователя с хотя бы одним из пунктов соглашения, Пользователь не имеет права дальнейшей регистрации. Продолжение процедуры регистрации говорит о полном и безоговорочном согласии с настоящим соглашением.

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Регистрация — процедура, в ходе которой Пользователь предоставляет достоверные данные о себе по утвержденной форме регистрации (регистрационная карта). Прохождение процедуры регистрации говорит о том, что Стороны полно и безоговорочно согласились с условиями настоящего соглашения.

Персональные данные Пользователя — данные, используемые для идентификации личности, добровольно указанные Пользователем при прохождении регистрации. Данные хранятся в базе данных на сервере АО «Аналитический центр» и подлежат использованию исключительно в соответствии с настоящим соглашением и законодательством РФ.

ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Мы используем персональные данные Пользователя только для тех целей, которые указываются при их сборе. Мы не используем персональные данные для других целей без согласия Пользователя. Мы можем использовать персональные данные Пользователя для следующих целей:

• Для организации выдачи Пользователю электронной цифровой подписи в рамках сети Аккредитованных при Некоммерческой организации «Ассоциация Электронных Торговых Площадок» Удостоверяющих центров, а также ее обслуживания и оказания сопутствующих услуг;
• Для обратной связи с Пользователем в целях предоставления услуги или информации, в том числе посредством рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» на указанную электронную почту. Отказаться от рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» можно нажав на соответствующую кнопку в нижнем колонтитуле любого письма в рамках такой рассылки;
• Для ответов на запросы Пользователя в службу поддержки;
• Для выполнения обязательств по договорам.

Для использования персональных данных для любой иной цели мы запрашиваем подтверждение Пользователя. Пользователь соглашается, что АО «Аналитический центр» оставляет за собой право использовать его персональные данные анонимно и в обобщенном виде для статистических целей.

ОБЯЗАТЕЛЬСТВА ПОЛЬЗОВАТЕЛЯ ПО РЕГИСТРАЦИИ

Пользователь соглашается предоставить правдивую, точную и полную информацию о себе по вопросам, предлагаемым в регистрационной карте. Если Пользователь предоставляет неверную информацию, АО «Аналитический центр» имеет право приостановить либо отменить регистрацию.

ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ ТРЕТЬИМ ЛИЦАМ

АО «Аналитический центр» не передает персональные данные третьим лицам для маркетинговых целей без разрешения Пользователя.

АО «Аналитический центр» может передавать персональные данные Пользователя компаниям, аффилированным по отношению к АО «Аналитический центр», для обработки и хранения. Пользователь соглашается с тем, что АО «Аналитический центр» передает персональные данные Пользователя уполномоченным организациям для создания и выдачи электронной подписи, выполнения требуемых услуг и операций.

АО «Аналитический центр» предоставляем третьим лицам объем персональных данных, необходимый для оказания требуемой услуги или транзакции. При необходимости АО «Аналитический центр» можем использовать персональные данные Пользователя для ответа на претензии, исковые заявления.

АО «Аналитический центр» можем собирать и, при необходимости, передавать уполномоченным органам имеющуюся в нашем распоряжении информацию для расследования, предотвращения и пресечения любых незаконных действий. АО «Аналитический центр» вправе раскрывать любые персональные данные по запросам правоохранительных органов, решению суда и в прочих случаях, предусмотренных законодательством РФ.

С целью предоставления дополнительной информации, оказания услуг, Пользователь можете быть направлен на другие ресурсы, содержащие информационные или функциональные ресурсы, предоставляемые третьими лицами.

Только в тех случаях, когда информация собирается от лица АО «Аналитический центр», использование данных Пользователя будет определяться политикой АО «Аналитический центр» в отношении конфиденциальности персональных данных. При предоставлении информации на других ресурсах будут использоваться политики в отношении конфиденциальности персональных данных, проводимые их владельцами.

АО «Аналитический центр» требует от своих партнеров использования политики в отношении конфиденциальности персональных данных, согласующихся с политикой АО «Аналитический центр».

БЕЗОПАСНОСТЬ ВАШИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

АО «Аналитический центр» использует технологии безопасности, процедуры и организационные меры для защиты персональных данных Пользователя от несанкционированного доступа, использования или разглашения.

АО «Аналитический центр» стремится защитить персональные данные Пользователя, но не может гарантировать безопасность передаваемых данных.

АО «Аналитический центр» рекомендует принимать все меры по защите ваших персональных данных при работе в Интернете. Часто меняйте пароли, используйте сочетание букв и цифр при создании паролей и используйте защищенный браузер.

АО «Аналитический центр» не хранит персональные данные Пользователя дольше, чем необходимо для целей их сбора, или чем требуется в соответствии с действующими законами или правилами.

Новый порядок проведения проверок в отношении тех, кто обрабатывает персональные данные

С 23 февраля 2019 года вступили в силу новые Правила проведения проверок Роскомнадзором.

Данные Правила утверждены Постановлением Правительства Российской Федерации N 146 от 13.02.2019г. и будут теперь применяться при проведении проверок вместо Административного регламента, который утратил свою силу.

Что изменилось? Давайте выясним.

По плановым проверкам:
Раньше начало обработки персональных данных являлось основанием для включения операторов в план проверок. Сейчас по этому основанию проверять не будут и, таким образом, осталось только два законных основания проведения плановой проверки:

1. Оператор обрабатывает персональные данные в государственных информационных системах.
2. Второе основание проведения плановой проверки: Оператор обрабатывает биометрические персональные данные и специальные категории персональных данных

Такие проверки будут проводиться не чаще одного раза в два года. В ранее действующем регламенте такого правила не было. Срок проведения плановых проверок не поменялся. Он, как и прежде, составляет не более 20 рабочих дней. Этот срок может быть продлен однократно, также на срок, не более чем 20 рабочих дней.

По внеплановым проверкам:

Отменены внеплановые документарные проверки!
Появилось новое основание для проведения внеплановой проверки — решение руководителя Роскомнадзора или его территориального органа по итогам рассмотрения докладной записки.

Появилось новое основание для проведения внеплановой проверки — решение руководителя Роскомнадзора!

Как это происходит?

Проверяющий из Роскомнадзора может выявить отдельные нарушения и без взаимодействия с оператором – организацией или индивидуальным предпринимателем. Например, изучит информацию, размещенную на вашем сайте в Интернете, в СМИ и т.д. Ранее существующий Административный регламент такой возможности контролирующему органу не предоставлял.

Теперь о сроках проведения проверок:

Максимальный срок проведения проверки будет составлять 10 дней. Его могут продлить еще на столько же, при необходимости. Вопрос о продлении срока проверки будет решать проверяющий из Роскомнадзора.

В старом Административном регламенте срок проведения проверки был в 2 раза больше, а это значит, что у операторов сейчас в 2 раза меньше времени на подготовку к проверке.

Также, новым Регламентом предусмотрено сокращение срока предоставления документов проверяющему органу. Раньше такой срок составлял 10 рабочих дней, а сейчас нужно за 5 рабочих дней с момента получения запроса, успеть предоставить информацию в Роскомнадзор. Если Вы допустили какие-либо ошибки в представленных на проверку документах, их нужно будет успеть исправить за 3 рабочих дня, а не 10, как это было раньше.

Кроме того, теперь оператор обязан еще до начала проведения проверки представить документы по запросу Роскомнадзора в срок, который будет указан в запросе. Кстати, документы теперь можно будет направить и через Интернет, предварительно заверив их усиленной квалифицированной электронной подписью. Раньше такой порядок законом не предусматривался.

Сам срок проведения проверки Роскомнадзор теперь может продлить по целому ряду оснований:

1. Проверяемое лицо не предоставило запрашиваемые документы;
2. Если в представленных на проверку документах выявлены нарушения требований к обработке персональных данных;
3. Возникли форс-мажорные обстоятельства;
4. Большой объем проверяемой информации.

Раньше сроки проведения проверок могли увеличить только по причине большого объема проверяемой информации. Но, если Роскомнадзор увеличит срок проведения проверки, он обязан будет известить об этом проверяемое лицо в течение 3-х рабочих дней с момента выпуска соответствующего приказа.

Какой срок дается на устранение, выявленных Роскомнадзором, нарушений?

Сейчас такой срок будет составлять 6 месяцев со дня выдачи предписания об устранении нарушения. Проверяемый обязан будет уложиться в этот срок. В противном случае, ему грозит административная ответственность за невыполнение в срок законного предписания, предусмотренная ст. 19.5 Кодекса об административных нарушениях РФ.
Кроме того, Роскомнадзор теперь может потребовать от оператора приостановить обработку персональных данных, в том случае, если не будет выполнено предписание по устранению нарушений.

Фактически это будет означать, что деятельность юридического лица или индивидуального предпринимателя будет приостановлена до тех пор, пока не нарушение не будет им устранено.

Основные выводы вышеизложенного:

• стало меньше оснований для проведения плановых проверок;
• отменили плановые документарные проверки;
• стало больше оснований для проведения внеплановых проверок, инициировать их контролирующему органу стало проще;
• сократились сроки предоставления документов проверяющим в ходе внеплановой проверки;
• у Роскомнадзора появилось больше полномочий на проверках.