15 февраля на Официальном интернет-портале правовой информации опубликовано Постановление Правительства РФ от 13.02.2019 № 146, утверждающее «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных».
Что теперь проверяют?
Первое, на что необходимо обратить внимание в указанных Правилах — это то, что контроль и надзор осуществляется именно за соблюдением закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, как описано в части 1.1 статьи 23 152-ФЗ, а не законодательства РФ в области персональных данных, как написано в части 1 той же статьи.
Уполномоченный орган по защите прав субъектов персональных данных обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных). Порядок организации и проведения проверок юридических лиц и индивидуальных предпринимателей, являющихся операторами, уполномоченным органом по защите прав субъектов персональных данных, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными лицами, являющимися операторами, устанавливается Правительством Российской Федерации.
Таким образом, полномочия Роскомнадзора по контролю и надзору не распространяются на главу 14 Трудового кодекса.
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами.
Это означает, что теперь Роскомнадзор, возможно, не будет штрафовать за указание нескольких целей в согласии работника на передачу третьим лицам.
Контроль и надзор за выполнением организационных и технических мер
В Правилах определено, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 152-ФЗ «О персональных данных». Таким образом, Роскомнадзор не cможет проверять у Операторов фактическую реализацию организационных и технических мер, установленных статьей 19.1 152-ФЗ «О персональных данных».
Сроки проведения проверок
Периодичность плановых проверок сократилась до двух лет для следующих операторов ПДн:
- операторов государственных информационных систем, содержащих персональные данные;
- обрабатывающих специальные категории персональных данных и биометрические персональные данные;
- осуществляющих трансграничную передачу персональных данных в страны, не обеспечивающие адекватную защиту прав субъектов персональных данных;
- обрабатывающих персональные данные по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории РФ.
Основания для внеплановых проверок
В правилах появились следующие основания для внеплановых проверок:
- обращения граждан при условии наличия в обращении материалов, подтверждающих факт нарушения их прав действиями (бездействием) оператора, определенных статьями 14-17 152-ФЗ «О персональных данных»;
- нарушение, выявленное в ходе мероприятия систематического наблюдения (отсутствие политики на интернет-сайте, согласия на обработку ПДн и т.д.).
Таким образом, Роскомнадзор, скорее всего, будет делать упор больше на внеплановые проверки, чем на плановые.
Включение в план проверок
Согласно Правилам Роскомнадзор может самостоятельно включать Операторов в план проверок. Таким образом, в случае если в ходе плановой проверки юридического лица Роскомнадзор выявит нарушения в процессе другого юридического лица, то он может назначить внеплановую проверку на законных основаниях.