Публикация правил контроля и надзора за соответствием обработки персональных данных

Новый порядок проверок и полномочия Роскомнадзора, правила проведения контроля и надзора за обработкой персональных данных, основания включение в план проверок Роскомнадзора, сроки проведения проверок Роскомнадзора

2019-02-18

15 февраля на Официальном интернет-портале правовой информации опубликовано Постановление Правительства РФ от 13.02.2019 № 146, утверждающее «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных».

Что теперь проверяют?

Первое, на что необходимо обратить внимание в указанных Правилах — это то, что контроль и надзор осуществляется именно за соблюдением закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, как описано в части 1.1 статьи 23 152-ФЗ, а не законодательства РФ в области персональных данных, как написано в части 1 той же статьи.

Уполномоченный орган по защите прав субъектов персональных данных обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных). Порядок организации и проведения проверок юридических лиц и индивидуальных предпринимателей, являющихся операторами, уполномоченным органом по защите прав субъектов персональных данных, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными лицами, являющимися операторами, устанавливается Правительством Российской Федерации.

Таким образом, полномочия Роскомнадзора по контролю и надзору не распространяются на главу 14 Трудового кодекса.

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами.

Это означает, что теперь Роскомнадзор, возможно, не будет штрафовать за указание нескольких целей в согласии работника на передачу третьим лицам.

Контроль и надзор за выполнением организационных и технических мер

В Правилах определено, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 152-ФЗ «О персональных данных». Таким образом, Роскомнадзор не cможет проверять у Операторов фактическую реализацию организационных и технических мер, установленных статьей 19.1 152-ФЗ «О персональных данных».

Сроки проведения проверок

Периодичность плановых проверок сократилась до двух лет для следующих операторов ПДн:

Основания для внеплановых проверок

В правилах появились следующие основания для внеплановых проверок:

Таким образом, Роскомнадзор, скорее всего, будет делать упор больше на внеплановые проверки, чем на плановые.

Включение в план проверок

Согласно Правилам Роскомнадзор может самостоятельно включать Операторов в план проверок. Таким образом, в случае если в ходе плановой проверки юридического лица Роскомнадзор выявит нарушения в процессе другого юридического лица, то он может назначить внеплановую проверку на законных основаниях.