Главная » Блог » 2015 » Май » 30
» Общественное обсуждение проекта постановления о надзорных проверках в сфере персональных данных
14:16
Общественное обсуждение проекта постановления о надзорных проверках в сфере персональных данных
До 7 июня текущего года каждому можно оставить свое экспертное мнение в отношении представленного текста проекта Постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации», который выложен на официальном портале Regulation.gov.ru
Текст документа выглядит очень неоднозначным с точки зрения экспертов отрасли.
Как пишет один из экспертов, Алексей Волков, «Авторы [документа] поставили перед собой целых три цели государственного регулирования: исключение двух законодательных пробелов и разграничение полномочий между Роскомнадзором, ФСТЭК и ФСБ в части контроля организационных и технических мер, установленных ст. 19 152-ФЗ. Убить трех мух предлагается одним тапком, точнее постановлением правительства, которое авторы и предлагают принять. После беглого прочтения проекта постановления складывается впечатление, что Роскомнадзору вдруг понадобилось повысить статус своего административного регламента по контролю и надзору за обработкой ПДн».
«На борьбу с нарушениями и нарушителями в надзираемой сфере, в дополнение к плановым и внеплановым документарным и выездным проверкам, предлагается направить еще двух драконов.
Первый называется «мероприятия систематического наблюдения» в соответствии с п. 71-77 проекта постановления. Наблюдать за деятельностью операторов этот дракон будет в соответствии с системой, установленной календарным планом — отдельным от плана проверок — и также систематически составлять докладные записки. Дракон наделен правом самостоятельно плевать огнем в нарушителя, выдавая ему не предписание, а «требование», неисполнение которого в десятидневный срок карается прокурорским реагированием и выездом «дружины» с внеплановой проверкой.
Второго дракона предлагается посадить в казенном доме, дабы инициативные операторы, не желающие внезапно попасть под зоркий глаз и очистительный огонь дракона-«наблюдателя», могли самостоятельно отнести свои документы, подтверждающие выполнение ими установленных законом требований. Имя ему — «анализ и оценка» (п. 78-83). Здесь, как в старой известной армейской поговорке, инициатива будет жестко поступать с инициатором, отдавшим документы для такого анализа. Если будет обнаружено нарушение, оператор сразу получит требование, которое будет должен устранить в десятидневный срок, и если не справится — огребет предписание без всяких выездных проверок.
Изменится и состав и полномочия «дружины», выезжающей на проверки. Авторы предлагают наделить ее полномочиями проверять и оценивать достаточность принятых оператором мер для обеспечения выполнения предусмотренных законодательством обязанностей».
Другой эксперт, Алексей Лукацкий, поддерживает коллегу в его недоумении от текста документа с новыми полномочиями Роскомнадзора:
«Помимо плановых и внеплановых проверок теперь будут проводиться мероприятия систематического наблюдения. У этого понятия есть неоспоримое преимущество — мало кто понимает, что это такое и оно точно не попадает под ФЗ-294. Собственно РКН этим и раньше занимался, но теперь это обрело законную форму. А главное, что можно как угодно проводить это наблюдение руководствуясь своим пониманием и своими внутренними документами (а то и вовсе без них).
Список плановых проверок должен быть опубликован на сайте РКН, но согласовывать их с прокуратурой теперь не надо. Если вспомнить, что около 50% всех заявок на проведение плановых проверок отбраковывалось, то теперь понятно, что проверять будут тех, кого хочет РКН — никаких посредников, которые могут сказать как «да», так и «нет».
К основаниям формирования плана плановых проверок теперь относятся (список шире, чем раньше):
◾Трехлетний период с момента окончания последней плановой проверки.
◾Информация от госорганов, муниципалитетов и СМИ о нарушении. А у нас и многие Интернет-ресурсы теперь считают СМИ.
◾Обработка ПДн значительного количества субъектов ПДн, а также обработка биометрических и специальных категорий ПДн. Понятие значительности нигде не определено — так что в список могут попасть многие.
◾Непредставление информации РКН.
Отказ от согласования проверок с прокуратурой — это одно из ключевых отличий нового документа от действующей практики проведения проверок.
Еще большее количество оснований для проведения внеплановых проверок
◾Истечение срока выданного предписания
◾По доказательным обращениям граждан. Это единственный случай, когда требуется согласования с прокуратурой. Учитывая, что во всех остальных случаях эта «головная боль» не нужна могу предположить, что по заявлениям субъектов ПДн проверок будет меньше всего. Это опять расходится с духом закона о персональных данных, но это уже мало кого волнует. Достаточно посмотреть, как сам РКН обращается с конфиденциальностью ПДн при электронном общении с гражданами.
◾По причине непредоставления (неполного представления) информации оператором по запросу РКН
◾Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов
◾Поручение Президента или Правительства
◾В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения. Ну очень размытая формулировка :-(
◾Несоответствие сведений, указанных в уведомлении
◾В случае неисполнения требования РКН об устранении выявленного нарушения
◾На основании представления органа прокуратуры
Расширение полномочий сотрудников РКН по доступу к запрашиваемым документам, помещениям и ИСПДн. Отказ в предоставлении доступа влечет за собой обращение РКН в правоохранительные органы».
IT-сообщество «Хабрахабр» также обратило внимание на подготовку данного документа. И выявило еще ряд интригующих особенностей новых функций Роскомнадзора. К примеру, что он может контролировать действия не только юридических и должностных лиц, но и физических с «проведением мероприятий систематического наблюдения за исполнением требований законодательства Российской Федерации, а также анализа и оценки состояния исполнения требований законодательства Российской Федерации при осуществлении проверяемыми лицами деятельности по обработке персональных данных […] Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения государственного органа, органа местного самоуправления, юридического лица, физического лица и (или) по месту фактического осуществления им деятельности по обработке персональных данных. В случае, если у физического лица отсутствует возможность предоставить помещение для проведения выездной проверки, проверка проводится по месту нахождения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа».
Появились уже и первые комментарии по тексту проекта данного документа в ходе общественного обсуждения, к которому может присоединится каждый из вас, если представленные новые возможности надзорному ведомству у вас вызывают не меньшие вопросы, чем у отрасли
Общественное обсуждение проекта постановления о надзорных проверках в сфере персональных данных
