23.10.2009

Как РКН будет пасти своих овец

Роскомнадзор разместил на своем сайте проект Административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

Предназначение документа - описать процедуру проверок операторов персданных со стороны Роскомнадзора. Регламент во многом повторяет положения ФЗ-294, но есть ряд очень интересных моментов.

Во-первых, РКН решил расширить закрытый перечень оснований для плановой проверки, установленный федеральным законом, и добавил к нему еще 2 основания:
  • Осуществление оператором ПДн деятельности по обработке персональных данных
  • Истечение 3-х лет с момента государственной регистрации оператора ПДн.
Т.е. если этот проект будет принят, РКН получит право приходить с плановой проверкой в любой момент, а не только тогда, когда это разрешено законом.

Также расширен закрытый перечень оснований для внеплановой проверки. Теперь он пополнился двумя новыми основаниями:
  • нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их ПДн
  • нарушение операторами ПДн требований ФЗ-152 и иных нормативных правовых актов в области ПДн, а также о несоответствии сведений, содержащихся в уведомлении об обработке ПДн, фактической деятельности.
Опять же РКН стелит соломку под свои действия. С выходом 294-ФЗ он потерял право проверять даже внепланово, т.к. нарушение прав субъектов ПДн очень сложно притянуть к нанесению вреда жизни и здоровья и нарушению прав потребителя (об этом заявлялось и на парламентских слушаниях). И вот нате вам два новых основания, которые развязывают руки РКН по полной программе.

В остальном ничего интересного в проекте регламента я не заметил.

ЗЫ. Также в рекомендациях парламентских слушаний говорится о том, что должен появиться совместный регламент проверок РКН, ФСТЭК и ФСБ. Какой тогда будет статус этого проекта регламента непонятно.

11 коммент.:

Анонимный комментирует...

В регламенте есть п. 23 и п.75, по которым вопросы обеспечения безопасности персональных данных при их обработке в ИСПДн находятся вне компетенции Роскомнадзора, и есть список запрашиваемых документов, по которым получается, что вопросы обеспечения безопасности всё-таки проверяются. Это было бы нормально, если проверки были совместные, а так получается, что Роскомнадзор превышает свои полномочия.

Ригель комментирует...

Чё их пасти-то - их стричь надо. А пастись пусть сами пасутся.

Алексей Лукацкий комментирует...

Анонимному: Ну их превышение отбивается ФЗ-294, по которому это не их полномочия и пусть курят бамбук. Но вот если рекомендации парламентских слушаний примут в полном объеме, то они смогут запрашивать информацию по СЗИ и передавать ее в ФСБ и ФСТЭК. А про совместные проверки они давно поют и даже совместный регламент разрабатывают. Только им это все равно не дает права заправивать информацию сверх своей компетенции.

Ригелю: Злой ты, но правдивый ;-)

Анонимный комментирует...

Сфера действия ФЗ-294 не распространяется на юридических лиц и индивидуальных предпринимателей, не осуществляющих предпринимательскую деятельность, т.е. на госорганы, муниципальные орг-ии (в т.ч. садики, школы, поликлиники и т.д.), им придется ссылаться на адм. регламент проведения проверок, уповать на добросовестность регуляторов и надеятся на финансирование со стороны государства.
И вообще абсурдная ситуация получается: государство не предусмотрело финансирование; государство, в лице регуляторов, может оштрафовать бюджетные орг-ии, не выполнивших требования законодательства; государство заставляет тратить государственные деньги на аттестацию и закупку СЗИ.

Алексей Лукацкий комментирует...

А из чего следует, что 294-ФЗ не распространяется на организации, не занимающиеся предпринимательской деятельностью?

Анонимный комментирует...

Пункт 1 статьи 1
"Настоящий Федеральный закон регулирует отношения в области организации и осуществления государственного контроля (надзора), муниципального контроля и защиты прав юридических лиц при осуществлении ими предпринимательской деятельности и индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля."

Алексей Лукацкий комментирует...

Упс, первую статью-то я и пропустил. Тогда засада ;-(

Алексей Лукацкий комментирует...

Стоп. А откуда у вас такой текст? В официальном тексте такой приписки нет - http://www.rg.ru/2008/12/30/prava-kontrol-dok.html

Анонимный комментирует...

По вашей ссылке - текст недействующей редакции
Вот: http://www.consultant.ru/online/base/?req=doc;base=law;n=89650

Алексей Лукацкий комментирует...

О как ;-) Спасибо.

Алексей Лукацкий комментирует...

О! В действующей редакции эту приписку убрали ;-)