12.05.2015

Как будет осуществляться надзор в сфере ПДн с 1-го сентября?

Постепенно "закрываются" белые пятна по части нормотворчества в области персональных данных, о которых я писал между майскими праздниками.


И хотя господин Жаров в своем выступлении заявил, что запланирован переход на риск-ориентированную модель при проведении надзорных мероприятий и после принятия соответствующего и готовящегося сейчас законопроекта поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан и на основе такой дифференциации планировать и проводить надзорные мероприятия, ситуация немного иная. 8 мая был опубликован проект еще одного Постановления Правительства в области персданных - теперь в отношении контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации. Я про него уже упоминал и хочу акцентировать внимание только на нескольких моментах:
  • Проект очень сильно похож на Административный регламент РКН в части осуществления государственной функции по контролю (надзору) в сфере ПДн, но есть и некоторые серьезные отличия.
  • Явный запрет на проверки технических и организационных мер по защите ПДн, предусмотренные 19-й статьей ФЗ-152. Это и так вытекали из действующего законодательства, но теперь это, наконец-то, зафиксировано явно.
  • Помимо плановых и внеплановых проверок теперь будут проводиться мероприятия систематического наблюдения. У этого понятия есть неоспоримое преимущество - мало кто понимает, что это такое и оно точно не попадает под ФЗ-294. Собственно РКН этим и раньше занимался, но теперь это обрело законную форму. А главное, что можно как угодно проводить это наблюдение руководствуясь своим пониманием и своими внутренними документами (а то и вовсе без них).
  • Список плановых проверок должен быть опубликован на сайте РКН, но согласовывать их с прокуратурой теперь не надо. Если вспомнить, что около 50% всех заявок на проведение плановых проверок отбраковывалось, то теперь понятно, что проверять будут тех, кого хочет РКН - никаких посредников, которые могут сказать как "да", так и "нет".
  • К основаниям формирования плана плановых проверок теперь относятся (список шире, чем раньше):
    • Трехлетний период с момента окончания последней плановой проверки.
    • Информация от госорганов, муниципалитетов и СМИ о нарушении. А у нас и многие Интернет-ресурсы теперь считают СМИ.
    • Обработка ПДн значительного количества субъектов ПДн, а также обработка биометрических и специальных категорий ПДн. Понятие значительности нигде не определено - так что в список могут попасть многие.
    • Непредставление информации РКН.
  • Отказ от согласования проверок с прокуратурой - это одно из ключевых отличий нового документа от действующей практики проведения проверок.
  • Еще большее количество оснований для проведения внеплановых проверок
    • Истечение срока выданного предписания
    • По доказательным обращениям граждан. Это единственный случай, когда требуется согласования с прокуратурой. Учитывая, что во всех остальных случаях эта "головная боль" не нужна могу предположить, что по заявлениям субъектов ПДн проверок будет меньше всего. Это опять расходится с духом закона о персональных данных, но это уже мало кого волнует. Достаточно посмотреть, как сам РКН обращается с конфиденциальностью ПДн при электронном общении с гражданами (слайд 6).
    • По причине непредоставления (неполного представления) информации оператором по запросу РКН
    • Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов
    • Поручение Президента или Правительства
    • В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения. Ну очень размытая формулировка :-(
    • Несоответствие сведений, указанных в уведомлении
    • В случае неисполнения требования РКН об устранении выявленного нарушения
    • На основании представления органа прокуратуры
  • РКН активно готов привлекать экспертов для проведения проверок, особенно в части анализа содержания ИСПДн. Но проверять вопросы защиты персональных данных из 19-й статьи они не могут - это явно описано в самом начале проекта Постановления. В противном случае оно бы никогда не прошло согласование с ФСТЭК и ФСБ.
  • Периодичность проверок установлена один раз в 2 года для госов, муниципалов и коммерсантов (раньше было три), и один раз в три года в отношении физлиц и индивидуальных предпринимателей.
  • Расширение полномочий сотрудников РКН по доступу к запрашиваемым документам, помещениям и ИСПДн. Отказ в предоставлении доступа влечет за собой обращение РКН в правоохранительные органы.
Вот такой блиц-анализ этого проекта документа. Не думаю, что он сильно изменится в финальной версии. С одной стороны опасения о том, что РКН сможет приходить когда угодно и как угодно часто, не оправдались. С другой стороны - отказ от согласования с прокуратурой, расширение оснований для внеплановых проверок, привлечение экспертов и... планируемый рост штрафов, существенно повышают риски. Учитывайте это в своих планах приведения себя в соответствие.

6 коммент.:

(_DeV1L_) комментирует...

"РКН активно готов привлекать экспертов для проведения проверок, особенно в части анализа содержания ИСПДн. Но проверять вопросы защиты персональных данных из 19-й статьи они не могут - это явно описано в самом начале проекта Постановления."
А инициировать проверку со стороны ФСТЭК/ФСБ они как-нибудь могут?

Алексей Лукацкий комментирует...

Нет. ФСТЭК и ФСБ не имеют полномочий по проверке коммерческих компаний

Evgeny Voropaev комментирует...

Алексей, подскажите ваше мнение по п. 19., где указывается, что о проведении документарной проверки оператор "уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа почтовым отправлением с уведомлением о вручении или иным доступным способом".
Как я понимаю уведомление отправленное даже за час до проверки попадает в "не позднее чем в течение трех рабочих дней до начала".

Julia Suslina комментирует...

По-хорошему, данный документ позволяет реанимировать идею привлечения экспертов и аккредитованных интеграторов для проведения технических проверок. Опять же, их присутствие незаконно, а во-вторых прямейший конфликт интересов и желание зачморить работы конкурента.

Алексей Лукацкий комментирует...

Реанимировать - да. Но эксперты третьих фирм не могут быть допущены к чужим ПДн

Евгений Усатый комментирует...

Евгений, "уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа почтовым отправлением с уведомлением о вручении или иным доступным способом" имеется ввиду - "не менее чем за три рабочих дня" разъяснения тут:http://www.eg-online.ru/article/239761/