Как будет осуществляться надзор в сфере ПДн с 1-го сентября?

Постепенно "закрываются" белые пятна по части нормотворчества в области персональных данных, о которых я писал между майскими праздниками.

И хотя господин Жаров в своем выступлении заявил, что запланирован переход на риск-ориентированную модель при проведении надзорных мероприятий и после принятия соответствующего и готовящегося сейчас законопроекта поднадзорные организации предполагается разделить на группы в зависимости от степени риска нарушений для экономики и ее граждан и на основе такой дифференциации планировать и проводить надзорные мероприятия, ситуация немного иная. 8 мая был опубликован проект еще одного Постановления Правительства в области персданных - теперь в отношении контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации. Я про него уже упоминал и хочу акцентировать внимание только на нескольких моментах:

• Проект очень сильно похож на Административный регламент РКН в части осуществления государственной функции по контролю (надзору) в сфере ПДн, но есть и некоторые серьезные отличия.
• Явный запрет на проверки технических и организационных мер по защите ПДн, предусмотренные 19-й статьей ФЗ-152. Это и так вытекали из действующего законодательства, но теперь это, наконец-то, зафиксировано явно.
• Помимо плановых и внеплановых проверок теперь будут проводиться мероприятия систематического наблюдения. У этого понятия есть неоспоримое преимущество - мало кто понимает, что это такое и оно точно не попадает под ФЗ-294. Собственно РКН этим и раньше занимался, но теперь это обрело законную форму. А главное, что можно как угодно проводить это наблюдение руководствуясь своим пониманием и своими внутренними документами (а то и вовсе без них).
• Список плановых проверок должен быть опубликован на сайте РКН, но согласовывать их с прокуратурой теперь не надо. Если вспомнить, что около 50% всех заявок на проведение плановых проверок отбраковывалось, то теперь понятно, что проверять будут тех, кого хочет РКН - никаких посредников, которые могут сказать как "да", так и "нет".
• К основаниям формирования плана плановых проверок теперь относятся (список шире, чем раньше):
• Трехлетний период с момента окончания последней плановой проверки.
• Информация от госорганов, муниципалитетов и СМИ о нарушении. А у нас и многие Интернет-ресурсы теперь считают СМИ.
• Обработка ПДн значительного количества субъектов ПДн, а также обработка биометрических и специальных категорий ПДн. Понятие значительности нигде не определено - так что в список могут попасть многие.
• Непредставление информации РКН.
• Отказ от согласования проверок с прокуратурой - это одно из ключевых отличий нового документа от действующей практики проведения проверок.
• Еще большее количество оснований для проведения внеплановых проверок
• Истечение срока выданного предписания
• По доказательным обращениям граждан. Это единственный случай, когда требуется согласования с прокуратурой. Учитывая, что во всех остальных случаях эта "головная боль" не нужна могу предположить, что по заявлениям субъектов ПДн проверок будет меньше всего. Это опять расходится с духом закона о персональных данных, но это уже мало кого волнует. Достаточно посмотреть, как сам РКН обращается с конфиденциальностью ПДн при электронном общении с гражданами (слайд 6).
• По причине непредоставления (неполного представления) информации оператором по запросу РКН
• Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов
• Поручение Президента или Правительства
• В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения. Ну очень размытая формулировка :-(
• Несоответствие сведений, указанных в уведомлении
• В случае неисполнения требования РКН об устранении выявленного нарушения
• На основании представления органа прокуратуры
• РКН активно готов привлекать экспертов для проведения проверок, особенно в части анализа содержания ИСПДн. Но проверять вопросы защиты персональных данных из 19-й статьи они не могут - это явно описано в самом начале проекта Постановления. В противном случае оно бы никогда не прошло согласование с ФСТЭК и ФСБ.
• Периодичность проверок установлена один раз в 2 года для госов, муниципалов и коммерсантов (раньше было три), и один раз в три года в отношении физлиц и индивидуальных предпринимателей.
• Расширение полномочий сотрудников РКН по доступу к запрашиваемым документам, помещениям и ИСПДн. Отказ в предоставлении доступа влечет за собой обращение РКН в правоохранительные органы.

Вот такой блиц-анализ этого проекта документа. Не думаю, что он сильно изменится в финальной версии. С одной стороны опасения о том, что РКН сможет приходить когда угодно и как угодно часто, не оправдались. С другой стороны - отказ от согласования с прокуратурой, расширение оснований для внеплановых проверок, привлечение экспертов и... планируемый рост штрафов, существенно повышают риски. Учитывайте это в своих планах приведения себя в соответствие.