Общественное обсуждение проекта постановления о надзорных проверках в сфере персональных данных

 До 7 июня текущего года каждому можно оставить свое экспертное мнение в отношении представленного текста проекта Постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации», который выложен на официальном портале Regulation.gov.ru

Текст документа выглядит очень неоднозначным с точки зрения экспертов отрасли.

Как пишет один из экспертов, Алексей Волков, «Авторы [документа] поставили перед собой целых три цели государственного регулирования: исключение двух законодательных пробелов и разграничение полномочий между Роскомнадзором, ФСТЭК и ФСБ в части контроля организационных и технических мер, установленных ст. 19 152-ФЗ. Убить трех мух предлагается одним тапком, точнее постановлением правительства, которое авторы и предлагают принять. После беглого прочтения проекта постановления складывается впечатление, что Роскомнадзору вдруг понадобилось повысить статус своего административного регламента по контролю и надзору за обработкой ПДн».

«На борьбу с нарушениями и нарушителями в надзираемой сфере, в дополнение к плановым и внеплановым документарным и выездным проверкам, предлагается направить еще двух драконов.

Первый называется «мероприятия систематического наблюдения» в соответствии с п. 71-77 проекта постановления. Наблюдать за деятельностью операторов этот дракон будет в соответствии с системой, установленной календарным планом — отдельным от плана проверок — и также систематически составлять докладные записки. Дракон наделен правом самостоятельно плевать огнем в нарушителя, выдавая ему не предписание, а «требование», неисполнение которого в десятидневный срок карается прокурорским реагированием и выездом «дружины» с внеплановой проверкой.

Второго дракона предлагается посадить в казенном доме, дабы инициативные операторы, не желающие внезапно попасть под зоркий глаз и очистительный огонь дракона-«наблюдателя», могли самостоятельно отнести свои документы, подтверждающие выполнение ими установленных законом требований. Имя ему — «анализ и оценка» (п. 78-83). Здесь, как в старой известной армейской поговорке, инициатива будет жестко поступать с инициатором, отдавшим документы для такого анализа. Если будет обнаружено нарушение, оператор сразу получит требование, которое будет должен устранить в десятидневный срок, и если не справится — огребет предписание без всяких выездных проверок.

Изменится и состав и полномочия «дружины», выезжающей на проверки. Авторы предлагают наделить ее полномочиями проверять и оценивать достаточность принятых оператором мер для обеспечения выполнения предусмотренных законодательством обязанностей».

Другой эксперт, Алексей Лукацкий, поддерживает коллегу в его недоумении от текста документа с новыми полномочиями Роскомнадзора:

«Помимо плановых и внеплановых проверок теперь будут проводиться мероприятия систематического наблюдения. У этого понятия есть неоспоримое преимущество — мало кто понимает, что это такое и оно точно не попадает под ФЗ-294. Собственно РКН этим и раньше занимался, но теперь это обрело законную форму. А главное, что можно как угодно проводить это наблюдение руководствуясь своим пониманием и своими внутренними документами (а то и вовсе без них).

Список плановых проверок должен быть опубликован на сайте РКН, но согласовывать их с прокуратурой теперь не надо. Если вспомнить, что около 50% всех заявок на проведение плановых проверок отбраковывалось, то теперь понятно, что проверять будут тех, кого хочет РКН — никаких посредников, которые могут сказать как «да», так и «нет».

К основаниям формирования плана плановых проверок теперь относятся (список шире, чем раньше):

• Трехлетний период с момента окончания последней плановой проверки.
• Информация от госорганов, муниципалитетов и СМИ о нарушении. А у нас и многие Интернет-ресурсы теперь считают СМИ.
• Обработка ПДн значительного количества субъектов ПДн, а также обработка биометрических и специальных категорий ПДн. Понятие значительности нигде не определено — так что в список могут попасть многие.
• Непредставление информации РКН.

Отказ от согласования проверок с прокуратурой — это одно из ключевых отличий нового документа от действующей практики проведения проверок.

Еще большее количество оснований для проведения внеплановых проверок

• Истечение срока выданного предписания
• По доказательным обращениям граждан. Это единственный случай, когда требуется согласования с прокуратурой. Учитывая, что во всех остальных случаях эта «головная боль» не нужна могу предположить, что по заявлениям субъектов ПДн проверок будет меньше всего. Это опять расходится с духом закона о персональных данных, но это уже мало кого волнует. Достаточно посмотреть, как сам РКН обращается с конфиденциальностью ПДн при электронном общении с гражданами.
• По причине непредоставления (неполного представления) информации оператором по запросу РКН
• Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов
• Поручение Президента или Правительства
• В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения. Ну очень размытая формулировка :-(
• Несоответствие сведений, указанных в уведомлении
• В случае неисполнения требования РКН об устранении выявленного нарушения
• На основании представления органа прокуратуры

Расширение полномочий сотрудников РКН по доступу к запрашиваемым документам, помещениям и ИСПДн. Отказ в предоставлении доступа влечет за собой обращение РКН в правоохранительные органы».

IT-сообщество «Хабрахабр» также обратило внимание на подготовку данного документа. И выявило еще ряд интригующих особенностей новых функций Роскомнадзора. К примеру, что он может контролировать действия не только юридических и должностных лиц, но и физических с «проведением мероприятий систематического наблюдения за исполнением требований законодательства Российской Федерации, а также анализа и оценки состояния исполнения требований законодательства Российской Федерации при осуществлении проверяемыми лицами деятельности по обработке персональных данных […] Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения государственного органа, органа местного самоуправления, юридического лица, физического лица и (или) по месту фактического осуществления им деятельности по обработке персональных данных. В случае, если у физического лица отсутствует возможность предоставить помещение для проведения выездной проверки, проверка проводится по месту нахождения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа».

Появились уже и первые комментарии по тексту проекта данного документа в ходе общественного обсуждения, к которому может присоединится каждый из вас, если представленные новые возможности надзорному ведомству у вас вызывают не меньшие вопросы, чем у отрасли