Что произошло?
Правительство России выпустило Постановление от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных».
В чем суть документа?
Правилами установлен порядок организации и осуществления Роскомнадзором и его территориальными органами контроля и надзора за обработкой персональных данных соответствующими операторами. В частности, определены:
- порядок проведения плановых и внеплановых проверок;
- права и обязанности должностных лиц при осуществлении государственного контроля;
- особенности проведения документарных проверок;
- правила проведения выездных проверок;
- порядок оформления результатов проверок;
- перечень мер, принимаемых в отношении фактов нарушения требований.
Ранее процедура проверки операторов персональных данных регулировалась приказом Минкомсвязи России от 14.11.2011 № 312.
Кто является оператором персональных данных?
Оператор персональных данных — это юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку таких данных, а также определяющее цели их обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с данными.
Операторами персональных данных являются все без исключения организации и предприниматели-работодатели, так как в ходе их деятельности осуществляется обработка персональных данных работников. Организации, оказывающие услуги населению, обрабатывают ещё и персональные данные клиентов.
На основании чего включат в план проверок?
По сравнению с действующим ранее регламентом оснований запланировать проверку стало меньше. Теперь основанием для включения плановой проверки в отношении оператора в план по контролю является истечение 3 лет со дня государственной регистрации оператора в качестве юрлица, ИП или окончания последней плановой проверки оператора.
С какой периодичностью будут проходить плановые проверки?
Плановые проверки могут проводиться раз в три года. В некоторых случаях проверку будут проводить не чаще одного раза в два года со дня окончания последней проверки.
Это касается, в частности, операторов, которые:
- обрабатывают персональные данные в государственных информационных системах;
- собирают биометрические персональные данные и специальные категории таких данных;
- осуществляют трансграничную передачу персональных данных туда, где нет адекватной защиты этих данных, либо обрабатывают их по зарубежному поручению.
Каковы основания для внеплановых проверок?
Внеплановые проверки будут проводиться: в случаях неисполнения или частичного исполнения предписаний Роскомнадзора об устранении нарушений; по результатам рассмотрения обращений граждан; по поручению Президента РФ или Правительства РФ; по требованию прокурора; по решению органа по контролю и надзору, если нарушение обнаружено «заочной» проверкой — контрольным мероприятием без взаимодействия с оператором (например, наблюдение за тем, как компания или ИП размещает информацию в Интернете и СМИ).
Какие установлены сроки для проведения проверок?
По сравнению с действующим ранее Регламентом срок проведения внеплановых проверок уменьшен до 10 рабочих дней. Этот срок смогут продлить один раз ещё на 10 рабочих дней (было 20 20). Зато увеличен срок для организаций, расположенных в нескольких регионах — до 60 дней. Срок проведения плановой проверки не изменился: 20 рабочих дней с возможностью однократного продления ещё на столько же.
Как изменилось проведение документарных проверок?
Внеплановую документарную проверку проводить больше не будут. Срок предоставления документов по документарной проверке сократился с 10 до 5 рабочих дней.
Предоставить пояснения по поводу ошибок, противоречий в направленных ранее документах теперь нужно в течение 3 рабочих дней. Ранее этот срок составлял 10 рабочих дней.
Что нового в правилах выездных проверок?
У операторов появилась обязанность до начала проверки представить документы по запросу проверяющих. Сделать это нужно в срок, указанный в запросе. Он не будет меньше 2 рабочих дней со дня вручения запроса. Документы представляются в виде копий, заверенных печатью (если она есть) и подписью представителя оператора. Их можно направить через Интернет, заверив усиленной квалифицированной электронной подписью. Ранее такой обязанности не было.
Какая новая обязанность появилась у компаний перед участниками в процессе созыва общего собрания?
Общество обязано предоставлять копию списка лиц, которые могут участвовать в общем собрании. Делать это нужно будет по требованию лица, которое включено в список и обладает не менее чем 1% голосов. На выполнение обязанности отводится 7 рабочих дней с даты поступления требования или с даты составления списка, если оно поступило до дня его составления.
Что ещё интересного установлено Правилами?
Определены основания продления проверки. Кроме того, Роскомнадзору потребуется уведомить оператора о продлении проверки. На это отводится 3 рабочих дня с даты издания приказа о продлении. Раньше в Регламенте такого требования не было.
Какие возможны последствия после проверок?
Если выявлены нарушения, то устранить их нужно в течение 6 месяцев со дня выдачи предписания. Может быть установлен и меньший срок. Ранее предельный срок не устанавливался.
Кроме того, от оператора могут потребовать приостановить обработку персональных данных.
Это может произойти, если неисполнение предписания нарушает права и законные интересы субъекта персональных данных (например, работника).
Когда Постановление вступает в силу?
Документ вступил в силу 23 февраля 2019 года.
Начать дискуссию