Общественное обсуждение проекта постановления о надзорных проверках в сфере персональных данных

20 мая 2015 года

До 7 июня текущего года каждому можно оставить свое экспертное мнение в отношении представленного текста проекта Постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации», который выложен(недоступная ссылка) на официальном портале Regulation.gov.ru

Текст документа выглядит очень неоднозначным с точки зрения экспертов отрасли.

Как пишет (Архивная копия от 7 декабря 2017 на Wayback Machine) один из экспертов, Алексей Волков, «Авторы [документа] поставили перед собой целых три цели государственного регулирования: исключение двух законодательных пробелов и разграничение полномочий между Роскомнадзором, ФСТЭК и ФСБ в части контроля организационных и технических мер, установленных ст. 19 152-ФЗ. Убить трех мух предлагается одним тапком, точнее постановлением правительства, которое авторы и предлагают принять. После беглого прочтения проекта постановления складывается впечатление, что Роскомнадзору вдруг понадобилось повысить статус своего административного регламента по контролю и надзору за обработкой ПДн».

«На борьбу с нарушениями и нарушителями в надзираемой сфере, в дополнение к плановым и внеплановым документарным и выездным проверкам, предлагается направить еще двух драконов.

Первый называется «мероприятия систематического наблюдения» в соответствии с п. 71-77 проекта постановления. Наблюдать за деятельностью операторов этот дракон будет в соответствии с системой, установленной календарным планом — отдельным от плана проверок — и также систематически составлять докладные записки. Дракон наделен правом самостоятельно плевать огнем в нарушителя, выдавая ему не предписание, а «требование», неисполнение которого в десятидневный срок карается прокурорским реагированием и выездом «дружины» с внеплановой проверкой.

Второго дракона предлагается посадить в казенном доме, дабы инициативные операторы, не желающие внезапно попасть под зоркий глаз и очистительный огонь дракона-«наблюдателя», могли самостоятельно отнести свои документы, подтверждающие выполнение ими установленных законом требований. Имя ему — «анализ и оценка» (п. 78-83). Здесь, как в старой известной армейской поговорке, инициатива будет жестко поступать с инициатором, отдавшим документы для такого анализа. Если будет обнаружено нарушение, оператор сразу получит требование, которое будет должен устранить в десятидневный срок, и если не справится — огребет предписание без всяких выездных проверок.

Изменится и состав и полномочия «дружины», выезжающей на проверки. Авторы предлагают наделить ее полномочиями проверять и оценивать достаточность принятых оператором мер для обеспечения выполнения предусмотренных законодательством обязанностей».

Другой эксперт, Алексей Лукацкий, поддерживает коллегу в его недоумении от текста документа с новыми полномочиями Роскомнадзора:

«Помимо плановых и внеплановых проверок теперь будут проводиться мероприятия систематического наблюдения. У этого понятия есть неоспоримое преимущество — мало кто понимает, что это такое и оно точно не попадает под ФЗ-294. Собственно РКН этим и раньше занимался, но теперь это обрело законную форму. А главное, что можно как угодно проводить это наблюдение руководствуясь своим пониманием и своими внутренними документами (а то и вовсе без них).

Список плановых проверок должен быть опубликован на сайте РКН, но согласовывать их с прокуратурой теперь не надо. Если вспомнить, что около 50% всех заявок на проведение плановых проверок отбраковывалось, то теперь понятно, что проверять будут тех, кого хочет РКН — никаких посредников, которые могут сказать как «да», так и «нет».

К основаниям формирования плана плановых проверок теперь относятся (список шире, чем раньше):

Трехлетний период с момента окончания последней плановой проверки.

Информация от госорганов, муниципалитетов и СМИ о нарушении. А у нас и многие Интернет-ресурсы теперь считают СМИ.

Обработка ПДн значительного количества субъектов ПДн, а также обработка биометрических и специальных категорий ПДн. Понятие значительности нигде не определено — так что в список могут попасть многие.

Непредставление информации РКН.

Отказ от согласования проверок с прокуратурой — это одно из ключевых отличий нового документа от действующей практики проведения проверок.

Еще большее количество оснований для проведения внеплановых проверок

Истечение срока выданного предписания

По доказательным обращениям граждан. Это единственный случай, когда требуется согласования с прокуратурой. Учитывая, что во всех остальных случаях эта «головная боль» не нужна могу предположить, что по заявлениям субъектов ПДн проверок будет меньше всего. Это опять расходится с духом закона о персональных данных, но это уже мало кого волнует. Достаточно посмотреть, как сам РКН обращается с конфиденциальностью ПДн при электронном общении с гражданами.

По причине непредоставления (неполного представления) информации оператором по запросу РКН

Наличие факта нарушения законодательства, полученное от СМИ, госорганов и муниципалитетов

Поручение Президента или Правительства

В случае нарушения оператором законодательства, выявленного в ходе систематического наблюдения. Ну очень размытая формулировка :-(

Несоответствие сведений, указанных в уведомлении

В случае неисполнения требования РКН об устранении выявленного нарушения

На основании представления органа прокуратуры

Расширение полномочий сотрудников РКН по доступу к запрашиваемым документам, помещениям и ИСПДн. Отказ в предоставлении доступа влечет за собой обращение РКН в правоохранительные органы».

IT-сообщество «Хабрахабр» также обратило внимание на подготовку данного документа. И выявило еще ряд интригующих особенностей новых функций Роскомнадзора. К примеру, что он может контролировать действия не только юридических и должностных лиц, но и физических с «проведением мероприятий систематического наблюдения за исполнением требований законодательства Российской Федерации, а также анализа и оценки состояния исполнения требований законодательства Российской Федерации при осуществлении проверяемыми лицами деятельности по обработке персональных данных […] Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения государственного органа, органа местного самоуправления, юридического лица, физического лица и (или) по месту фактического осуществления им деятельности по обработке персональных данных. В случае, если у физического лица отсутствует возможность предоставить помещение для проведения выездной проверки, проверка проводится по месту нахождения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориального органа».

Появились уже и первые комментарии(недоступная ссылка) по тексту проекта данного документа в ходе общественного обсуждения, к которому может присоединится каждый из вас, если представленные новые возможности надзорному ведомству у вас вызывают не меньшие вопросы, чем у отрасли

Источники

править
 
Эта статья загружена автоматически ботом NewsBots в архив и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.