С проектами произошел
просто какой-то казус. Предыдущий проект был «завернут» при регистрации
Минюстом из-за отсутствия в названии «государственный контроль и надзор» слова
«федеральный», которое используется в том случае, если правила контроля и
надзора определяют президент или правительство. Именно с этим словом проект
висит до сих пор на официальном сайте раскрытия информации о
подготовке нормативных правовых актов. А документ вышел без него. И Положение
превратилось в Правила. Но не в названии суть.
Я не буду сравнивать пять
версий документа и анализировать, что и когда менялось, смысла нет. Самое
важное – чем Правила отличаются от действующего Административного регламента
Роскомнадзора, и что в них нового.
В Правилах четко и
однозначно указано, что их действие не распространяется на контроль и надзор за
выполнением организационных и технических мер по обеспечению безопасности
персональных данных, обрабатываемых в информационных системах персональных
данных, установленных в соответствии со статьей 19 Федерального закона «О
персональных данных». Поэтому никаких экспертов и экспертных организаций при
Роскомнадзоре для «обследования и определения уровня защищенности
негосударственных информационных систем персональных данных», о которых я писал четыре
года назад. Они в правилах вообще не упоминаются.
Контроль и надзор осуществляется
все-таки за соблюдением закона «О персональных данных» и принятых в
соответствии с ним нормативных правовых актов, как написано в части 1.1 статьи
23 закона, а не законодательства Российской Федерации в области персональных
данных, как написано в части 1 той же статьи. Почувствуйте разницу. Снова придется
возвращаться к вопросу о полномочиях по контролю и надзору за
соблюдением требований главы 14 Трудового кодекса.
К плановым и внеплановым
проверкам и принятием мер по пресечению и (или) устранению последствий
выявленных нарушений добавились две новые формы надзорных мероприятий: контроль
без взаимодействия с операторами (который в планах деятельности территориальных
управлений Роскомнадзора называется «мероприятиями систематического
наблюдения») и профилактика нарушений. Систематическое наблюдение ведется года
так с 2015, но нормативно не регулировалось, а вот профилактики не было совсем.
Закреплена сложившая
практика определения проверок не в планах проверок, а в планах деятельности
территориальных органов. Разница колоссальная: планы проверок согласовываются с
прокуратурой и их изменить без прокуратуры нельзя, план деятельности – нет,
изменения вносятся приказом надзорного органа легко и просто. Посмотрите,
например, здесь. Год
только начался, а в план внесены изменения уже 13-ю приказами.
Допустимая
периодичность плановых проверок в отношении оператора по-прежнему составляет 3 года,
но появились исключения, когда проверка может проводиться раз в два года:
операторов ИСПДн, являющихся ГИСами; обрабатывающих спецкатегории и биометрию;
осуществляющих трансграничную передачу персданных в государства, не
обеспечивающие адекватную защиту прав субъектов персональных данных (вниманию
дочек американских, японских, китайских компаний и пользователей дешевой
инфраструктуры в Бангалоре); и, наконец, обрабатывающих персональные данные по поручению
иностранного государственного органа, иностранного юридического лица,
иностранного физического лица, которые не зарегистрированы в установленном
порядке на территории Российской Федерации (вниманию представительств и филиалов
иностранных компаний, не образующих в России юрлиц). Как эти иностранные органы
и лица могут быть зарегистрированы в России, я не знаю.
Из принципиально
нового. Все-таки появилось такое основание внеплановых проверок (только
выездных), как обращения граждан при условии наличия в обращении материалов,
подтверждающих факт нарушения их прав действиями (бездействием) оператора,
определенных статьями 14-17 закона «О персональных данных», чего надзорный орган
добивался давно, и что далеко выходит за пределы закона 294-ФЗ «О защите прав
юридических лиц и индивидуальных предпринимателей при осуществлении
государственного контроля (надзора) и муниципального контроля». Появилось и еще
одно новое основание для внеплановых проверок – нарушение, выявленное в ходе
мероприятия систематического наблюдения.
Таким образом, ситуация
меняется радикально – внеплановые проверки, которых было очень мало ввиду
жестких ограничений закона и Административного регламента, могут стать основным
видом надзорной деятельности. Сдерживающим фактором может стать необходимость
согласования проверок по новым основаниям с прокуратурой. Посмотрим.
Наконец-то вслед за
законом, в котором изменения были сделаны в 2016 году, исправлена совершенно удивительная
формулировка Административного регламента об уведомлении о плановых проверках («не
позднее, чем в течение 3 рабочих дней до начала ее проведения»): теперь это
надо делать не позднее чем за 3 рабочих дня до даты начала ее проведения.
Уведомить о проверке теперь официально можно по электронной почте, что давно
делается на практике, а также «иным доступным способом».
Срок проведения
внеплановой проверки сокращен до 10 рабочих дней, но может быть продлен на
такой же период.
Установлены основания
для продления сроков плановых и внеплановых проверок. Их четыре:
·
получение
в ходе проведения проверки от правоохранительных органов, органов прокуратуры,
из иных источников документов, свидетельствующих о нарушении оператором
требований;
·
обстоятельства
непреодолимой силы (затопление, наводнение, пожар и тому подобное) на
территории, где проводится проверка;
·
непредставление
оператором в ходе проведения проверки необходимых документов;
·
выявление
в ходе проведения проверки обстоятельств, связанных с большим объемом
проверяемых и анализируемых документов, количеством осуществляемых видов
деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной
структуры оператора, сложностью технологических процессов обработки
персональных данных.
Последнее основание
применимо к деятельности любой большой компании, но продление сроков проверки,
во всяком случае, в ЦФО, давно стало обыденным делом.
Еще из нового. Теперь
применять принадлежащую Роскомнадзору технику и оборудование можно только в
ходе мероприятий систематического наблюдения.
Принимать меры по
приостановлению или прекращению обработки персональных данных, осуществляемой с
нарушением требований, надзорный орган может только в установленном
законодательством Российской Федерации порядке. Что это за порядок – загадка,
как 12 лет назад, когда закон вступил в силу.
Протоколы об
административном правонарушении теперь можно составлять по материалам
систематического наблюдения, так что оператор сможет о привлечении к ответственности
узнать, только получив повестку в суд.
Однозначно
зафиксировано, что запрос о получении информации по существу вопросов,
указанных в обращениях граждан и иных лиц, поступивших в надзорный орган, не
является документарной проверкой.
Срок представления
материалов для документарной проверки сокращен с 10 до 5 дней, если они
представляются в электронной форме, то должны быть подписаны усиленной
квалифицированной электронной подписью. Как ее может проверить надзорный орган,
по-прежнему неясно.
Если документы, в том
числе дополнительно запрашиваемые (для их представления отводится теперь всего
3 дня, а не 10, как в действующем Административном регламенте), не предоставляются
оператором в надзорный орган в установленный срок, документарная проверка может,
как и ранее, превратиться в выездную.
Назначить выездную
проверку физлица, не являющегося индивидуальным предпринимателем (например,
нотариуса), нельзя совсем.
Остальным проверяемым
лицам на предоставление запрашиваемых при выездной проверке документов
отводится не менее 2-х дней. Нынешний перечень запрашиваемых документов
занимает 6 листов. То есть 6 листов только наименований документов, которые
надо предоставить за два дня! Один из операторов, проверку которого мы
сопровождали, подготовил и передал больше 400 документов.
В Правилах прямо
установлено, что в случае действий (бездействия) оператора, препятствующих
проведению выездной проверки, составляется акт о воспрепятствовании проведению
выездной проверки и подробно расписывается сценарий действий при таком воспрепятствовании.
Ну, и, наконец, что в
Правилах так и не появилось, хотя этого очень ждали:
·
риск-ориентированный
подход при определении операторов, у которых планируется проверка;
·
использование
проверочных листов (списков контрольных вопросов), предусмотренных законом
294-ФЗ, который с 1 сентября 2015 года не регламентирует проверки соблюдения
законодательства о персональных данных;
·
сроки
оформления актов проверок после их окончания;
·
основания
и порядок признания проверок недействительными (статья 20 закона 294-ФЗ).
Ждем теперь изменения
Административного регламента.
