На Федеральном портале
проектов нормативных правовых актов выложен для обсуждения и антикоррупционной
экспертизы третий
вариант постановления Правительства РФ, определяющего порядок
осуществления государственного контроля и надзора за обработкой персональных
данных. Первый вариант появился там еще летом 2015 года, вызвал шквал критики и
бесследно растворился.
Обсуждения второго
варианта закончилось в марте этого года, а в мае неожиданно появился третий.
Видимо, на этапе доработки или при согласовании проекта появились новые
требования, которые повлияли на содержание документа.
Третий вариант и
называться стал по-другому – не «Порядок организации…», а «Положение о порядке
осуществления…», и не просто «государственного контроля и надзора», а
«федерального государственного». В новой редакции части 1.1 статьи 23 закона «О
персональных данных», принятой уже в этом году, говорится о государственном
контроле, про федеральный там ничего нет. Однако, в соответствии с пунктом 2
статьи 2 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав
юридических лиц и индивидуальных предпринимателей при осуществлении
государственного контроля (надзора) и муниципального контроля», Правительством РФ
должны утверждаться положения именно о федеральном государственном контроле
(надзоре). На приведение проекта в соответствие этим законодательным нормам,
видимо, и были направлены усилия при внесении изменений в предыдущую редакцию
документа. Спасибо доценту Воронежского госуниверситета Алексею
Ефремову за помощь в попытке разобраться в этих хитросплетениях
законодательства.
В документе много
косметических правок, в частности, везде, где можно, стал упоминаться
индивидуальный предприниматель. Но есть и принципиальные изменения.
Упоминавшийся выше
закон № 294-ФЗ вводит три вида контрольной деятельности:
- плановые и
внеплановые проверки юридических лиц, индивидуальных предпринимателей,
- мероприятия по
профилактике нарушений обязательных требований,
- мероприятия по
контролю, осуществляемые без взаимодействия с юридическими лицами,
индивидуальными предпринимателями (мероприятия систематического
наблюдения).
Про профилактику в
предыдущей редакции ничего не было, зато теперь в проекте Положения появился
целый раздел III «Организация и проведение мероприятий по
профилактике нарушений требований законодательства Российской Федерации в
области персональных данных». И это очень хорошо, потому как больше всего
сейчас не хватает профилактики и методической работы, что приводит к нарушениям
при проведении проверок, о которых операторы даже не догадывались, я уже писал
об этом здесь
и здесь.
Проект документа предусматривает три вида таких мероприятий:
- размещение на
официальном сайте Роскомнадзора перечней нормативных правовых актов,
содержащих обязательные требования (что очень логично, поскольку проверять
можно, как известно, только выполнение обязательных требований);
- информирование
операторов о положении дел в области защиты прав субъектов персональных
данных (это будет что-то новенькое);
- регулярное обобщение
практики осуществления государственного контроля и надзора в области
персональных данных посредством составления ежегодного отчета о
деятельности уполномоченного органа по защите прав субъектов персональных
данных (это делается и сегодня, о последнем докладе надзорного ведомства
можно посмотреть у меня
на блоге).
Жаль, что этим видом
мероприятий не предусматривается разработка и публикация проверочных листов или
списков контрольных вопросов, которые становятся важным элементом при
осуществлении некоторых видов контроля и очень упрощают жизнь проверяемым
организациям, позволяя самостоятельно выявить несоответствие закону. Правительство
РФ постановлением от 13.02.2017 № 177 уже утвердило требования к таким
проверочным листам, но поскольку закон 294-ФЗ не применяется при
осуществлении государственного контроля и надзора за обработкой персональных
данных, такой способ проверок применяться не будет, во всяком случае, пока (вот
и еще один минус вывода надзора из-под регулирования единым законом о защите
прав проверяемых организаций).
Из других изменений
надо отметить возвращение нормы о сроках проверок (не более 20 рабочих дней
плюс продление на срок не более 20 рабочих дней). Предполагается, что, как и в
предыдущей редакции, периодичность проведения плановых проверок устанавливается
с учетом риск-ориентированного подхода, критерии которого Роскомнадзор
определит сам.
Уточнено понятие
мероприятий систематического наблюдения. Теперь к ним относится наблюдение за
деятельностью по обработке персональных данных с использованием в сети Интернет
и (внимание!) наблюдение за обработкой при оказании услуг и продаже товаров,
предметом которых являются персональные данные и (или) деятельность по их
обработке. Операторам связи и поисковикам, продающим профили абонентов и
посетителей сайтов, даже безымянных (!), стоит напрячься и подумать о
дальнейших действиях для обеспечения спокойной жизни.
Самое спорное и
опасное, на мой взгляд, в проекте постановления – право Роскомнадзора выдавать
обязательные для исполнения требования о приостановлении или прекращении
обработки персональных данных, осуществляемой с нарушениями требований
Федерального закона «О персональных данных» и об уничтожении недостоверных или
полученных незаконным путем персональных данных. Из текста документа вытекает,
что это право реализуется во внесудебном порядке, а механизм оспаривания такого
требования не устанавливается. Мне кажется, экспертам, осуществляющим независимую
антикоррупционную экспертизу, необходимо хорошо подумать о законности этих норм
и возможных последствиях их реализации для бизнеса.
Из других сохраненных в
новой редакции положений стоит отметить существенное расширение оснований для
проведения внеплановых проверок по сравнению с законом № 294-ФЗ и отсутствие
необходимости согласовывать проверки, как плановые, так и внеплановые, с
прокуратурой.
И чтобы не было
иллюзий: основанием для включения плановой проверки в план деятельности Роскомнадзора
и его территориальных органов является осуществление деятельности по обработке
персональных данных, а вовсе не наличие проверяемой организации в Реестре
операторов. Теперь это прописано прямо.
Наконец, отмечу, что в проекте
документа из области деятельности Роскомнадзора исключен контроль и надзор за
выполнением организационных и технических мер по обеспечению безопасности
персональных данных в ИСПДн, установленных статьей 19 закона «О персональных
данных». Это и раньше вытекало из положений статьи 19, но разговоры на эту тему
время от времени возобновляются.
Ждем постановление. Принято
оно будет обязательно, с 22 февраля 2017 года наличие соответствующего акта
Правительства РФ - обязательное требование закона.
Публичное обсуждение и
антикоррупционная экспертиза заканчиваются уже завтра (25 мая).
В связи с размещением
новой редакции проекта постановления с подачи «Известий» в СМИ и на
интернет-ресурсах появилась масса публикаций примерно с такими заголовками «Роскомнадзор
получит доступ ко всем персональным данным россиян». Жаль, что их авторы и те,
кто бездумно перепечатывает, не утруждаются хотя бы разобраться с вопросом.
Роскомнадзор всегда имел к ним доступ, и в этом вопросе ничего не поменялось.
Не очень хорошо вводить миллионную аудиторию в заблуждение из-за лени и
непрофессионализма. Так что, если захочется что-то еще почитать «про это» -
читайте проект постановления.