Постановление по контролю и надзору за обработкой персональных данных: третья попытка

На Федеральном портале проектов нормативных правовых актов выложен для обсуждения и антикоррупционной экспертизы третий вариант постановления Правительства РФ, определяющего порядок осуществления государственного контроля и надзора за обработкой персональных данных. Первый вариант появился там еще летом 2015 года, вызвал шквал критики и бесследно растворился.

Обсуждения второго варианта закончилось в марте этого года, а в мае неожиданно появился третий. Видимо, на этапе доработки или при согласовании проекта появились новые требования, которые повлияли на содержание документа.

Третий вариант и называться стал по-другому – не «Порядок организации…», а «Положение о порядке осуществления…», и не просто «государственного контроля и надзора», а «федерального государственного». В новой редакции части 1.1 статьи 23 закона «О персональных данных», принятой уже в этом году, говорится о государственном контроле, про федеральный там ничего нет. Однако, в соответствии с пунктом 2 статьи 2 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», Правительством РФ должны утверждаться положения именно о федеральном государственном контроле (надзоре). На приведение проекта в соответствие этим законодательным нормам, видимо, и были направлены усилия при внесении изменений в предыдущую редакцию документа. Спасибо доценту Воронежского госуниверситета Алексею Ефремову за помощь в попытке разобраться в этих хитросплетениях законодательства.

В документе много косметических правок, в частности, везде, где можно, стал упоминаться индивидуальный предприниматель. Но есть и принципиальные изменения.

Упоминавшийся выше закон № 294-ФЗ вводит три вида контрольной деятельности:

• плановые и внеплановые проверки юридических лиц, индивидуальных предпринимателей,
• мероприятия по профилактике нарушений обязательных требований,
• мероприятия по контролю, осуществляемые без взаимодействия с юридическими лицами, индивидуальными предпринимателями (мероприятия систематического наблюдения).

Про профилактику в предыдущей редакции ничего не было, зато теперь в проекте Положения появился целый раздел III «Организация и проведение мероприятий по профилактике нарушений требований законодательства Российской Федерации в области персональных данных». И это очень хорошо, потому как больше всего сейчас не хватает профилактики и методической работы, что приводит к нарушениям при проведении проверок, о которых операторы даже не догадывались, я уже писал об этом здесь и здесь. Проект документа предусматривает три вида таких мероприятий:

• размещение на официальном сайте Роскомнадзора перечней нормативных правовых актов, содержащих обязательные требования (что очень логично, поскольку проверять можно, как известно, только выполнение обязательных требований);
• информирование операторов о положении дел в области защиты прав субъектов персональных данных (это будет что-то новенькое);
• регулярное обобщение практики осуществления государственного контроля и надзора в области персональных данных посредством составления ежегодного отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных (это делается и сегодня, о последнем докладе надзорного ведомства можно посмотреть у меня на блоге).

Жаль, что этим видом мероприятий не предусматривается разработка и публикация проверочных листов или списков контрольных вопросов, которые становятся важным элементом при осуществлении некоторых видов контроля и очень упрощают жизнь проверяемым организациям, позволяя самостоятельно выявить несоответствие закону. Правительство РФ постановлением от 13.02.2017 № 177 уже утвердило требования к таким проверочным листам, но поскольку закон 294-ФЗ не применяется при осуществлении государственного контроля и надзора за обработкой персональных данных, такой способ проверок применяться не будет, во всяком случае, пока (вот и еще один минус вывода надзора из-под регулирования единым законом о защите прав проверяемых организаций).

Из других изменений надо отметить возвращение нормы о сроках проверок (не более 20 рабочих дней плюс продление на срок не более 20 рабочих дней). Предполагается, что, как и в предыдущей редакции, периодичность проведения плановых проверок устанавливается с учетом риск-ориентированного подхода, критерии которого Роскомнадзор определит сам.

Уточнено понятие мероприятий систематического наблюдения. Теперь к ним относится наблюдение за деятельностью по обработке персональных данных с использованием в сети Интернет и (внимание!) наблюдение за обработкой при оказании услуг и продаже товаров, предметом которых являются персональные данные и (или) деятельность по их обработке. Операторам связи и поисковикам, продающим профили абонентов и посетителей сайтов, даже безымянных (!), стоит напрячься и подумать о дальнейших действиях для обеспечения спокойной жизни.

Самое спорное и опасное, на мой взгляд, в проекте постановления – право Роскомнадзора выдавать обязательные для исполнения требования о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушениями требований Федерального закона «О персональных данных» и об уничтожении недостоверных или полученных незаконным путем персональных данных. Из текста документа вытекает, что это право реализуется во внесудебном порядке, а механизм оспаривания такого требования не устанавливается. Мне кажется, экспертам, осуществляющим независимую антикоррупционную экспертизу, необходимо хорошо подумать о законности этих норм и возможных последствиях их реализации для бизнеса.

Из других сохраненных в новой редакции положений стоит отметить существенное расширение оснований для проведения внеплановых проверок по сравнению с законом № 294-ФЗ и отсутствие необходимости согласовывать проверки, как плановые, так и внеплановые, с прокуратурой.

И чтобы не было иллюзий: основанием для включения плановой проверки в план деятельности Роскомнадзора и его территориальных органов является осуществление деятельности по обработке персональных данных, а вовсе не наличие проверяемой организации в Реестре операторов. Теперь это прописано прямо.

Наконец, отмечу, что в проекте документа из области деятельности Роскомнадзора исключен контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных в ИСПДн, установленных статьей 19 закона «О персональных данных». Это и раньше вытекало из положений статьи 19, но разговоры на эту тему время от времени возобновляются.

Ждем постановление. Принято оно будет обязательно, с 22 февраля 2017 года наличие соответствующего акта Правительства РФ - обязательное требование закона.

Публичное обсуждение и антикоррупционная экспертиза заканчиваются уже завтра (25 мая).

В связи с размещением новой редакции проекта постановления с подачи «Известий» в СМИ и на интернет-ресурсах появилась масса публикаций примерно с такими заголовками «Роскомнадзор получит доступ ко всем персональным данным россиян». Жаль, что их авторы и те, кто бездумно перепечатывает, не утруждаются хотя бы разобраться с вопросом. Роскомнадзор всегда имел к ним доступ, и в этом вопросе ничего не поменялось. Не очень хорошо вводить миллионную аудиторию в заблуждение из-за лени и непрофессионализма. Так что, если захочется что-то еще почитать «про это» - читайте проект постановления.