Правительство утвердило новые правила, по которым Роскомнадзор будет проводить проверки операторов персональных данных.
Ведомство будет применять документ уже с 23 февраля вместо действующего регламента по надзору за обработкой персональных данных.
Сравним новые правила с положениями регламента.
Начало обработки персональных данных больше не будет основанием для того, чтобы Роскомнадзор включил проверку в план. Таким образом, вместо трех оснований останется два.
В некоторых случаях проверку будут проводить не чаще одного раза в два года со дня окончания последней проверки. Это касается, в частности, операторов, которые:
В регламенте подобного правила нет.
Проверку смогут провести по решению руководителя Роскомнадзора или его территориального органа по итогам рассмотрения докладной записки. Из нее должно следовать, что есть нарушения, которые выявлены в ходе контрольных мероприятий, проведенных без взаимодействия с оператором. К ним относится, например, наблюдение за тем, как компания или ИП размещает информацию в Интернете и СМИ. Регламент этого не предусматривает.
Проверка займет максимум 10 рабочих дней. Этот срок смогут продлить один раз еще на столько же. Сейчас эти сроки в два раза больше.
Срок проведения плановой проверки не изменится.
Внеплановую документарную проверку проводить больше не будут. Сейчас она возможна.
Сократится срок представления документов проверяющим. Оператору нужно будет уложиться в 5 рабочих дней с даты получения запроса, а не в 10 рабочих дней, как сейчас.
Предоставить пояснения по поводу ошибок, противоречий в направленных ранее документах нужно будет в течение 3 рабочих дней, сейчас — 10 рабочих дней.
У оператора появится обязанность до начала проверки представить документы по запросу проверяющих. Сделать это нужно будет в срок, указанный в запросе. Он не будет меньше 2 рабочих дней со дня вручения запроса.
Документы представляются в виде копий, заверенных печатью (если она есть) и подписью представителя оператора. Их можно будет направить через Интернет, заверив усиленной квалифицированной электронной подписью. Сейчас такой обязанности нет.
Роскомнадзор продлит срок проверки, если во время ее проведения:
Сейчас регламент устанавливает только последнее из перечисленных оснований.
Роскомнадзору потребуется уведомить оператора о продлении проверки. На это отводится 3 рабочих дня с даты издания приказа о продлении. Сейчас такого требования нет.
Устранить нарушения нужно в течение 6 месяцев со дня выдачи предписания. Могут установить и меньший срок. Сейчас предельный срок не установлен.
От оператора могут потребовать приостановить обработку персональных данных. Это может произойти, если неисполнение предписания нарушает права и законные интересы субъекта персональных данных (например, работника). Сейчас основания для выдачи такого требования не определены.