С 23 февраля будут проверять по-новому тех, кто обрабатывает персональные данные
Правительство утвердило новые правила, по которым Роскомнадзор будет проводить проверки операторов персональных данных.
Ведомство будет применять документ уже с 23 февраля вместо действующего регламента по надзору за обработкой персональных данных.
Сравним новые правила с положениями регламента.
Организация проверок
Меньше оснований запланировать проверку
Начало обработки персональных данных больше не будет основанием для того, чтобы Роскомнадзор включил проверку в план. Таким образом, вместо трех оснований останется два.
Новое правило о периодичности плановой проверки
В некоторых случаях проверку будут проводить не чаще одного раза в два года со дня окончания последней проверки. Это касается, в частности, операторов, которые:
- обрабатывают персональные данные в государственных информационных системах;
- собирают биометрические персональные данные и специальные категории таких данных.
В регламенте подобного правила нет.
Новое основание для внеплановой проверки
Проверку смогут провести по решению руководителя Роскомнадзора или его территориального органа по итогам рассмотрения докладной записки. Из нее должно следовать, что есть нарушения, которые выявлены в ходе контрольных мероприятий, проведенных без взаимодействия с оператором. К ним относится, например, наблюдение за тем, как компания или ИП размещает информацию в Интернете и СМИ. Регламент этого не предусматривает.
Проведение проверок
Новый срок внеплановой проверки
Проверка займет максимум 10 рабочих дней. Этот срок смогут продлить один раз еще на столько же. Сейчас эти сроки в два раза больше.
Срок проведения плановой проверки не изменится.
Документарная проверка
Внеплановую документарную проверку проводить больше не будут. Сейчас она возможна.
Сократится срок представления документов проверяющим. Оператору нужно будет уложиться в 5 рабочих дней с даты получения запроса, а не в 10 рабочих дней, как сейчас.
Предоставить пояснения по поводу ошибок, противоречий в направленных ранее документах нужно будет в течение 3 рабочих дней, сейчас — 10 рабочих дней.
Выездная проверка
У оператора появится обязанность до начала проверки представить документы по запросу проверяющих. Сделать это нужно будет в срок, указанный в запросе. Он не будет меньше 2 рабочих дней со дня вручения запроса.
Документы представляются в виде копий, заверенных печатью (если она есть) и подписью представителя оператора. Их можно будет направить через Интернет, заверив усиленной квалифицированной электронной подписью. Сейчас такой обязанности нет.
Основания продления проверки
Роскомнадзор продлит срок проверки, если во время ее проведения:
- ведомство получило документы о нарушении требований к обработке персональных данных;
- возникли обстоятельства непреодолимой силы (пожар, затопление и пр.);
- оператор не представил нужные документы;
- проверяющие столкнулись с большим объемом работы.
Сейчас регламент устанавливает только последнее из перечисленных оснований.
Уведомление о продлении проверки
Роскомнадзору потребуется уведомить оператора о продлении проверки. На это отводится 3 рабочих дня с даты издания приказа о продлении. Сейчас такого требования нет.
Предписания для нарушителей
Срок устранения нарушений
Устранить нарушения нужно в течение 6 месяцев со дня выдачи предписания. Могут установить и меньший срок. Сейчас предельный срок не установлен.
Приостановка обработки персональных данных
От оператора могут потребовать приостановить обработку персональных данных. Это может произойти, если неисполнение предписания нарушает права и законные интересы субъекта персональных данных (например, работника). Сейчас основания для выдачи такого требования не определены.
