Правительство утвердило новые правила[1], по которым Роскомнадзор будет проводить проверки операторов персональных данных[2].

Ведомство сможет применять документ уже с 23 февраля вместо действующего регламента по надзору за обработкой персональных данных[3].

Сравним новые правила с положениями регламента.

Организация проверок

Меньше оснований запланировать проверку

Начало обработки персональных данных больше не будет основанием для того, чтобы Роскомнадзор включил проверку в план. Таким образом, вместо трех оснований[4] останется два[5].

Новое правило о периодичности плановой проверки

В некоторых случаях проверку будут проводить не чаще одного раза в два года со дня окончания последней проверки[6]. Это касается, в частности, операторов, которые:

• обрабатывают персональные данные в государственных информационных системах[7];

• собирают биометрические персональные данные[8] и специальные категории таких данных[9].

В регламенте подобного правила нет.

Новое основание для внеплановой проверки

Проверку смогут провести по решению руководителя Роскомнадзора или его территориального органа по итогам рассмотрения докладной записки[10]. Из нее должно следовать, что есть нарушения, которые выявлены в ходе контрольных мероприятий, проведенных без взаимодействия с оператором. К ним относится, например, наблюдение за тем, как компания или ИП размещает информацию в Интернете и СМИ[11]. Регламент этого не предусматривает.

Проведение проверок

Новый срок внеплановой проверки

Проверка займет максимум 10 рабочих дней[12]. Этот срок смогут продлить один раз еще на столько же. Сейчас эти сроки в два раза больше.

Срок проведения плановой проверки не изменится[13].

Документарная проверка

Внеплановую документарную проверку проводить больше не будут[14]. Сейчас она возможна[15].

Сократится срок представления документов проверяющим. Оператору нужно будет уложиться в пять рабочих дней с даты получения запроса[16], а не в десять рабочих дней, как сейчас[17].

Предоставить пояснения по поводу ошибок, противоречий в направленных ранее документах нужно будет в течение трех рабочих дней[18], сейчас — десять рабочих дней[19].

Выездная проверка

У оператора появится обязанность до начала проверки представить документы по запросу проверяющих[20]. Сделать это нужно будет в срок, указанный в запросе. Он не будет меньше двух рабочих дней со дня вручения запроса[21].

Документы представляются в виде копий, заверенных печатью (если она есть) и подписью представителя оператора[22]. Их можно будет направить через Интернет, заверив усиленной квалифицированной электронной подписью. Сейчас такой обязанности нет.

Основания продления проверки

Роскомнадзор продлит срок проверки[23], если во время ее проведения:

• ведомство получило документы о нарушении требований к обработке персональных данных;

• возникли обстоятельства непреодолимой силы (пожар, затопление и пр.);

• оператор не представил нужные документы;

• проверяющие столкнулись с большим объемом работы.

Сейчас регламент устанавливает только последнее из перечисленных оснований[24].

Уведомление о продлении проверки

Роскомнадзору потребуется уведомить оператора о продлении проверки[25]. На это отводится три рабочих дня с даты издания приказа о продлении. Сейчас такого требования нет.

Предписания для нарушителей

Срок устранения нарушений

Устранить нарушения нужно в течение шести месяцев со дня выдачи предписания[26]. Могут установить и меньший срок. Сейчас предельный срок не установлен.

Приостановка обработки персональных данных

От оператора могут потребовать приостановить обработку персональных данных. Это может произойти, если неисполнение предписания нарушает права и законные интересы субъекта персональных данных (например, работника)[27]. Сейчас основания для выдачи такого требования не определены[28].

Источник: КонсультантПлюс