Развитие нормативного регулирования в сфере защиты персональных данных

06/2015

Изменения в сфере регулирования персональных данных получили дальнейшее развитие на подзаконном уровне. Закрепление процедурных вопросов по ведению «Реестра нарушителей» и проведению проверок были разработаны на данном этапе. Однако наиболее насущные вопросы операторов, связанные непосредственно с локализацией баз данных в России (по ссылке) пока не проясняются. Данные изменения в очередной раз подчеркивают намерения Российской Федерации контролировать порядок обработки персональных данных с особым вниманием.

Учитывая вышесказанное, а также планируемое усиление ответственности операторов за несоблюдением законодательства о персональных данных (по ссылке), мы рекомендуем операторам провести внутреннюю проверку на соответствие требованиям законодательства о персональных данных с учетом планируемых изменений.

Общие положения

Министерство связи и массовых коммуникаций РФ разработало проекты Постановлений Правительства РФ (для ознакомления с текстом проекта Постановления о «Порядке создания, формирования и ведения автоматизированной системы «Реестр нарушителей прав субъектов персональных данных» пройдите по ссылке, а с текстом проекта, касающегося «Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства РФ» по данной ссылке). Оба проекта скорее призваны урегулировать процедурные вопросы взаимодействия с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором) и внутри регулирующего органа. Проекты запланированы к вступлению в силу на 01 сентября 2015 года, то есть одновременно с Законом о локализации данных, о котором мы писали ранее (по ссылке).

Постановление о «Порядке создания, формирования и ведения автоматизированной системы «Реестр нарушителей прав субъектов персональных данных»

Первый проект устанавливает процедуру ведения «Реестра нарушителей», а именно информацию, содержащуюся в Реестре, порядок включения и исключения из Реестра, а также критерии, на основании которых для ведения Реестра может привлекаться сторонняя организация. Стадия публичного обсуждения данного проекта завершена, и, следовательно, он может быть принят Правительством РФ в данном или измененном виде с учетом результатов обсуждения.

Постановление о «Положении о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства РФ»

Второй проект закрепляет процедуру проведения проверок Роскомнадзором с целью контроля и надзора за соблюдением законодательства о персональных данных. Данный Проект находится на стадии публичного обсуждения.

Следует также отметить, что Роскомнадзор наделяется правом на выдачу обязательных требований о приостановлении или прекращении обработки персональных данных, а также об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных.

Проектом устанавливаются следующие формы контроля и надзора за деятельностью операторов:

  • проверки, которые могут быть как документарными и выездными, так и плановыми и внеплановыми;
  • анализ и оценка состояния исполнения требований законодательства РФ;
  • мероприятия систематического наблюдения.

Проверки

Примечательно, что, помимо прочего, основанием для проведения внеплановой проверки может являться:

  • поручение Президента или Правительства РФ;
  • поступление информации от органов публичной власти и СМИ о подтвержденных фактах нарушений;
  • представление прокуратуры о проведении внеплановой проверки;
  • несоответствие сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности оператора.

Последнее из перечисленных оснований отражает необходимость подачи надлежащего уведомления о начале обработки персональных данных, в котором следует наиболее точно описывать сложившиеся способы обработки персональных данных.

Плановые проверки осуществляются в соответствии с планом, утверждаемым Роскомнадзором. Основанием для включения организации в план проверок является, помимо прочего:

  • информация, поступившая от органов публичной власти или СМИ о фактах, содержащих признаки нарушений;
  • обработка персональных данных значительного числа субъектов (категория «значительный» не раскрывается);
  • обработка биометрических и специальных категорий персональных данных;
  • непредставление информации уведомительного характера.

Мероприятия систематического наблюдения

Мероприятия систематического наблюдения проводятся на основании:

  • поручения Президента, правительства или Руководителя Роскомнадзора, обращения органов публичной власти;
  • обращения юридических лиц, физических лиц; или
  • публикации СМИ о нарушении в сфере персональных данных.

Авторы

Леонид Зубарев
Старший партнер
Москва
Elena Slesarenko