Новый нормативный документ, регламентирующий проведение проверок в области персональных данных, — Постановление Правительства РФ от 23.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных». Проанализируем его основные положения.
Первое, что необходимо отметить, — произошли изменения в правах и обязанностях Роскомнадзора по отношению к операторам персональных данных.
1. Явно обозначено, что правила не распространяются на ст. 19 ФЗ «О персональных данных».
2. В п. 7 обозначены случаи, в которых плановая проверка может проводиться чаще: раз в 2 года.
3. Проверка проводится на соответствие со ст. 18.1 ФЗ «О персональных данных».
4. Уменьшен срок проведения внеплановых проверок до 10 дней, может быть продолжена на 10 дней (было 20+20). И напротив, увеличен срок для организаций, расположенных в нескольких регионах — до 60 дней.
5. Внеплановая проверка не может быть документарной (принципиально новое: обращения граждан при условии наличия в обращении материалов, подтверждающих факт нарушения их прав действиями (бездействием) оператора, определенных ст. 14–17 Закона «О персональных данных», чего надзорный орган добивался давно, и что далеко выходит за пределы Закона 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Появилось и еще одно новое основание для внеплановых проверок — нарушение, выявленное в ходе мероприятия систематического наблюдения).
6. Срок предоставления документов по документарной проверке сократился с 10 до 5 дней.
7. Пояснения по документарной проверке теперь нужно отправить за 3 дня, а не за 10 дней, как это было ранее.
8. Подробно рассмотрен случай воспрепятствования выездной проверке (п. 36–40).
9. Важно: если раньше п. 6.7. содержал следующее положение: «Направлять заявление в орган, осуществляющий лицензирование деятельности Оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных; 6.8. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных». Теперь стало: п. 50. В случае если неисполнение предписания об устранении выявленных нарушений нарушает права и законные интересы субъекта (субъектов) персональных данных, оператору направляется требование о приостановлении деятельности по обработке персональных данных до устранения нарушений, указанных в предписании.