Новый нормативный документ, регламентирующий проведение проверок в области персональных данных, — постановление правительства РФ от 23.02.2019 №146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных». Проанализируем его основные положения.
Первое, что необходимо отметить, — произошли изменения в правах и обязанностях Роскомнадзора по отношению к операторам персональных данных.
1. Явно обозначено, что правила не распространяются на ст. 19 ФЗ «О персональных данных».
2. В п. 7 обозначены случаи, в которых плановая проверка может проводиться чаще: раз в два года.
3. Проверка проводится на соответствии со ст. 18.1 ФЗ «О персональных данных».
4. Уменьшен срок проведения внеплановых проверок до 10 дней, может быть продолжена на 10 дней (было 20 + 20). И напротив, увеличен срок для организаций, расположенных в нескольких регионах, до 60 дней.
5. Внеплановая проверка не может быть документарной (принципиально новое: обращения граждан при условии наличия в обращении материалов, подтверждающих факт нарушения их прав действиями (бездействием) оператора, определенных ст. 14 –17 за кона «О персональных данных», чего надзорный орган добивался давно и что далеко выходит за пределы закона 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Появилось и еще одно новое основание для внеплановых проверок— нарушение, выявленное в ходе мероприятия систематического наблюдения.
6. Срок предоставления документов по документарной проверке сократился с 10 до 5 дней.
7. Пояснения по документарной проверке теперь нужно отправить за 3 дня, а не за 10 дней, как это было ранее.
8. Подробно рассмотрен случай воспрепятствова ния выездной проверке (п. 36–40).
9. Важно: раньше п. 6.7 содержал следующее положение: «Направлять заявление в орган, осуществляющий лицензирование деятельности Оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персона льных данных третьим лицам без согласия в письменной форме субъекта персональных данных; 6.8. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных». Теперь стало: «п. 50. В случае если неисполнение предписания об устранении выявленных нарушений нарушает права и законные интересы субъекта (субъектов) персональных данных, оператору направляется требование о приостановлении деятельности по обработке персональных данных до устранения нарушений, указанных в предписании».