Новые правила госконтроля за обработкой персональных данных

23 февраля 2019 года вступают в законную силу Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденные постановлением Правительства РФ от 13.02.2019 № 146 (далее – Правила, ПП РФ № 146). Данный акт принят во исполнение ч. 1.1. ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152, Закон о персональных данных) и опубликован 15.02.2019 на портале правовой информации.

В настоящей статье Факультетом Медицинского Права представлена информация о наиболее важных положениях новых Правил.

Согласно ПП РФ № 146 государственный контроль и надзор за обработкой персональных данных включает в себя деятельность, направленную на предупреждение, выявление и пресечение нарушений операторами персональных данных требований ФЗ № 152 и принятых в соответствии с ним нормативных правовых актов (п. 3 Правил).

Предыстория

Нормы о контроле в сфере персональных данных были введены в 2006 году совместно с ФЗ № 152. При этом Закон о персональных данных выделял (и выделяет) 2 вида контроля:

• Контроль и надзор за соответствием обработки персональных данных (речь о нем пойдет далее);
• Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных (осуществляют ФСБ России, ФСТЭК России).

До 01.09.2015 контроль за соответствием обработки ПД благополучно попадал под действие ФЗ от 26.12.2008 № 294-ФЗ (далее – ФЗ № 294, Закон о проверках). Для реализации контрольных полномочий Роскомнадзора (надзирающего органа в этой сфере) действовал Административный регламент от 14.11.2011 № 312 (к слову до сих пор не отменен).

В 2014 году законодатель вывел данный вид контроля из –под действия Закона о проверках на основании ФЗ от 21.07.2014 № 242-ФЗ. А в 2017 году окончательно стало ясно, что контроль за обработкой ПД будет осуществляться в соответствии с отдельными правилами, утвержденными Правительством РФ. Изменения были внесены в Закон о персональных данных на основании ФЗ от 22.02.2017 № 16-ФЗ.

Что касается контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах ПД, то он отделен от контроля за соответствием обработки ПД и продолжает фигурировать в ФЗ № 152. Соответственно, положения Правил от 13.02.2019 № 146 на него не распространяются. При этом отдельного положения либо иного акта, устанавливающего требования к проведению подобного вида контроля, законодательством РФ не предусмотрено. Кроме того, такие требования (о наличии положения) не содержит и ФЗ № 152.

Что включается в государственный контроль за обработкой персональных данных

ПП РФ № 146 установлено, что государственный контроль за обработкой персональных данных осуществляется посредством (п. 3 Правил):

• организации и проведения плановых и внеплановых проверок;
• принятия мер по пресечению и (или) устранению последствий выявленных нарушений;
• проведения мероприятий по контролю без взаимодействия с операторами;
• проведения мероприятий по профилактике нарушений.

Как видим, «инструменты» контроля в сфере персональных данных не сильно отличаются от тех, что установлены Законом о проверках.

Отметим, что контроль за обработкой ПД затрагивает юридических лиц и индивидуальных предпринимателей, а также иных лиц, являющихся операторами ПД (далее – операторы) (п. 1 Правил). К слову, исходя из смысла Правил под контроль Роскомнадзора могут попасть и физические лица, организующие и (или) осуществляющие обработку ПД.

Виды и формы проверок

Правила выделяют следующие виды проверок*:

• плановые проверки (документарные и выездные**) (оператор уведомляется о проведении проверки не позднее чем за 3 рабочих дня до даты начала проверки);
• внеплановые проверки (выездные**) (оператор уведомляется о проведении проверки не менее чем за 24 часа до начала ее проведения).

Регулятором определено, что проверка проводится в отношении (п. 15 Правил):

•  деятельности оператора по обработке персональных данных, осуществляемой с использованием и (или) без использования средств автоматизации, на предмет ее соответствия требованиям, в том числе мер, принимаемых оператором во исполнение требований;
•  документов и локальных актов оператора, указанных в ч. 1 ст. 18.1 ФЗ № 152;
•  информационных систем персональных данных в части, касающейся обработки персональных данных субъектов персональных данных.

О плановых проверках

ПП РФ № 146 «говорит» о 2 видах плановых проверок:

• Проверки, которые проводятся по истечению 3 лет со дня:
  • государственной регистрации оператора в качестве юридического лица, индивидуального предпринимателя;
  • окончания последней плановой проверки оператора.
• Проверки, которые проводятся не чаще 1 раза в 2 года со дня окончания последней плановой проверки в случаях, когда:
  • оператор осуществляет обработку персональных данных в информационных системах персональных данных, имеющих в соответствии с федеральными законами статус государственных информационных систем;
  • оператор осуществляет сбор биометрических и специальных категорий персональных данных;
  • оператор осуществляет трансграничную передачу персональных данных на территорию иностранного государства, не обеспечивающего адекватную защиту прав субъектов персональных данных;
  • оператор осуществляет обработку персональных данных по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории РФ.

Следует отметить, что при «попадании» под 2 вид плановой проверки (не чаще 1 раза в 2 года), оператор никоим образом не освобождается от плановой проверки, проводимой 1 раз в 3 года. Во всяком случае такого исключения ПП РФ № 146 не устанавливает.

Исходя из изложенного, медицинские организации будут проверятся Роскомнадзором чаще обычного (1 раз в 2 года), поскольку последние являются операторами, осуществляющими сбор* биометрических и специальных категорий ПД, и как обычно - 1 раз в 3 года. Подобная контрольная нагрузка на учреждения с учетом существования множества иных проверок в сфере здравоохранения навряд ли будет способствовать их нормальной деятельности.

Во всех приведенных случаях плановые проверки проводятся в соответствии с ежегодными планами деятельности контролирующих органов, размещаемыми на их официальных сайтах в сети «Интернет».

О внеплановых проверках

ПП РФ № 146 утвержден закрытый перечень оснований проведения внеплановых проверок.

Так, пунктом 8 Правил установлено, что внеплановые проверки проводятся на основании приказа контролирующего органа в следующих случаях:

• в случае неисполнения или частичного исполнения оператором предписания об устранении выявленного нарушения, выданного надзорным органом;
• по результатам рассмотрения обращений граждан, поступивших в контролирующий орган, при условии наличия в обращении материалов, подтверждающих факт нарушения их прав, определенных ст. ст. 14-17* ФЗ № 152, действиями (бездействием) оператора при обработке их персональных данных (проведение проверки согласовывается с органом прокуратуры);
  Обращаем внимание на то, что проведение внеплановой проверки по данному основанию при осуществлении контроля за обработкой ПД является более жестким в сравнении с тем, что установлено ФЗ № 294. Так, согласно п. 2 ч. 1 ст. 10 Закона о проверках регулятор связывает внеплановую проверку с обращениями по фактам возникновения угрозы причинения вреда жизни, здоровью граждан…, причинения вреда жизни, здоровью граждан…, а также нарушения прав потребителей, требований к маркировке товаров. Кроме того, в отличие от ПП РФ № 146, внеплановые проверки по ФЗ № 294 проводятся по обращениям не только физических лиц, но и индивидуальных предпринимателей, юридических лиц, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации.
• в соответствии с поручениями Президента РФ, Правительства РФ;
• на основании требования прокурора об осуществлении внеплановой выездной проверки;
• на основании решения руководителя контролирующего органа по итогам рассмотрения докладной записки, содержащей выводы о наличии нарушений требований, выявленных по результатам проведения мероприятий по контролю без взаимодействия с оператором (проведение проверки согласовывается с органом прокуратуры).

О сроках проверок

Правилами закреплены сроки проверок.

В отличии от ФЗ № 294, ПП РФ № 146 установлен ясный перечень оснований для продления срока проверки:

• получение в ходе проведения проверки от правоохранительных органов, в том числе органов прокуратуры, либо из иных источников документов, свидетельствующих о нарушениях оператором требований;
• возникновение обстоятельств непреодолимой силы (затопление, наводнение, пожар и тому подобное) на территории, где проводится проверка;
• непредставление оператором в ходе проведения проверки необходимых документов;
• выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, количеством осуществляемых видов деятельности по обработке ПД, разветвленностью организационно – хозяйственной структуры оператора, сложностью технологических процессов обработки персональных данных.

Особенности документарной проверки

Не станем подробно описывать все нюансы документарной проверки при проведении контроля за обработкой ПД, а лишь остановимся на некоторых из них.

Отметим, что сроки исполнения запроса контролирующего органа при проведении документарной проверки для оператора достаточно короткие. Так, документы и информацию по такому запросу оператор обязан предоставить в течение 5 рабочих дней (согласно ФЗ № 294 такой срок составляет 10 дней). При этом датой представления оператором запрошенных документов и информации считается дата, указанная в отметке контролирующего органа об их принятии (п. 28 Правил).

Если опираться на данное требование, то документы в ходе документарной проверки оператору легче предоставлять нарочно, но никак не почтовым отправлением (указанное связано с тем, что работа почтовой службы не всегда выполняется «безукоризненно», поэтому существуют риски того, что по почте документы до Роскомнадзора могут вообще не дойти или дойти с большой задержкой).

В случае выявления ошибок и противоречий в документах, срок для исправления составляет 3 рабочих дня. Что касается указанного срока, следует учитывать, что Правилами каких –либо исключений относительно его отсчета не установлено.

Особенности выездной проверки

Правилами предусмотрено, что до начала проведения выездной проверки органы контроля вручают руководителю оператора или иному уполномоченному представителю оператора письменный запрос о представлении документов и информации, необходимых для проведения проверки. При этом оператор должен предоставить документы и информацию в срок, указанный в таком запросе. Кроме того, такой срок не может составлять менее 2 рабочих дней со дня вручения указанного запроса.

В соответствии с ПП РФ № 146 в случае если документы и информация не могут быть представлены в срок, установленный в запросе, либо отсутствуют, оператор должен до истечения этого срока представить лицам, проводящим выездную проверку, письменное мотивированное объяснение о причинах невозможности представления документов и информации.

Еще одной особенностью выездной проверки при проведении контроля за обработкой ПД является составление акта о воспрепятствовании проведению выездной проверки. При этом из пункта 36 Правил не ясно, какие именно действия (бездействия) оператора можно отнести к препятствующим проверке. Согласно данной норме в случае осуществления оператором действий (бездействия), препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки.

От воспрепятствования выездной проверке Правила отделяют невозможность проведения проверки ввиду отсутствия оператора (его руководителя или иного уполномоченного представителя) по месту его нахождения и (или) по месту фактического осуществления им деятельности. В обоих случаях контролирующий орган принимает решение о приостановлении проведения проверки. Срок такого приостановления должен быть не более 1 месяца. В случае не устранения причин приостановления выездной проверки, составляется соответствующий акт, а в последующем в течение 3 месяцев после составления данного документа, надзорный орган вправе принять решение о проведении плановой или внеплановой выездной проверки без внесения плановой проверки в ежегодный план и без предварительного уведомления оператора.

Документы о начале и завершении проверки

Отметим, что какие – либо конкретные требования к документам, оформляемым в процессе контроля за обработкой ПД, ПП РФ № 146 не устанавливает. Это касается и приказов о проведении проверок, акта о проверке и пр. В тоже время формы документов, необходимые для реализации контроля, должны быть утверждены Роскомнадзором (в настоящее время пока не приняты).

Возвращаясь к теме акта проверки, следует также обратить внимание на то, что в случае несогласия с актом проверки, оператор вправе представить возражения в письменной форме, которое прилагается к акту проверки. Данное право оператора какими – либо сроками не ограничено (например, согласно Закону о проверках срок предоставления возражений составляет 15 дней со дня получения акта). Кроме того, оператор вправе подать жалобу на решения и действия должностных лиц органа надзора (устно, письменно либо в форме электронного документа). Жалоба рассматривается в течение 30 дней со дня ее регистрации (п. 64 Правил).

О предписании и других мерах, принимаемых в случае выявления нарушений

Что касается мер, принимаемых при выявлении нарушений, то таковыми в соответствии с Правилами являются:

• выдача предписания об устранении нарушений;
• требование о приостановлении деятельности по обработке ПД;
• составление протокола об административном правонарушении в соответствии с КоАП РФ и принятие мер, предусмотренных ФЗ № 152.

Правилами установлено поэтапное принятие данных мер. Так, вначале выдается предписание, в котором должны быть указаны нарушения и требования, а также срок устранения нарушений (не превышающий 6 месяцев со дня выдачи документа). Далее в случае неисполнения или частичного неисполнения нарушений, которые затрагивают права и законные интересы субъекта ПД, оператору направляется требование о приостановлении деятельности по обработке ПД до устранения нарушений. И только в случае неисполнения последнего документа органом надзора составляется протокол об административном правонарушении в соответствии с КОАП РФ (ps. ст. 13.11) и принимаются иные меры, предусмотренные ФЗ № 152.

О мероприятиях по контролю без взаимодействия с операторами

Отдельно следует затронуть тему мероприятий без взаимодействия с оператором. К таковым в соответствии с Правилами относятся:

• наблюдение за соблюдением требований при размещении информации в сети «Интернет» и средствах массовой информации;
• наблюдение за соблюдением требований посредством анализа информации о деятельности оператора, которая представляется оператором (в том числе посредством использования федеральных государственных информационных систем) в контролирующий орган в соответствии с федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами или может быть получена (в том числе в рамках межведомственного информационного взаимодействия) органом надзора.

При этом на проведение подобных мероприятий выдается соответствующее задание, утверждаемое руководителем (уполномоченным заместителем руководителя) контролирующего органа. Кроме того, подобное задание выдается в случае поручения Президента РФ, руководителя Роскомнадзора; обращения государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица, публикации в СМИ и размещения в сети «Интернет» информации о нарушении прав и законных интересов субъекта ПД и (или) нарушений требований.

Последствиями мероприятий без взаимодействия с проверяемыми лицами являются:

• проведение внеплановой выездной проверки (см. в разделе «О внеплановых проверках»);
• направление требования об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем ПД в течение 10 дней (с информированием контролирующего органа об исполнении или представление мотивированных пояснений по существу признаков нарушений);
• составление протокола об АП в соответствии с КоАП РФ (в случае неисполнения требования об уточнении, блокировании…).

О профилактических мероприятиях

ПП РФ № 146 предусмотрены также профилактические мероприятия в целях предупреждения нарушений. В указанных целях контролирующий орган:

• размещает на своем официальном сайте в сети «Интернет» перечень нормативных правовых актов, содержащих требования;
• осуществляет информирование операторов о положении дел в области защиты прав субъектов персональных данных;
• обеспечивает ежегодное обобщение практики осуществления контроля в области персональных данных посредством подготовки отчета о деятельности по осуществлению государственного контроля и надзора в области персональных данных;
• размещает на своем официальном сайте в сети «Интернет» информацию о наиболее часто выявляемых в ходе осуществления контроля и надзора нарушениях требований, в результате которых оператор был привлечен к административной ответственности либо оператору было выдано предписание об устранении выявленных нарушений;
• размещает на своем официальном сайте в сети «Интернет» руководства по соблюдению требований, информацию о проведении семинаров и конференций;
• осуществляет разъяснительную работу в средствах массовой информации и иными способами;
• выдает предостережения о недопустимости нарушения требований (какие – либо требования к данному документу ПП РФ № 146 не установлены).