Обработка персональных данных стала головной болью предпринимателей. Ужесточённая ответственность в области персональных данных действует больше года. При этом вместо одной статьи и одного возможного основания привлечения к ответственности их стало намного больше. Изменения коснулись и условий проведения проверок тех, кто обрабатывает данные. Разбираемся, чего ждать.
13 февраля Постановлением Правительства РФ №146 были утверждены новые Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. 23 февраля изменения вступили в силу и уже действуют.
По сравнению с действующим регламентом новые Правила содержат ряд важных изменений, на которые необходимо обратить внимание любому, кто хоть как-то связан с обработкой персональных данных.
ЧТО ГОВОРЯТ ПЛАНЫ?
Хорошая новость для тех, кто в любой момент ждёт надзорные органы в гости. Оснований прийти «на чай» стало на одно меньше. Начало обработки персональных данных более не является основанием для включения проверки организации в план Роскомнадзора. Теперь она делается по истечении 3-х лет после создания юрлица или регистрации ИП, либо через 3 года после последней проверки.
А ЕСЛИ ВНЕЗАПНО?
Появилось новое основание для внеплановой проверки: проверку смогут провести по решению руководителя Роскомнадзора или его территориального органа по итогам рассмотрения докладной записки.
Из неё должно следовать, что есть нарушения, которые выявлены в ходе контрольных мероприятий, проведённых без взаимодействия с оператором. К ним относится, например, наблюдение за тем, как компания или ИП размещает информацию в Интернете и СМИ.
Так что, если, например, вы публикуете персональные данные клиентов в рамках их отзывов без их разрешения, либо у вас нет никаких юридических документов в области защиты персональных данных на сайте, а вы эти данные там собираете, то ждите в гости проверяющих.
ЧТО ЖДАТЬ ОТ ТЕХ, КТО УЖЕ ПРИШЁЛ?
- Сокращён срок проведения внеплановой проверки: теперь это 10 дней, а не 20, как раньше. Плановые проверки без изменений – длятся 20 дней.
- Отменены внеплановые документарные проверки. То есть больше не смогут просить прислать документы или разъяснения по ним.
- Для плановых документарных проверок сокращены сроки предоставления документов и пояснений по поводу ошибок и противоречий в надзорный орган – теперь надо предоставить документы за 5 рабочих дней, а дать пояснения за 3 рабочих дня. Раньше было 10 дней на оба случая.
- Оператор обработки персональных данных теперь обязан предоставлять документы по запросу до начала выездной проверки. Документы представляются в виде копий, заверенных печатью (если она есть) и подписью представителя оператора. Их можно будет направить через Интернет, заверив усиленной квалифицированной электронной подписью. Сделать это нужно в срок не менее 2 рабочих дней, так что хватит времени, чтобы подготовить и прислать их.
МОЖНО ЛИ ПРОДЛИТЬ УДОВОЛЬСТВИЕ?
Расширен перечень оснований для продления проверки. Теперь проверка будет продлена, если:
- Роскомнадзор получил документы о нарушении требований к обработке персональных данных;
- возникли обстоятельства непреодолимой силы;
- оператор не представил нужные документы;
- проверяющие столкнулись с большим объёмом работы.
Ранее только последнее обстоятельство служило поводом для продления проверки. Теперь государственный орган обязан уведомлять о продлении проверки. Правда, лишь постфактум – в течение трёх дней со дня издания приказа о продлении.
А ЕСЛИ НАЙДУТ НАРУШЕНИЯ?
То есть время исправить их до наложения ответственности. Предельный срок для устранения нарушений – 6 месяцев со дня выдачи предписания.
Помимо этого надзорный орган может потребовать у оператора приостановить обработку персональных данных. Это возможно в том случае, если неисполнение предписания нарушает права и законные интересы субъекта персональных данных (например, ваших клиентов или работников).