Обработка персональных данных стала головной болью предпринимателей. Ужесточённая ответственность в области персональных данных действует больше года. При этом вместо одной статьи и одного возможного основания привлечения к ответственности их стало намного больше. Изменения коснулись и условий проведения проверок тех, кто обрабатывает данные. Разбираемся, чего ждать.

13 февраля Постановлением Правительства РФ №146 были утверждены новые Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. 23 февраля изменения вступили в силу и уже действуют.

По сравнению с действующим регламентом новые Правила содержат ряд важных изменений, на которые необходимо обратить внимание любому, кто хоть как-то связан с обработкой персональных данных.

ЧТО ГОВОРЯТ ПЛАНЫ?

 Хорошая новость для тех, кто в любой момент ждёт надзорные органы в гости. Оснований прийти «на чай» стало на одно меньше. Начало обработки персональных данных более не является основанием для включения проверки организации в план Роскомнадзора. Теперь она делается по истечении 3-х лет после создания юрлица или регистрации ИП, либо через 3 года после последней проверки.

А ЕСЛИ ВНЕЗАПНО?

Появилось новое основание для внеплановой проверки: проверку смогут провести по решению руководителя Роскомнадзора или его территориального органа по итогам рассмотрения докладной записки.

Из неё должно следовать, что есть нарушения, которые выявлены в ходе контрольных мероприятий, проведённых без взаимодействия с оператором. К ним относится, например, наблюдение за тем, как компания или ИП размещает информацию в Интернете и СМИ.

Так что, если, например, вы публикуете персональные данные клиентов в рамках их отзывов без их разрешения, либо у вас нет никаких юридических документов в области защиты персональных данных на сайте, а вы эти данные там собираете, то ждите в гости проверяющих.

ЧТО ЖДАТЬ ОТ ТЕХ, КТО УЖЕ ПРИШЁЛ?

  1. Сокращён срок проведения внеплановой проверки: теперь это 10 дней, а не 20, как раньше. Плановые проверки без изменений – длятся 20 дней.
  2. Отменены внеплановые документарные проверки. То есть больше не смогут просить прислать документы или разъяснения по ним.
  3. Для плановых документарных проверок сокращены сроки предоставления документов и пояснений по поводу ошибок и противоречий в надзорный орган – теперь надо предоставить документы за 5 рабочих дней, а дать пояснения за 3 рабочих дня. Раньше было 10 дней на оба случая.
  4. Оператор обработки персональных данных теперь обязан предоставлять документы по запросу до начала выездной проверки. Документы представляются в виде копий, заверенных печатью (если она есть) и подписью представителя оператора. Их можно будет направить через Интернет, заверив усиленной квалифицированной электронной подписью. Сделать это нужно в срок не менее 2 рабочих дней, так что хватит времени, чтобы подготовить и прислать их.

МОЖНО ЛИ ПРОДЛИТЬ УДОВОЛЬСТВИЕ?

Расширен перечень оснований для продления проверки. Теперь проверка будет продлена, если:

  • Роскомнадзор получил документы о нарушении требований к обработке персональных данных;
  • возникли обстоятельства непреодолимой силы;
  • оператор не представил нужные документы;
  • проверяющие столкнулись с большим объёмом работы.

Ранее только последнее обстоятельство служило поводом для продления проверки. Теперь государственный орган обязан уведомлять о продлении проверки. Правда, лишь постфактум – в течение трёх дней со дня издания приказа о продлении.

А ЕСЛИ НАЙДУТ НАРУШЕНИЯ?

То есть время исправить их до наложения ответственности. Предельный срок для устранения нарушений – 6 месяцев со дня выдачи предписания.

Помимо этого надзорный орган может потребовать у оператора приостановить обработку персональных данных. Это возможно в том случае, если неисполнение предписания нарушает права и законные интересы субъекта персональных данных (например, ваших клиентов или работников).