С 23 февраля 2019 года вступили в законную силу новые Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных, утвержденные постановлением Правительства РФ от 13.02.2019 г. № 146.
Что говорит закон?
Согласно п. 1 ст. 3 федеральный закон от 27.07.2006 г. № 152-ФЗ (ред. от 31.12.2017 г.) «О персональных данных» регламентирует, что персональные данные – это любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Такой информацией являются фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных (п. 2.5 Рекомендаций).
Данные Правила устанавливают порядок проверок юридических лиц, ИП, которые являются операторами персональных данных в настоящее время.
Государственный контроль и надзор осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами.
Чего коснулись новые правила?
Рассмотрим, каких конкретно аспектов коснулись данные Правила.
1.Осуществление внеплановой проверки. Согласно п. 17 Правил срок внеплановой проверки максимально будет составлять не более 10 рабочих дней. Обращаю ваше внимание, что для рассмотрения документов возможно продление срока на еще 10 рабочих дней. Внеплановые документарные проверки не проводятся (п. 25 Правил).
2. Осуществление плановой проверки. Срок проведения плановой проверки не может превышать 20 рабочих дней. Срок проведения плановой проверки может быть продлен однократно не более чем на 20 рабочих дней.
3. Осуществление выездной проверки. Выездная проверка проводится по месту нахождения оператора и (или) по месту фактического осуществления им деятельности по обработке персональных данных.
Выездная проверка оператора – физического лица, не являющегося индивидуальным предпринимателем, не проводится.
Выездная проверка начинается с предъявления служебного удостоверения должностными лицами, ознакомления руководителя оператора или иного уполномоченного представителя оператора с приказом о назначении выездной проверки и с полномочиями должностных лиц, проводящих проверку, а также с целями, задачами, основаниями проведения выездной проверки, видами и объемом мероприятий по контролю, сроками и условиями проведения выездной проверки. До начала проведения выездной проверки должностные лица вручают руководителю оператора или иному уполномоченному представителю оператора письменный запрос о представлении документов и информации, необходимых для проведения проверки.
Оператор обязан представить должностным лицам, уполномоченным на проведение выездной проверки, необходимые для проведения проверки документы и информацию в срок, указанный в запросе, предусмотренном п/ 33 настоящих Правил. Такой срок не может составлять менее 2 рабочих дней со дня вручения указанного запроса. Оператор создает необходимые условия для проведения выездной проверки, по требованию должностных лиц обеспечивает доступ в помещения и к оборудованию, посредством которого осуществляется обработка персональных данных, и представляет информацию и документацию, необходимые для проведения выездной проверки.
В случае если в ходе проведения выездной проверки представленные оператором документы и информация недостаточны для проведения выездной проверки, должностные лица вручают руководителю оператора или иному уполномоченному представителю оператора дополнение к указанному запросу.
4. Процедура устранения выявленных нарушений. Установленные и документарно подтвержденные нарушения в ходе проведенной проверки сотрудником Роскомнадзора можно устранить в течение 6 месяцев со дня получения предписания. Обращаю ваше внимание, что в настоящее время срок, в течение которого необходимо произвести устранение замечаний по минимальному и максимальному показателю, не определен.
5. Процедура приостановки деятельности. В случае, если неисполнение предписания об устранении выявленных нарушений нарушает права и законные интересы субъекта (субъектов) персональных данных, оператору направляется требование о приостановлении деятельности по обработке персональных данных до устранения нарушений, указанных в предписании.
В случае неисполнения оператором требования о приостановлении деятельности по обработке персональных данных составляется протокол об административном правонарушении в соответствии со ст. 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных» и принимаются меры, предусмотренные федеральным законом «О персональных данных» (п. 6.8 приказа Минкомсвязи России от 14.11.2011 г. № 312 (ред. от 24.11.2014 г.) «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»).
6. Условия, при которых не надо уведомлять Роскомнадзор об обработке персональных данных. Согласно правоприменительной практике, Роскомнадзор уведомлять не надо, если организация обрабатывает персональные данные физических лиц посредством рассмотрения резюме кандидатов на замещение вакантной должности (то есть осуществляет хранение данных резюме кандидатов даже с использованием компьютерных программ); если организация обрабатывает и хранит персональные данные сотрудников (в том числе посредством использования компьютерных программ); если организация обрабатывает персональные данные своих клиентов (в том числе посредством использования компьютерных программ).
Нормативно-правовая база по данному вопросу:
• федеральный закон от 27.07.2006 г. № 152-ФЗ (ред. от 31.12.2017 г.) «О персональных данных»,
• постановление Правительства РФ от 16.03.2009 г. № 228 (ред. от 25.09.2018 г.) «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (вместе с «Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»),
• постановление Правительства РФ от 13.02.2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных»,
• Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения, утвержденные приказом Роскомнадзора № 94 от 30.05.2017 г.,
• Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановление Правительства РФ № 1119 от 01.11.2012 г.,
• Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства № 687 от 15.09.2008 г.
Образец
СОГЛАСИЕ
на обработку персональных данных
Я,
(фамилия, имя, отчество субъекта персональных данных),
в соответствии с п. 4 ст. 9 федерального закона от 27.07.2006 г. № 152-ФЗ «О
персональных данных», зарегистрирован___ по адресу: ,
документ, удостоверяющий личность:
(наименование документа, №, сведения о дате выдачи документа и выдавшем его органе).
(Вариант:
(фамилия, имя, отчество представителя субъекта персональных данных),
зарегистрирован___ по адресу: ,
документ, удостоверяющий личность:
(наименование документа, №, сведения о дате выдачи документа и выдавшем его органе). Доверенность от «__» г. № ___ (или реквизиты иного документа, подтверждающего полномочия представителя) (в целях указать цель обработки данных) даю согласие (указать наименование или Ф.И.О. оператора, получающего согласие субъекта персональных данных), находящемуся по адресу: (вариант: (указать наименование или Ф.И.О. лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу), находящемуся по адресу: ), на обработку моих персональных данных, а именно: (указать перечень персональных данных, на обработку которых дается согласие субъекта персональных данных), то есть на совершение действий, предусмотренных п. 3 ст. 3 федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме
«___» г.
Субъект персональных данных: /
(подпись) (Ф.И.О.)
Добрый день! Очень приятно познакомится. Спасибо, что заинтересовались моей страницей на данном портале. Я практикующий юрист с 2005 года в области земельного, наследственного, семейного, гражданского права. Личные юридические консультации через переписку на данном портале или через электронную почту производятся на платной основе.
47.9к
