С 23 февраля будут проверять по-новому тех, кто обрабатывает персональные данные

Правительство утвердило новые правила [1], по которым Роскомнадзор будет проводить проверки операторов [2] персональных данных. Ведомство сможет применять документ уже с 23 февраля вместо действующего регламента [3] по надзору за обработкой персональных данных. Сравним новые правила с положениями регламента.

Организация проверок

Меньше оснований запланировать проверку

Начало обработки персональных данных больше не будет основанием для того, чтобы Роскомнадзор включил проверку в план. Таким образом, вместо трех оснований [4] останется два [5].

Новое правило о периодичности плановой проверки

В некоторых случаях проверку будут проводить [6] не чаще одного раза в два года со дня окончания последней проверки. Это касается, в частности, операторов, которые:

• обрабатывают персональные данные в государственных информационных системах [7];
• собирают биометрические [8] персональные данные и специальные категории [9] таких данных.

В регламенте подобного правила нет.

Новое основание для внеплановой проверки

Проверку смогут провести по решению [10] руководителя Роскомнадзора или его территориального органа по итогам рассмотрения докладной записки. Из нее должно следовать, что есть нарушения, которые выявлены в ходе контрольных мероприятий, проведенных без взаимодействия с оператором. К ним относится, например, наблюдение [11] за тем, как компания или ИП размещает информацию в Интернете и СМИ. Регламент этого не предусматривает.

Проведение проверок

Новый срок внеплановой проверки

Проверка займет [12] максимум 10 рабочих дней. Этот срок смогут продлить один раз еще на столько же. Сейчас эти сроки в два раза больше.

Срок проведения плановой проверки не изменится [13].

Документарная проверка

Внеплановую документарную проверку проводить больше не будут [14]. Сейчас она возможна [15].

Сократится срок представления документов проверяющим. Оператору нужно будет уложиться [16] в 5 рабочих дней с даты получения запроса, а не в 10 рабочих дней, как сейчас [17].

Предоставить пояснения по поводу ошибок, противоречий в направленных ранее документах нужно будет в течение 3 рабочих дней [18], сейчас — 10 рабочих дней [19].

Выездная проверка

У оператора появится обязанность [20] до начала проверки представить документы по запросу проверяющих. Сделать это нужно будет в срок, указанный в запросе. Он не будет [21] меньше 2 рабочих дней со дня вручения запроса.

Документы представляются [22] в виде копий, заверенных печатью (если она есть) и подписью представителя оператора. Их можно будет направить через Интернет, заверив усиленной квалифицированной электронной подписью. Сейчас такой обязанности нет.

Основания продления проверки

Роскомнадзор продлит [23] срок проверки, если во время ее проведения:

• ведомство получило документы о нарушении требований к обработке персональных данных;
• возникли обстоятельства непреодолимой силы (пожар, затопление и пр.);
• оператор не представил нужные документы;
• проверяющие столкнулись с большим объемом работы.

Сейчас регламент устанавливает [24] только последнее из перечисленных оснований.

Уведомление о продлении проверки

Роскомнадзору потребуется уведомить [25] оператора о продлении проверки. На это отводится 3 рабочих дня с даты издания приказа о продлении. Сейчас такого требования нет.

Предписания для нарушителей

Срок устранения нарушений

Устранить нарушения нужно в течение 6 месяцев [26] со дня выдачи предписания. Могут установить и меньший срок. Сейчас предельный срок не установлен.

Приостановка обработки персональных данных

От оператора могут потребовать приостановить обработку персональных данных. Это может произойти [27], если неисполнение предписания нарушает права и законные интересы субъекта персональных данных (например, работника). Сейчас основания для выдачи такого требования не определены [28].

Документ: Постановление Правительства РФ от 13.02.2019 N 146 [29]