Новые правила проведения проверок Роскомнадзора в компаниях, осуществляющих обработку персональных данных

Информируем Вас о новых правилах проведения проверок в компаниях, осуществляющих обработку персональных данных, которые утверждены Постановлением Правительства РФ от 13.02.2019 N 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» («Постановление»).

Российский орган по защите прав субъектов персональных данных (Роскомнадзор) наделен полномочиями по контролю за соблюдением требований законодательства о защите персональных данных. Для этих целей он проводит проверки (плановые/внеплановые) в порядке, установленном законодательством.

Постановление устанавливает новые правила, которые полностью заменяют предшествующее регулирование. Ключевые изменения, предусмотренные документом, состоят в следующем:

• В отношении некоторых компаний проверки могут проводиться чаще. Например, в отношениикомпаний, осуществляющих обработку биометрических и специальных категорий персональных данных; компаний, являющихся обработчиками персональных данных, которые обрабатывают данные от имени оператора, не имеющего присутствия в РФ; осуществляющих трансграничную передачу персональных данных на территорию государств, не обеспечивающих адекватную защиту прав субъектов персональных данных (например, США).
• Введено новое основание проведения внеплановой проверки. Таким основанием является решение Роскомнадзора, принятое по результатам мониторинга деятельности компании в сети «Интернет» (например, в случаях, когда обработка данных осуществляется через веб-сайт/мобильное приложение) или по результатам анализа любой иной доступной информации (например, информации, содержащейся в жалобах субъектов персональных данных; иной информации из открытых источников).
• Для компаний установлен предельный шестимесячный срок для устранения нарушений, выявленных в ходе проверки. По итогам проведения проверки Роскомнадзор выносит предписание об устранении выявленных нарушений. Предшествующее регулирование не устанавливало сроков исполнения данных предписаний компаниями. В соответствии с Постановлением срок устранения нарушений не может превышать 6 месяцев.
• Роскомнадзор может приостановить деятельность по обработке персональных данных до устранения компанией выявленных нарушений. Такое полномочие не является новым для Роскомнадзора. Однако в отличие предшествующего регулирования в Постановлении определено конкретное основание для приостановления Роскомнадзором деятельности по обработке персональных данных, а именно: - компанией не устранено нарушение, и такое нарушение приводит к нарушению прав и законных интересов субъектов персональных данных.
• Помимо проверок Роскомнадзор также проводит мероприятия по контролю путем мониторинга деятельности компаний в сети «Интернет» или анализа любой доступной информации об их деятельности, связанной с обработкой данных (например, информация была получена от субъекта персональных данных, любых иных лиц и/или из открытых источников). По итогам проведения такого мониторинга Роскомнадзор вправе потребовать устранения выявленных нарушений. В случае неисполнения данных требований на компанию будет наложен административный штраф.

Надеемся, предоставленная информация окажется для Вас полезной. Если Вы или кто-то из Ваших коллег хотели бы получать наши информационные письма по почте, пожалуйста, заполните форму «Подписаться на рассылки» внизу страницы.

Практики: Защита данных и кибербезопасность

Примечание: Обращаем Ваше внимание на то, что вся информация была взята из открытых источников. Автор данного письма не несет ответственность за последствия, возникшие в результате принятия решений на основе данной информации.