О Роскомнадзоре и операторах персональных данных

ПДн2.jpg

13.02.19 года вышло Постановление Правительства РФ № 146 «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных». Документ устанавливает правила контроля и проверок Роскомнадзором операторов персональных данных и права регулятора в рамках этих действий.

Если вы ещё не изучали этот вопрос, предлагаем краткую выжимку документа.

  1. У Роскомнадзора появились новые формы надзорных мероприятий: контроль без взаимодействия с операторами (мероприятия систематического наблюдения) и профилактика нарушений.

  2. Роскомнадзор теперь имеет право составлять протоколы об административном правонарушении по результатам мероприятий систематического наблюдения. То есть оператор может узнать о привлечении к ответственности, только получив повестку в суд.

  3. Роскомнадзор официально может принимать решение о необходимости проверки без санкций прокуратуры.

  4. При документарной проверке на предоставление документов отводится всего 5 дней, иначе проверка может перейти в выездную.

  5. Если в рамках документарной проверки выявлены ошибки и противоречия, дополнительно запрашиваемые документы необходимо предоставить в течение 3 рабочих дней

  6. На предоставление документов при выездной проверке дается не менее двух дней. Актуальный перечень запрашиваемых документов занимает 6 листов. То есть у оператора есть 2 дня на то, чтобы предоставить документы, список наименований которых занимает 6 листов.

  7. Определены основания для продления сроков проведения плановых и внеплановых проверок. В их числе:

    • непредставление оператором в ходе проведения проверки необходимых документов;
    • выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов;
    • получение в ходе проведения проверки от правоохранительных органов, органов прокуратуры, из иных источников документов, свидетельствующих о нарушении оператором требований.

  8. Полномочия Роскомнадзора не распространяются на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных. Проверку СКЗИ осуществляет ФСБ, все остальные устройства и ПО, предназначенные для технической защиты конфиденциальной информации, находятся в ведении ФСТЭК.
Отдел информационной безопасности Cloud4Y рекомендует операторам персональных данных провести внутренний аудит процессов обработки персональных данных, действующих систем защиты, инструкций и регламентов в области ПДн. Убедитесь в корректности документального оформления всех процессов, касающихся персональных данных.