Проверки по вопросам защиты персональных данных - новый регламент Роскомнадзора

10.05.2012

С начала марта 2012 года действует новый Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по контролю за соблюдением требований законодательства в области обработки и защиты персональных данных. В рамках данной статьи И.А. Баймакова (фирма «1С») напомнит базовые нормы, связанные с проведением проверок, а также рассмотрит основные новшества.

Содержание

Проверки по вопросам защиты персональных данных - новый регламент Роскомнадзора

9 марта 2012 года вступил в действие новый Административный регламент (далее - Регламент) проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) и ее территориальными органами в области персональных данных. Новый Регламент утвержден приказом Минкомсвязи РФ от 14.11.2011 № 312 (далее - Приказ № 312).

В целом новый Регламент сохранил основные положения, предусмотренные ранее действовашим приказом Министерства связи и массовых коммуникаций РФ от 01.12.2009 № 630. В рамках данной статьи напомним базовые нормы проведения проверок, а также рассмотрим новшества, внесенные Приказом № 312 с целью обеспечения прав и законных интересов лиц, осуществляющих обработку персональных данных.

Основополагающие нормы

Регламент проведения проверки определяет сроки и последовательность действий (административных процедур), а также взаимодействия с государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - ПДн). Предметом государственного контроля (надзора) являются:

документы, характер информации в которых предполагает или допускает включение в них ПДн;
информационные системы ПДн;
деятельность по обработке ПДн.

Таким образом, в ходе проведения контрольных мероприятий сотрудниками Роскомнадзора могут быть исследованы непосредственно документы, информационные системы, в которых осуществляется обработка персональных данных, а также регламенты и фактическая деятельность оператора ПДн по обработке ПДн.

Напомним, что в соответствии с определением, приведенным в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», информационной системой ПДн является совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств. Проверяющие вправе получать доступ к информационным системам ПДн в режиме просмотра и выборки необходимой информации (п. 6.6 Регламента).

Проверки бывают документарные и выездные, плановые и внеплановые.

Подробнее о видах проверок читайте в статье «Защита персональных данных: новые документы регуляторов» на сайте. Каких-либо существенных изменений в виды проверок и порядок их проведения внесено не было.

С планом проведени плановых проверок на 2012 год можно ознакомиться на сайте Роскомнадзора (http://www.rsoc.ru/docs/plan_proverok_2012.doc).

Основные данные в отношении проведения проверок приведены ниже в таблице.

Таблица. Основные правила проведения проверок

Срок представления требуемых документов по документарной проверке		10 рабочих дней со дня получения мотивированного запроса (п. 70.5 Регламента)
Срок представления пояснений по документарной проверке		10 рабочих дней (п. 70.8 Регламента)
Количественный состав участников выездной проверки (проверяющих)		Не менее двух должностных лиц, в том числе должностное лицо, отвечающее за вопросы правового обеспечения (п. 29 Регламента)
Срок и порядок уведомления оператора о начале проведения выездной проверки	Плановой проверки	Не позднее чем в течение трех рабочих дней до начала проведения проверки посредством направления копии приказа о проведении проверки почтовым отправлением с уведомлением о вручении или иным доступным способом (п. 34 Регламента)
	Внеплановой проверки	Не позднее чем за 24 часа до начала ее проведения любым доступным способом (п. 40 Регламента)
Срок проведения выездной проверки		20 рабочих дней (продление возможно на срок не более 20 рабочих дней) (п. 20 и п. 21 Регламента)
Срок рассмотрения обращения (жалобы, заявления) заявителей		30 дней, может быть дополнительно продлен еще на 30 дней (п. 108 Регламента)

Напомним, что выездная проверка проводится только при предъявлении служебных удостоверений лиц, проводящих проверку, и копии соответствующего приказа руководителя Роскомнадзора или его территориального органа и заканчивается принятием решения по ее результатам.

Об изменениях

Несмотря на то, что в целом порядок проведения проверок сохранен, есть отличия и дополнения, в основном касающиеся усиления контроля за деятельностью проверяющих при осуществлении государственной функции, в частности при проведении проверок по защите персональных данных.

Обязанности должностных лиц - проверяющих

В новом регламенте собраны в отдельном пункте (п. 7 Регламента) положения, касающиеся обязанностей должностных лиц Роскомнадзора и его территориальных органов при проведении проверки. В части обязанностей можно выделить, что проверяющие:

обязаны соблюдать законодательство РФ, права и законные интересы Оператора;
обязаны проводить проверку только во время исполнения служебных обязанностей;
не вправе препятствовать присутствовать при проверке руководителю или иному уполномоченному представителя Оператора ПДн;
обязаны предоставлять руководителю или иному уполномоченному представителю Оператора информацию и документы, относящиеся к предмету проверки;
должны учитывать при определении мер, принимаемых по фактам выявленных нарушений, соответствие указанных мер тяжести нарушений;
обязаны не допускать необоснованное ограничение прав и законных интересов Оператора;
доказывать обоснованность своих действий при их обжаловании Оператором;
перед началом выездной проверки по просьбе руководителя или иного представителя Оператора ознакомить их с положениями Регламента.

Ряд запретов, касающихся должностных лиц Роскомнадзора и его территориальных органов, содержится в пункте 74 Регламента.

Среди них можно отметить:

запрет на проведение выездной проверки при отсутствии руководителя или уполномоченного представителя Оператора ПДн;
запрет на истребование документов, не относящихся к предмету проверки, изъятие оригиналов таких документов;
запрет на распространение информации, полученной в результате проверки;
запрет на превышение установленных Регламентом сроков проверки.

Таким образом, Операторам ПДн следует знать об установленных ограничениях в деятельности проверяющих и не выполнять их незаконные требования.

Контроль за исполнением государственной функции

Новым регламентом предусмотрено осуществление контроля за деятельностью должностных лиц Роскомнадзора и его территориальных органов. В частности, предусмотрено, что предметом контроля является выявление и устранение нарушений (п. 93 Регламента):

порядка рассмотрения обращений заявителей, т. е. субъектов и Операторов ПДн;
оценка полноты рассмотрения обращений;
объективность и тщательность проверки сведений;
обоснованность и законность предлагаемых мер для принятия решений по таким обращениям.

Также Регламентом предусмотрен контроль за полнотой и качеством исполнения государственной функции, т. е. речь идет об осуществлении контроля за порядком проведения проверок Операторов ПДн. Такой контроль, осуществляется в двух формах: плановые и внеплановые проверки (п. 96 Регламента). При этом внеплановые проверки проводятся в случаях (п. 98 Регламента):

получения информации от граждан, юридических лиц, органов государственной власти или местного самоуправления о соответствующих нарушениях;
обращений граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушения их прав и законных интересов действиями (бездействием) должностными лицами Роскомнадзора или его территориального органа.

С учетом повышения ответственности должностных лиц в регламенте предусмотрен специальных раздел, касающийся ответственности должностных лиц Роскомнадзора, в том числе предусмотрена возможность персональной ответственности сотрудников.

Порядок обжалования решений, вынесенных по результатам проверок

В новом Регламенте существенно расширен раздел, посвященный обжалованию решений и действий (бездействия) Роскомнадзора и его территориальных органов и должностных лиц. Обжалование действий должностных лиц может осуществляться письменно с обращением (жалобой, заявлением) на решения, действия (бездействия) должностных лиц либо устно в ходе личного приема (п. 104 Регламента).

Обращение рассматривается Роскомнадзором и его территориальными органами в течение 30 дней с момента его поступления. Срок рассмотрения обращения может быть дополнительно продлен еще на 30 дней (п. 108 Регламента).

Необходимо обратить внимание, что жалоба будет оставлена без рассмотрения в следующих случаях (п. 110 Регламента):

в письменной жалобе не указаны фамилия заявителя и почтовый адрес;
в жалобе содержатся нецензурные либо оскорбительные выражения, угрозы имуществу, жизни и здоровья;
текст жалобы не поддается прочтению;
в жалобе содержится вопрос, на который многократно давались письменные разъяснения.

Во всех иных случаях по результатам рассмотрения жалобы принимается одно из следующих решений (п. 111 Регламента):

об отказе в удовлетворении жалобы;
о частичном удовлетворении жалобы;
об удовлетворении жалобы, отмене принятого решения должностных лиц либо о возложении на должностных лиц обязанностей по восстановлению прав и (или) интересов лица, направившего жалобу.

Также о нарушении своих прав и законных интересов, противоправных решениях можно сообщить по номеру телефона, указанному на сайте Роскомнадзора или его территориального органа (п. 112 Регламента).

Привлечение специалистов

Новым регламентом предусмотрено, что для оценки эффективности принимаемых Оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах ПДн в рамках проводимой проверки могут быть привечены эксперты, экспертные организации, включенные в реестр граждан и организаций, привлекаемых Роскомнадзором в качестве экспертов, экспертных организаций к проведению мероприятий по контролю (п. 42.1 Регламента). Перечни экспертов и экспертных организаций размещены на официальном сайте Роскомнадзора (www.rsoc.ru, роскомнадзор.рф).

О журнале проверок

Изучая вопросы проведения проверок государственными и муниципальными органами, необходимо обратить внимание еще на один важный момент, который зачастую организации оставляют без внимания.

Следует помнить, что должностные лица Роскомнадзора и его территориальных органов в ходе проверки должны сделать запись в журнале проверок (п. 7.13 Регламента), который должен вестись каждым оператором ПДн. Типовая форма журнала учета проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля, предусмотрена в Приложении № 4 приказа Минэкономразвития от 30.04.2009 № 141 «О реализации положений Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». В данном журнале отражаются факты о проведенных проверках всеми государственными и муниципальными органами. Журнал учета проверок должен быть прошит, пронумерован и удостоверен печатью Оператора.

В случае если у Оператора ПДн такой журнал отсутствует, сведения о невозможности внесения такой записи в журнал отражаются в акте проверки (п. 78.8 Регламента).

* * *

В завершении напомним, что количество проверок по вопросам защиты персональных данных возрастает и ежегодно мировыми судьями по результатам рассмотрения материалов Роскомнадзора принимаются постановления о привлечении операторов к административной ответственности на сумму в несколько миллионов рублей.

Ознакомиться с результатами контрольной деятельности Роскомнадзора можно на его официальном сайте (www.rsoc.ru) в разделе «Планирование, отчеты о деятельности».