Снова законодатели совершенствуют нам жизнь! Портал правовой информации опубликовал Постановление Правительства Российской Федерации от 13.02.2019 № 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных".

Оно устанавливает порядок организации и проведения проверок операторов персональных данных. Правила не распространяются на контроль за выполнением организационных и технических мер по обеспечению безопасности персональных данных. Понятно, что обязанность контролировать и надзирать возложили на Роскомнадзор. Придётся ему теперь ещё скорректировать свой плотный график.

Надзирать будут в четырёх формах:

• будут проверять планово и внезапно;
• будут не допущать и устранять последствия нарушений;
• будут контролировать, не связываясь с операторами;
• будут делать профилактику нарушений.

Обычно проверяют не чаще, чем раз в три года. Бывает, не чаще, чем раз в два или даже один год при при следующих условиях:

• если оператор обрабатывает персональные данные в Государственной Информационной Системе;
• собирает биометрические и специальные категории личных данных;
• передаёт данные за рубеж, никак не защищая права владельцев этих данных;
• обрабатывает данные на службе иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в нашей стране.

Если нарушение выявили, а оператор не до конца всё исправил, граждане жалуются, а прокурор требует, то проверка нагрянет внезапно. Если руководитель Роскомнадзора прочитает донос о выявленных без оператора косяках, считай, что снова всё будет неожиданно.

Но если всё идёт по плану, Роскомнадзор уведомит не позднее, чем за три рабочих дня до начала проверки. Пошло что-то не так, ? у вас будет лишь 24 часа, чтобы успокоться и подготовиться к проверке. Планово проверять должны не дольше 20 рабочих дней, хотя, в редких случаях всё может быть. Внезапная проверка длится 10 рабочих дней.

Документы проверяют, получив их от оператора. Внезапно их не проверяют. Оператор выдаёт документы в течение 5-ти дней с момента получения запроса.

После пишут акт проверки. На выезде в журнале оператора пишут, что всё проверили. Если такого жрунала ещё нет, в акте напишут об этом. Так что не забудьте подготовить его. Внизу акта указывают, что именно нарушено. Если не нарушено, пишут, что всё ok.

Когда контролируют без оператора:

• когда наблюдают за соблюдением требований при размещении информации в Интернете и СМИ;
• когда анализируют информацию о деятельности оператора и смотрят, соблюдает ли оператор требования.
• Для профилактики Роскомнадзор обязан:
• постить на своём сайте перечень требований;
• сообщать операторам, как идут дела в области защиты прав владельцев персональных данных;
• подводить итоги проверок за год;
• сообщать на своём сайте о наиболее частых нарушениях;
• постить инструкции, как не накосячить и информацию о проведении семинаров, конференций и банкетов;
• описывать требования законодательства человеческим языком в СМИ и иными способами;
• строжить операторов, что нельзя ничего нарушать.

Можно провериться, всё ли нормально, уже сейчас. Роскомнадзор выложил соответствующие требования тут.