С 23 февраля действуют новые правила организации и осуществления государственного контроля и надзора за обработкой персональных данных. Этому посвящено Постановление Правительства РФ от 13.02.2019 N 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных" (далее по тексту – Постановление). Каждый новый документ вызывает много вопросов. Упомянутое постановление – не исключение.
Кого касаются новые правила
Основной нюанс: данный документ касается контроля и надзора ТОЛЬКО за деятельностью оператора персональных данных, не затрагивая особенности выполнения организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах.
К сведению: согласно пункту 2 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», оператором является «государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, их состав и действия, совершаемые с персональными данными».
Выделение предмета надзора всегда означает наличие иных предметов надзора и иного контрольно-надзорного органа, полномочного его осуществлять. В сфере персональных данных к таким органам можно также отнести:
− Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций, осуществляющую как государственный контроль (надзор) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, так и контроль за деятельностью организаторов распространения информации в сети Интернет. Если эта информация связана с хранением информации о фактах приема передачи, доставкой и (или) обработкой голосовой информации, письменного текста, изображений, звуков, или иных электронных сообщений пользователей сети "Интернет" и информации об этих пользователях (Приказ Минкомсвязи России от 14.11.2011 N 312 "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных"; Приказ Роскомнадзора от 18.10.2016 N 272 "О Перечне правовых актов, содержащих обязательные требования" (вместе с "Порядком ведения перечня правовых актов, содержащих обязательные требования"));
− Федеральную службу по техническому и экспортному контролю, проверяющую защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных (Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных");
− Федеральную службу безопасности, проверяющую обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации (Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", Информация ФСБ России от 21.06.2016 "О нормативно-методических документах, действующих в области обеспечения безопасности персональных данных", "Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСБ России 08.08.2009 N 149/7/2/6-1173);
− Прокуратуру Российской Федерации, осуществляющую от имени Российской Федерации надзор за соблюдением Конституции Российской Федерации и исполнением законов, действующих на территории Российской Федерации в силу Федерального закона от 17.01.1992 N 2202-1 "О прокуратуре Российской Федерации".
Помимо выделения предмета надзора Постановлением определены:
− перечень лиц, осуществляющих организацию и проведение проверок – это должностные лица органа по контролю и надзору, должностными регламентами которых предусмотрены полномочия по осуществлению государственного контроля и надзора, способы осуществления контроля и надзора;
− средства осуществления контроля и надзора, к которым помимо привычных плановых / внеплановых проверок и мер профилактики с мерами пресечения / устранения выявленных нарушений, относятся и мероприятия по контролю без взаимодействия с оператором;
− меры, принимаемые в отношении фактов нарушения требований – это предписание об устранении выявленных нарушений, неисполнение которого может повлечь за собой внеплановую проверку, требование приостановления деятельности по обработке персональных данных, протокол об административном правонарушении.
Отдельным разделом рассматриваемого Постановления регламентируется организация и проведение мероприятий по контролю без взаимодействия с оператором.
К таким мероприятиям пунктом 54 Постановления отнесено:
а) наблюдение за соблюдением оператором требований при размещении информации в сети «Интернет» и в средствах массовой информации;
б) анализ информации о деятельности оператора, причем информация о деятельности может как предоставляться самим оператором, так может быть самостоятельно получена органом по контролю и надзору неуказанным Постановлением способами, в том числе в рамках межведомственного информационного взаимодействия.
К сведению: пункт 1 статьи 2 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" к основным понятиям относит и информацию - сведения (сообщения, данные) независимо от формы их представления.
Итоги проведения мероприятий по контролю без взаимодействия с оператором оформляются докладной запиской уполномоченного должностного лица на имя руководителя органа по контролю и надзору, на основании которой при выявлении нарушений, оператору направляется требование об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных. Оператору следует проинформировать орган по надзору и контролю в течение 10 дней об исполнении указанного требования либо представить мотивированные пояснения по существу признаков нарушения законодательных требований. Способ информирования и представления мотивированных пояснений Постановлением не определен.
Завершает рассматриваемое Постановление Правительства РФ раздел о досудебном (внесудебном) порядке обжалования решений и действий (бездействий) должностных лиц. Учитывая, что определения должностного лица содержит текст данного регламента, оператору следует жаловаться именно на решения, действия (бездействие) конкретного должностного лица. Оператору предоставлено право обжаловать у руководителя соответствующего органа решения и действия (бездействие) подчиненных именно ему должностных лиц. Жаловаться можно в орган по контролю и надзору как устно в ходе личного приема должностного лица, наверное руководителя, так и письменно - бумажным или электронным документом. Жалоба рассматривается в течение 30 дней со дня ее регистрации и результатом рассмотрения может быть:
− отказ в удовлетворении жалобы;
− частичное удовлетворение жалобы;
− удовлетворение жалобы.
Информация о результатах рассмотрения жалобы оформляется ответом руководителя органа по контролю и надзору или его уполномоченным заместителем.
Что изменится для кадровых работников
При прочтении Постановление складывается впечатление об отсутствии необходимости у работодателя предпринимать какие-либо действия. К примеру, провести ревизию размещаемой в сети «Интернет» информации, актуализировать нормативные локальные акты работодателя, документы кадрового учета и документы по учету труда работников. Но это впечатление может быть обманчивым.
В сфере обработки информации, персональных данных сложно найти законодательные акты, не обновленные в 2018 или уже в 2019 году, и рассмотренное Постановление Правительства РФ от 13.02.2019 N 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных" вносит свой вклад в этот процесс.
Трудовой кодекс Российской Федерации статьей 12 устанавливает ограничение срока действия локальных нормативных актов либо отдельных положений соответствующего документа не только истечением срока действия, отменой (признанием утратившими силу) данного локального нормативного акта либо отдельных его положений другим локальным нормативным актом, но и вступлением в силу закона или иного нормативного правового акта, содержащего нормы трудового права в случае, когда указанные акты устанавливают более высокий уровень гарантий работникам по сравнению с установленным локальным нормативным актом. Не предпринимая необходимых действий юридическое лицо не только нарушает соответствующее законодательство, но и нарушает требования Трудового кодекса, определяющего порядок действий работодателя с персональным данными работников целой главой.
Подробнее о Путеводителе по кадровым вопросам см. в материале «Как оформить документы по кадрам и охране труда?» нового обучающего ресурса «Гид по возможностям КонсультантПлюс».