До принятия решения о ведении собственного блога, я редко, но метко пописывал статьи на Хабрахабре. В основном по вопросам защиты персональных данных. Как выяснилось, наибольший интерес (судя по оценкам, комментариям и количеству просмотров) вызвала статья, посвященная подготовке к проверкам Роскомнадзора, связанным с защитой прав субъектов персональных данных. С одной стороны, тема многим интересна, а с другой — оригинальная статья была написана в далеком 2013 году и с тех пор в законодательстве произошли кое-какие изменения. Собственно, основываясь на этих мыслях, я решил начать свой блог с переработки своих же статей с Хабра, приправив их новыми мыслями, подробностями и свежими новостями из сферы законодательства о персональных данных.
Для интересующихся приведу ссылки на статьи с Хабра, поскольку некоторые мысли, высказанные в них, в новых статьях повторяться не будут: раз, два, три, четыре.
Надеюсь, новый цикл статей поможет дать наиболее полную картину по вопросу подготовки к проверкам Роскомнадзора в сфере защиты прав субъектов персональных данных.
Сначала расскажу о том, что нового произошло в законодательстве по защите ПДн.
В 2015 году много шума в СМИ наделал федеральный закон № 242-ФЗ. Но говорили о нем в основном в контексте обязанности хранить персональные данные граждан РФ на территории РФ. Все очень боялись, что заблокируют Facebook и Twitter, поэтому-то и было очень много шумихи. Были даже открыты целые сайты, разъясняющие порядок переноса серверных мощностей на территорию РФ. Ниже скриншот с одного из них.
Но у нас цикл статей о другом: о проверках регулятора в сфере защиты персональных данных. Так вот, что касается Роскомнадзора и проверок по персональным данным, то в 242-ФЗ были непримечательные для СМИ, но очень важные для нас изменения: на деятельность Роскомнадзора в сфере защиты прав субъектов персональных данных с 1 сентября 2015 года не распространяется федеральный закон № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Что это значит? Это значит, что, скорее всего, большинство плановых проверок преобразуется во внеплановые. Об этом говорят и планы проверок Роскомнадзора, выложенные в конце 2015 года на сайте ведомства. Плановых проверок по персональным данным там — раз, два и обчелся, в отличие от предыдущих годов. Основная проблема внеплановых проверок в том, что о них нельзя узнать с хорошим временным запасом, и как следствие — нельзя как можно лучше подготовиться. Например, раньше, когда публиковался план проверок, каждый мог скачать его и узнать, находится ли организация в нем или нет. И в врасплох заставались только бедолаги, дата проверки у которых значилась январем-февралем. Остальные имели возможность нормально подготовиться, даже если до этого момента в организации по защите персональных данных ничего не делалось. Сейчас лучше, конечно же, быть готовым к проверке Роскомнадзора по персональным данным в любой момент, то есть всегда держать наготове актуальный комплект документации по защите персональных данных.
Второе важное событие, произошедшее с момента публикации первой статьи о подготовке к проверкам это появление законопроекта № 683952-6, предусматривающего многократное повышение штрафов за нарушения законодательства в сфере защиты персональных данных. На самом деле, это можно назвать полусобытием. Почему-то законопроект как прошел первое чтение в феврале 2015 года, так и «подвис» в государственной думе. Но и статус «Отклонен» законопроект тоже не получил. Сейчас в паспорте документа стоит пометка «На рассмотрении», а значит вернуться к нему депутаты могут в любой момент. В случае принятия этого законопроекта в том виде, в котором он опубликован сейчас, нарушения в сфере защиты персональных данных ударят сильнее всего по карманам медицинских учреждений, поскольку за нарушения законодательства при обработке специальных категорий (к коим относятся, в том числе, сведения о здоровье) предусмотрен штраф вплоть до 300 000 тысяч рублей.
Это собственно и все новости, но мне и их хватило для того, чтобы эта статья стала первой в этом блоге. Надеюсь, никого не нужно убеждать в том, что высокая вероятность внезапной проверки регулятора в совокупности с вполне реальной вероятностью повышения штрафов, является серьезным поводом начинать приводить обработку персональных данных в соответствие законодательству прямо сейчас.