Обработка персональных данных. Что следует знать, чтобы быть готовым к проведению проверки?

Многие из нас знают, что при обращении в государственный или муниципальный орган, организацию, учреждение нас просят дать согласие на обработку таким органом (учреждением и др.) наших персональных данных. Что такое персональные данные, оператор, осуществляющий их обработку, а также что следует знать, чтобы быть готовым к проведению проверок Роскомнадзором Вы узнаете ниже.
Отношения, связанные с обработкой персональных данных,  регулируются Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
В соответствии с указанным законом:
персональные данные  — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
 Обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона возлагается (п. 1 ст. 23 Закона N 152-ФЗ) на Роскомнадзор (п. 1 положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утв. постановление Правительства РФ от 16.03.2009 N 228, далее — Положение N 228).
Таким образом, с проверкой Роскомнадзор может прийти практически к любой организации и органу в Российской Федерации.
 В настоящее время Полномочия Роскомнадзора в данной сфере определяются Законом N 152-ФЗ, КоАП РФ и Административным регламентом исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, утв. приказом Министерства связи и массовых коммуникаций РФ от 14.11.2011 N 312.  (Далее — Регламент). Указанный Регламент предусматривает единственный способ осуществления надзора — проведение проверок поднадзорных лиц (п. 3 Регламента).
 Во время проверки проверяются (п. 5 Регламента):
— деятельность по обработке персональных данных,
— информационные системы персональных данных,
— документы, характер информации в которых предполагает или допускает включение в них персональных данных.
 Следует отметить, что действие Федерального закона от 26.12.2008. N 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее — Закон N 294-ФЗ) не распространяется на проверки в области контроля и надзора за обработкой персональных данных (п. 20 ч. 3.1. ст. 1 Закона N 294-ФЗ).
 Проверке подвергается деятельность операторов персональных данных (как включенных в Реестр операторов, осуществляющих обработку персональных данных, так и не включенных) (п. 32 Регламента).
Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
В соответствии со ст. 22 ФЗ № 152-ФЗ оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
Так, оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
 Уведомление направляется в уполномоченный орган по защите прав субъектов персональных данных в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать сведения, определенные в части 2 ст. 22 ФЗ № 152-ФЗ.
 Кроме того, следует иметь в виду, что уже разработан, но пока еще не принят  новый Порядок организации и осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства.
ТЕКСТ ПРОЕКТА размещен для общественного обсуждения на Федеральном портале проектов нормативных правовых актов (ID проекта 01/01/03-17/00062831).
Согласно проекту, Роскомнадзор будет проводить плановые и внеплановые проверки юридических лиц и предпринимателей, а также плановые и внеплановые мероприятия систематического наблюдения, проводимые без взаимодействия с проверяемыми.
Планы проведения плановых проверок и мероприятий систематического наблюдения должны будут размещаться на официальном сайте Роскомнадзора, при этом периодичность проверок должна устанавливаться с учетом риск-ориентированного подхода, а критерии отнесения проверяемого лица к соответствующей группе риска устанавливаются надзорным ведомством.
Внеплановые проверки будут проводиться по основаниям, частично совпадающим с предусмотренными ст. 10 упомянутого Закона N 294-ФЗ: по поручениям Президента РФ и Правительства РФ, требованию прокурора, по обращениям граждан в Роскомнадзор по фактам нарушений их прав, а также если нарушение законодательства выявлено по итогам мероприятий систематического наблюдения в области персональных данных. Дополнительно проект предусматривает проведение проверки в случае неисполнения проверяемым лицом предписания об устранении выявленного нарушения (Закон N 294-ФЗ разрешает внеплановую проверку просто для контроля за исполнением предписания, факт его неисполнения не имеет значения). Проверка по результатам рассмотрения обращений граждан, поступивших в Роскомнадзор, требует предварительного согласования с прокуратурой.
Внеплановые мероприятия систематического наблюдения будут проводиться на основании поручений Президента РФ или Правительства РФ, а также обращений государственного органа, муниципального органа, юридического лица, физического лица и публикаций в СМИ о нарушениях в соответствующей сфере.
Конкретные сроки и последовательность процедур должны быть установлены в регламенте (для проверок) и порядке (для мероприятий), которые в будущем утвердит Роскомнадзор.
Кондакова Ольга, юрисконсульт Негосударственного центра бесплатной юридической помощи при МОО «Конгресс «МИР»