Заключение Министерства экономического развития РФ об оценке регулирующего воздействия на проект Постановления Правительства Российской Федерации "Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации" (от 15.03.2016)

Досье на проект

Минэкономразвития России в соответствии с пунктом 26 Правил проведения федеральными органами исполнительной власти оценки регулирующего воздействия проектов нормативных правовых актов, проектов поправок к проектам федеральных законов и проектов решений Совета Евразийской экономической комиссии, утвержденных постановлением Правительства Российской Федерации от 17 декабря 2012 г. N 1318 (далее - Правила), рассмотрело проект постановления Правительства Российской Федерации "Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации" (далее - проект акта), подготовленный и направленный для подготовки настоящего заключения Минкомсвязью России (далее - разработчик), и сообщает следующее.

По результатам рассмотрения проекта акта и сводного отчета о проведении оценки регулирующего воздействия (далее - сводный отчет) установлено, что при подготовке проекта акта процедуры, предусмотренные пунктами 9 - 23 Правил, разработчиком соблюдены.

Проект акта направлен разработчиком для подготовки настоящего заключения впервые.

Разработчиком проведены публичные обсуждения уведомления о подготовке проекта акта в срок с 23 апреля 2015 г. по 8 мая 2015 г., а также публичные обсуждения проекта акта и сводного отчета в срок с 8 мая 2015 г. по 7 июня 2015 г.

Информация об оценке регулирующего воздействия проекта акта размещена разработчиком на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: http://regulation.gov.ru, ID проекта - 00/03-25126/04-15/4-18-3.

Пунктом 7 сводного отчета указано, что действие проекта акта будет распространяться на физических, юридических лиц, органов государственной власти и местного самоуправления, осуществляющих деятельность в том числе в сфере обработки персональных данных в количестве более 4,8 млн участников регулирования.

Проблема, на решение которой направлено предлагаемое регулирование, состоит в необходимости регламентации осуществления уполномоченным органом по защите прав субъектов персональных данных возложенных на него функций по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации.

В целях подготовки настоящего заключения в соответствии с пунктом 28 Правил Минэкономразвития России проведены дополнительные публичные консультации по проекту акта с 28 июля 2015 г. по 4 августа 2015 г. В рамках публичных консультаций поступили предложения Российского союза промышленников и предпринимателей, Торгово-промышленной палаты Российской Федерации, Ассоциации региональных операторов связи, НП "ОКЮР", ОАО "НК "Роснефть", ОАО "Ростелеком" и ООО "Яндекс", частично учтенные при подготовке настоящего заключения.

По итогам рассмотрения проекта акта Минэкономразвития России отмечает следующие риски предлагаемого регулирования.

1. Пунктом 9.5 проекта акта предусмотрены полномочия должностных лиц Роскомнадзора в рамках проведения государственного контроля (надзора) по доступу к информационным системам персональных данных (далее - ИСПД) для оценки законности деятельности по обработке персональных данных, в том числе, на предмет соответствия содержания, объема, способов обработки, сроков хранения обрабатываемых персональных данных целям их обработки.

Вместе с тем, проектом акта не определен порядок получения доступа к ИСПД, сроки его предоставления и действия, объём информации, который может быть исследован в рамках проведения проверки.

Таким образом, считаем целесообразным дополнение проекта акта соответствующими нормами.

Дополнительно отмечаем, что указанным положением проекта акта не ограничивается право должностных лиц на доступ к информационным системам оператора исключительно случаями выездных мероприятий .

Должностные лица таким образом вправе требовать предоставить им удаленный доступ даже при проведении невыездного мероприятия. Считаем необходимым дополнить пункт 9.5. проекта акта прямым указанием на осуществление такого доступа по месту нахождения оборудования, но не удаленно.

2. Пунктом 9.7 проекта акта предусмотрено, что для проведения государственного контроля (надзора) могут быть привлечены эксперты или экспертные организации, аккредитованные в порядке, установленном Федеральным законом от 28 декабря 2013 г. N 412-ФЗ "Об аккредитации в национальной системе аккредитации".

Вместе с тем в проекте акта не урегулирован вопрос доступа экспертов к сведениям, составляющим государственную или коммерческую тайну, а также ознакомления с документами, содержащими конфиденциальные сведения.

Таким образом, считаем целесообразным урегулировать в проекте акта соответствующие вопросы.

3. В соответствии с пунктом 13 проекта акта устанавливается положение, согласно которому формирование плана проведения плановых проверок осуществляется в том числе исходя из ряда критериев, указанных в пунктах 13.1-13.4 проекта акта.

Следовательно, исходя из буквального прочтения пункта 13 проекта акта, можно сделать вывод о том, что при формировании плана проведения плановых проверок Роскомнадзор может руководствоваться как критериями пунктов 13.1-13.4 проекта акта, так и прочими критериями, не изложенными в проекте акта.

Указанная неопределенность на практике может привести к риску произвольной правоприменительной практики при включении организации в план проведения плановых проверок.

Таким образом, считаем необходимым доработать комментируемое положение с целью исключения слов "в том числе".

4. В соответствии с пунктом 13.3 проекта акта одним из критериев формирования плана плановых проверок является "обработка персональных данных значительного числа субъектов персональных данных".

Принимая во внимание факт того, что в условиях постоянного изменения объемов обрабатываемых оператором персональных данных, распространенной практики аутсорсинга и территориальной распределенности информационных систем персональных данных, прогнозирование и использование абсолютного числа субъектов персональных данных в качестве критерия, используемого при формировании плановых контрольно-надзорных мероприятий, является проблематичным, Минэкономразвития России тем не менее отмечает, что в отсутствие четких критериев отнесения тех или иных объемов данных к категории "значительных", предлагаемая норма носит оценочный характер, является исключительно субъективной и способна привести как к неопределенности в правоприменительной практике, так и создать условия для злоупотреблений со стороны надзорного органа при формировании плана проверок.

Учитывая изложенное, считаем необходимым исключить пункт 13.3 проекта акта или доработать проект акта в указанной части.

5. Пунктом 19 проекта акта устанавливается положение, согласно которому о проведении плановой проверки и внеплановой документарной проверки государственный орган, орган местного самоуправления, юридическое лицо, физическое лицо уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа почтовым отправлением с уведомлением о вручении или иным доступным способом.

Вместе с тем представляется целесообразным увеличить срок уведомления о проверке с формулировкой "не позднее, чем за 10 дней".

6. В соответствии с пунктами 42, 52 проекта акта документы предоставляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя государственного органа, органа местного самоуправления, юридического лица, физического лица.

Вместе с тем полагаем целесообразным дополнить проект акта нормой, позволяющей направлять электронную версию документа, заверенную электронной цифровой подписью указанных лиц.

7. Согласно пункту 47 проекта акта при отсутствии у проверяемого физического лица возможности предоставления помещения для проведения выездной проверки, проверка проводится по месту нахождения Роскомнадзора и его территориального органа.

Учитывая, что в соответствии с пунктом 24.4 проекта акта объектом проверки могут быть ИСПД и содержащаяся в них информация, считаем необходимым раскрыть порядок доступа проверяющих к данным информационным системам и информации, а также механизмы обеспечения конфиденциальности персональных данных, при условии, что проверка проводится по месту нахождения Роскомнадзора и ее территориального органа.

8. Пунктом 61.9 проекта акта устанавливается максимальный срок устранения выявленных в рамках осуществления государственного контроля (надзора) нарушений - 6 месяцев.

Следует отметить, что деятельность части юридических лиц является объектом регулирования Федерального закона от 18 июля 2011 г. N 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц". В связи с необходимостью соблюдения положения законодательства о закупках сроки закупки оборудования, необходимого для выполнения требований предписания, объективно удлиняются. В соответствии с информацией, полученной Минэкономразвития России в рамках публичных консультаций, только сроки проведения закупочных процедур могут составлять до 140 рабочих дней.

Истечение срока исполнения ранее выданного предписания об устранении выявленного нарушения является основанием для проведения внеплановой проверки (согласно пункту 7 проекта акта), по результатам которой будет установлено неисполнение в срок законных требований Роскомнадзора, выдано новое предписание, а также наложен административный штраф в соответствии со ст. 19.5 Кодекса Российской Федерации об административных правонарушениях. Санкцией указанной статьи также предусмотрена дисквалификация должностных лиц.

Учитывая изложенное, предлагаем дополнить комментируемую норму положением о том, что максимальный срок исполнения предписаний Роскомнадзора должен составлять 8 месяцев.

9. Пунктом 69 проекта акта предусмотрено, что в случае, если неисполнение предписания нарушает права и законные интересы субъекта (субъектов) персональных данных государственному органу, органу местного самоуправления, юридическому или физическому лицу направляется требование о приостановлении деятельности по обработке персональных данных до устранения нарушения, ранее выявленного в ходе проведения проверки, указанного в предписании.

При этом возможна ситуация, при которой приостановление деятельности по обработке персональных данных будет нарушать права и законные интересы других субъектов персональных данных. Наиболее вероятна подобная ситуация при использовании автоматизированной обработки персональных данных в государственных органах или органах местного самоуправления.

Таким образом, считаем целесообразным предусмотреть приостановку обработки персональных данных только в отношении тех субъектов персональных данных, права и законные интересы которых нарушает продолжение указанной обработки.

10. Наряду с плановыми и внеплановыми проверками проектом акта предлагается наделить Роскомнадзор полномочиями по осуществлению такого мероприятия как "мероприятие систематического наблюдения". При этом предмет и порядок проведения этого мероприятия определяется самим Роскомнадзором (пункт 72 проекта акта).

Учитывая, что по результатам данного наблюдения могут проводиться внеплановые проверки, представляется необходимым раскрыть в проекте акта предмет мероприятий систематического наблюдения, а также полномочия должностных лиц при их осуществлении.

В случае же, если планируется утверждение Роскомнадзором отдельного нормативного правового акта, раскрывающего соответствующие функции и понятия, также считаем целесообразным доработать пункт 72 проекта акта положением о том, что осуществление Роскомнадзором мероприятий систематического наблюдения проводятся с момента вступления в силу порядка их проведения.

11. Согласно пункту 79 проекта акта деятельность Роскомнадзора по анализу и оценке состояния исполнения требований законодательства Российской Федерации, на основании представленных государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом документов, локальных актов и иной информации не является проверкой или мероприятием систематического характера.

При этом в соответствии с пунктами 81-83 проекта акта по итогам проведенного анализа и оценки состояния исполнения требований законодательства Российской Федерации предусматривается составление Роскомнадзором письма с требованием об устранении выявленных нарушений в области персональных данных, сроком устранения выявленных нарушений, а также возможностью составления протокола об административном правонарушении в порядке, установленном Кодексом об административных правонарушениях.

Следовательно, остается не ясным, чем фактически "анализ и оценка состояния исполнения требований законодательства Российской Федерации" отличаются от плановой или внеплановой проверки, проводимой Роскомнадзором.

Таким образом, в случае "смягчения" разработчиком мероприятий по контролю (надзору) и направлению информационных писем без соответствующих санкций по выявленным нарушениям считаем необходимым исключить из проекта акта нормы с требованием об устранении выявленных нарушений в области персональных данных, сроком устранения нарушения, требованием о составлении протокола об административном правонарушении по итогам проведения анализа и оценки состояния исполнения требований законодательства Российской Федерации.

На основе проведенной оценки регулирующего воздействия проекта акта Минэкономразвития России сделан вывод о достаточном обосновании решения проблемы предложенным способом регулирования.

По результатам оценки регулирующего воздействия проекта акта может быть сделан вывод о наличии в проекте акта положений, которые вводят избыточные административные и иные ограничения и обязанности для субъектов предпринимательской и иной деятельности или способствуют их введению, а также способствуют возникновению необоснованных расходов субъектов предпринимательской и иной деятельности или способствуют возникновению необоснованных расходов бюджетов всех уровней бюджетной системы Российской Федерации.

О.В. Фомичев