Новые правила разрешат Роскомнадзору получать доступ к информационным системам организаций для проверки - насколько содержание, объем, способ обработки, сроки хранения персональных данных соответствуют заявленным целям. Соответственно, у ведомства появится доступ к самим персональным данным, которые обрабатывает оператор. По нынешнему административному регламенту (утвержден приказом Минкомсвязи в 2011 году), у службы есть возможность только обследовать информационную систему, получать доступ в помещения обработки данных, то есть, фактически, получать доступ к серверам и программам, но не к самим данным.
- В статью 23 закона «О персональных данных» внесены изменения, которые наделили правительство полномочием определять порядок проведения проверок в области обработки персональных данных, - так объяснили в Минкомсвязи причину разработки документа.
Проект определяет, что Роскомнадзор будет наблюдать не только за обработкой данных, но и за оказанием услуг и продажей товаров, где "предметом являются персональные данные и (или) деятельность по их обработке".
Роскомнадзор будет наблюдать не только за обработкой данных, но и за оказанием услуг и продажей товаров, где "предметом являются персональные данные и (или) деятельность по их обработке".
Управляющий партнер юридической фирмы «Зарицын, Янковский и партнеры» (занимается сопровождением IT и интернет-компаний) Людмила Харитонова отметила, что положение имеет более высокий статус, чем регламент, и закрепляет основы проведения проверок.
— Регламент — документ внутренний, устанавливающий процесс проведения проверки. После принятия положения регламент приведут в соответствии с ним, — пояснила Людмила Харитонова. — Причины принятия положения понятны — внимание к соблюдению закона «О персональных данных» существенно увеличилось, а проверки, в большей степени, проводятся на уровне документов.
По словам эксперта, нет ничего критичного в доступе Роскомнадзора к персональным данным — скорее всего, их будут лишь просматривать, копировать не будут. Это позволит проверять, где и какая информация хранится.
— Продажа персональных данных — тонкий вопрос. С согласия пользователей это делать можно, но все случае продажи как раз происходят без всяких согласий, — заявила Людмила Харитонова.
По словам директора по проектной деятельности Института развития интернета Арсения Щельцина, проверки будут проводится строго по плану деятельности службы, по указаниям уполномоченных органов власти или после заявления о нарушении прав субъекта персональных данных. При согласии пользователя передавать его данные третьим лицам вполне нормально, напомнил эксперт.
В Роскомнадзоре не смогли оперативно прокомментировать проект документа.
Ранее "Известия" сообщали, что к 2019 году в России должен появиться единый портал персональных данных. Все компании, использующие персональные данные, будут размещать информацию об этом на сайте. Любой гражданин в своем личном кабинете сможет узнать, какие организации обрабатывают информацию о нем, - и, при желании, запретить такую обработку. Оператором портала станет Роскомнадзор.