[spoiler]
Итак, по теме обработки персональных данных в свете появившихся разъяснений Минкомсвязи, обсуждаемых на прошлой неделе, а также в публикации Андрея Колесова "Что Минкомсвязи разъяснило по поводу 242-ФЗ о хранении персональных данных в России".
Речь о появившемся проекте Постановления Правительства РФ «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации». В настоящий момент с ним можно ознакомиться на сайте regulation.gov.ru.
Первый вопрос, который возник, насколько госконтроль коснется иностранных операторов? Вероятно, коснется, в свете выдвигаемых к ним требованиях о хранении данных на территории России. К тому же постановление ссылается на 19 статью 152-ФЗ о мерах по обеспечению безопасности персональных данных при их обработке. То есть, мерах вообще. Соблюдение которых будет контролироваться Роскомнадзором и его территориальными органами.
Однако следующим же пунктом после отсылки на указанную статью идет абзац, где говорится, что госконтроль и надзор осуществляется на территории Российской Федерации находящихся под юрисдикцией РФ территориях. Каким образом это повлияет на компании с трансграничной передачей данных, офисы которых находятся за рубежом? Четкой ясности нет, в мыслях одни предположения.
Что касается проверок, то они предполагают быть плановыми или внеплановыми «в форме документарной или выездной проверки». И здесь, нас, в большей мере, интересует проверка документарная. Она проводится «посредством анализа документов и информации, полученных от государственного органа, органа местного самоуправления, юридического лица, физического лица по письменным запросам Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов».
Так вот самым примечательным здесь является тот факт, что затребованные документы «представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя…», направляются в Роскомнадзор либо посредством заказным почтовым отправлением с уведомлением о вручении, либо представляются непосредственно представителем юридического лица. О представлении информации в электронном формате даже не упоминается. То есть предполагается, что все «документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных» либо изначально ведутся в бумажном виде, либо должны быть распечатаны для проверки. Запросы, видимо, Роскомнадзор также будет направлять на бумаге. Интересно, каким образом в этой связи предполагается «диалог» с теми же представителями территориально удаленных иностранных компаний?
Одно дело, когда вы обещаете "взять крепостную стену", сидя дома у печки. Совсем другое - когда ты стоишь перед стеной и за тобой следят зрители - как ты будешь выполнять свои обещания. Все это мы видим на примере других Интернет-законов, которые были введены в действие еще год назад: о них просто никто не вспоминает, т.к. они не выполняются.