В марте прошлого года правительство освободило на три года аккредитованные ИT-компании от проверок государственного и муниципального контроля. Но в феврале этого года были одобрены поправки, которые разрешают проведение Роскомнадзором проверок в случае утечки персональных данных.
Мораторий на проверки
Мораторий на проверки аккредитованных ИТ-компаний введен постановлением правительства от 24.03.2022 № 448.
Согласно постановлению, в 2022-2024 годах в отношении аккредитованных ИТ-компаний не должны проводиться контрольные (надзорные) мероприятия. Разрешены только такие профилактические меры как консультирование, информирование и самообследование.
Плановые контрольные проверки не должны быть включены в планы проверок на 2022-2024 годы. Все проверки, которые были запланированы на даты после 25 марта 2022 года, должны были быть отменены, а начатые ранее – завершены в течении 5 дней.
К тому же ИТ-компании освобождены от выездных налоговых проверок (в том числе повторных) вплоть до марта 2025 года. Однако разрешено проведение проверок, назначенных с согласия руководства вышестоящего налогового органа или ФНС.
Новые изменения
В 2022 году было зафиксировано большое количество случаев с утечкой персональных данных. Поэтому в конце декабря прошлого года Минцифры разработало проект постановления с целью предотвратить дальнейшее появление проблем, связанных с утечкой данных.
Подписанное постановление было опубликовано 6 февраля. Оно вносит изменения в порядок и правила проведения контрольных (надзорных) мероприятий в отношении аккредитованных ИТ-компаний.
Теперь Роскомнадзор получил право проводить внеплановые проверки аккредитованных ИТ-компаний в случае утечки у них персональных данных.
Такие проверки Роскомнадзор проводит по решению руководителя, заместителя руководителя этой службы при условии согласования с прокуратурой.
Условие для проведения внеплановых проверок – установленный факт распространения в интернете баз персональных данных (или их части), в том числе имеющих признаки принадлежности аккредитованной организации.
Наказание за утечку данных
Согласно ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в случае выявления нарушений порядка защиты персональных данных, виновные лица могут быть привлечены к гражданской, уголовной, административной, дисциплинарной и иной предусмотренной законодательством РФ ответственности.
К тому же в законодательство в этой сфере скоро могут быть внесены изменения – правительство работает над разработкой законопроектов по установлению оборотных штрафов в отношении компаний, которые допустили утечку данных, а также по усилению ответственности за незаконных оборот данных и другие нарушения. Работа над законопроектами ведется во исполнение поручения президента. Срок исполнения поручения – 1 июля 2023 года.