За соответствием обработки персональных данных
Государственный контроль и надзор
за соответствием обработки персональных данных
требованиям законодательства Российской Федерации
в области персональных данных
Порядок организации и осуществления федерального государственного контроля (надзора) за обработкой персональных данных устанавливается Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных, утверждённым постановлением Правительства Российской Федерации от 29.06.2021 № 1046.
КРИТЕРИИ ОТНЕСЕНИЯ ОБЪЕКТОВ КОНТРОЛЯ
К ОПРЕДЕЛЕННОЙ КАТЕГОРИИ РИСКА
Приложение
к Положению о федеральном
государственном контроле (надзоре)
за обработкой персональных данных, утвержденному
постановлением Правительства РФ от 29.06.2021 № 1046
«О федеральном государственном контроле (надзоре)
за обработкой персональных данных»
КРИТЕРИИ ОТНЕСЕНИЯ ОБЪЕКТОВ КОНТРОЛЯ
К ОПРЕДЕЛЕННОЙ КАТЕГОРИИ РИСКА
1. С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований деятельность контролируемого лица, подлежащая федеральному государственному контролю (надзору), разделяется на группы тяжести «А», «Б», «В» и «Г» (далее - группы тяжести).
2. К группе тяжести «А» относятся следующие виды деятельности:
а) обработка специальной категории персональных данных и (или) биометрических персональных данных;
б) сбор персональных данных, в том числе в информационно-телекоммуникационной сети «Интернет» (далее - сеть «Интернет»), осуществляемый с использованием баз данных, находящихся за пределами Российской Федерации;
в) трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с частью 2 статьи 12 Федерального закона «О персональных данных»;
г) передача третьим лицам персональных данных, полученных в результате обезличивания с использованием методов обезличивания, утвержденных в соответствии с законодательством Российской Федерации в области персональных данных.
3. К группе тяжести «Б» относятся следующие виды деятельности:
а) обработка персональных данных в целях, отличных от заявленных целей обработки персональных данных на этапе их сбора;
б) обработка персональных данных несовершеннолетних лиц в случаях, не предусмотренных федеральными законами;
в) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные более чем 20000 субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
г) сбор персональных данных, в том числе в сети «Интернет», осуществляемый с использованием иностранных программ и сервисов.
4. К группе тяжести «В» относятся следующие виды деятельности:
а) обработка персональных данных близких родственников субъекта персональных данных;
б) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные от 1000 до 20000 субъектов персональных данных;
в) трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с частью 2 статьи 12 Федерального закона «О персональных данных»;
г) обезличивание персональных данных, обработка персональных данных, полученных в результате обезличивания, с использованием методов обезличивания, утвержденных в соответствии с законодательством Российской Федерации в области персональных данных, без передачи третьим лицам.
5. К группе тяжести «Г» относятся следующие виды деятельности:
а) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные менее чем 1000 субъектов персональных данных;
б) обработка персональных данных без предоставления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций информации уведомительного характера, предоставление которой предусмотрено Федеральным законом «О персональных данных»;
в) обработка персональных данных, полученных из общедоступных источников персональных данных;
г) трансграничная передача персональных данных на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
6. При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам тяжести, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.
7. С учетом оценки вероятности несоблюдения контролируемыми лицами обязательных требований деятельность, подлежащая государственному контролю (надзору), разделяется на группы вероятности «1», «2», «3», «4» (далее - группы вероятности).
8. К группе вероятности «1» относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1.1, 2.1, 5.1, 9 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:
по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;
в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.
9. К группе вероятности «2» относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1, 2, 5, 6, 8 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:
по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;
в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.
10. К группе вероятности «3» относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 4, 7 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:
по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;
в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.
11. К группе вероятности «4» относится деятельность контролируемых лиц при отсутствии обстоятельств, указанных в пунктах 8 - 10 настоящего приложения.
12. При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам вероятности, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.
13. Отнесение деятельности контролируемого лица к определенной категории риска основывается на соотнесении группы тяжести и группы вероятности согласно таблице:
|
Категория риска |
Группа тяжести |
Группа вероятности |
|
Высокий риск |
А |
1 |
|
|
Б |
1 |
|
Значительный риск |
А |
2 |
|
|
А |
3 |
|
|
Б |
2 |
|
|
В |
1 |
|
|
В |
2 |
|
Средний риск |
А |
4 |
|
|
Б |
3 |
|
|
В |
3 |
|
|
Г |
1 |
|
|
Г |
2 |
|
Умеренный риск |
Б |
4 |
|
|
В |
4 |
|
|
Г |
3 |
|
Низкий риск |
Г |
4 |
В соответствии с п. 7.1.4.1 «Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Кемеровской области-Кузбассу», утверждённого приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 09 июля 2020 года № 90, Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Кемеровской области-Кузбассу осуществляет на территории Кемеровской области-Кузбасса государственный контроль и надзор за соответствием обработки юридическими лицами, индивидуальными предпринимателями и физическими лицами персональных данных требованиям законодательства Российской Федерации в области персональных данных.
ОРГАНИЗАЦИЯ И ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ ПО КОНТРОЛЮ
БЕЗ ВЗАИМОДЕЙСТВИЯ С КОНТРОЛИРУЕМЫМ ЛИЦОМ
Мероприятия по контролю без взаимодействия с контролируемым лицом проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований.
Мероприятия по контролю без взаимодействия с контролируемым лицом проводятся должностными лицами Управления Роскомнадзора по Кемеровской области-Кузбассу на основании заданий на проведение таких мероприятий, утверждаемых руководителем (уполномоченным заместителем руководителя) Управления Роскомнадзора по Кемеровской области-Кузбассу (далее по тексту - контролирующий орган (территориальный орган).
К мероприятиям по контролю без взаимодействия с контролируемым лицом относятся: а) наблюдение за соблюдением требований при размещении информации в сети «Интернет»; б) наблюдение за соблюдением требований посредством анализа информации о деятельности контролируемого лица, которая представляется контролируемым лицом (в том числе посредством использования федеральных государственных информационных систем) в контролирующий орган (территориальный орган) в соответствии с федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации или может быть получена (в том числе в рамках межведомственного информационного взаимодействия).
Задание на проведение мероприятия по контролю без взаимодействия с контролируемым лицом выдается в случае: а) наличия поручения Президента Российской Федерации, поручения Правительства Российской Федерации, а также руководителя контролирующего органа; б) обращения государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица, публикации в средствах массовой информации и размещения в сети «Интернет» информации о нарушении прав и законных интересов субъекта (субъектов) персональных данных и (или) нарушении требований.
При выявлении по итогам проведения мероприятия по контролю без взаимодействия с контролируемым лицом нарушения (признаков нарушения) требований оператору персональных данных направляется требование об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных в течение 10 рабочих дней с информированием контролирующего органа (территориального органа) об исполнении указанного требования либо с представлением мотивированных пояснений по существу выявленных признаков нарушения требований.
Выявленные по итогам проведения мероприятия по контролю без взаимодействия с контролируемым лицом сведения о причинении вреда (ущерба) или об угрозе причинения вреда (ущерба) охраняемым законом ценностям направляются уполномоченному должностному лицу контролирующим органом (территориального органа) для принятия решений в соответствии со статьей 60 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».
ПРОФИЛАКТИЧЕСКИЙ ВИЗИТ
В соответствии с п. 13, п. 30 - п. 36 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утверждённого постановлением Правительства Российской Федерации от 29.06.2021 № 1046, при осуществлении государственного контроля (надзора) за обработкой персональных данных могут проводиться профилактические мероприятия - профилактические визиты.
Контролируемое лицо в соответствии с частью 6 статьи 52 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» имеет право отказаться от проведения обязательного профилактического визита, при этом оно должно уведомить об отказе контролирующий орган (территориальный орган) не позднее чем за 3 рабочих дня до даты его проведения.
Обязательные профилактические визиты проводятся контролирующим органом (территориальным органом) в соответствии со статьей 52 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» в отношении объектов контроля, отнесенных к категориям высокого и значительного риска, а также в отношении контролируемых лиц, приступающих к осуществлению деятельности в сфере обработки персональных данных.
О проведении обязательного профилактического визита контролируемое лицо должно быть уведомлено не позднее чем за 5 рабочих дней до даты его проведения.
Срок проведения обязательного профилактического визита не может превышать 5 рабочих дней.
Обязательный профилактический визит при его проведении по месту осуществления деятельности контролируемого лица начинается с предъявления должностными лицами контролирующего органа (территориального органа) служебного удостоверения, вручения руководителю контролируемого лица или иному уполномоченному представителю контролируемого лица письменного запроса о представлении документов и информации, необходимых для проведения обязательного профилактического визита. В случае проведения обязательного профилактического визита в режиме видео-конференц-связи должностное лицо контролирующего органа (территориального органа) осуществляет необходимые действия посредством использования электронных каналов связи.
Срок проведения профилактического визита не может превышать 5 рабочих дней.
По итогам проведения обязательного профилактического визита составляются разъяснения рекомендательного характера по организации контролируемым лицом деятельности по обработке персональных данных.
В случае если при проведении обязательного профилактического визита установлено, что объекты контроля представляют явную непосредственную угрозу причинения вреда (ущерба) охраняемым законом ценностям или такой вред (ущерб) причинен, должностное лицо (лица) незамедлительно направляет информацию об этом уполномоченному должностному лицу контролирующего органа (территориального органа) для принятия решения о проведении контрольных (надзорных) мероприятий.
Перечень нормативных правовых актов:
Кодекс Российской Федерации об административных правонарушениях
Трудовой кодекс Российской Федерации
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
В ходе осуществления контрольных (надзорных) мероприятий проверяется, в том числе:
факт уведомления уполномоченного органа об обработке персональных данных;
наличие документов, подтверждающих получение в установленных законодательством Российской Федерации случаях согласия субъекта персональных данных на обработку его персональных данных в письменной или иной форме;
наличие документов, подтверждающих соблюдение обязательных требований в области персональных данных, в том числе при обработке специальных категорий и биометрических персональных данных;
наличие документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки;
наличие локальных актов, определяющих политику Оператора в отношении обработки персональных данных, по вопросам обработки персональных данных, а также устанавливающих процедуры, направленные на предотвращение и выявление нарушений обязательных требований в области персональных данных, устранение последствий таких нарушений;
соблюдение установленного порядка и условий обработки персональных данных.
Наиболее распространенные нарушения, выявленные при осуществлении контрольных (надзорных) мероприятий:
нарушение требований конфиденциальности при обработке персональных данных;
несоблюдение оператором требований по информированию лиц, осуществляющих обработку персональных данных без использования средств автоматизации;
отсутствие у оператора мест хранения персональных данных (материальных носителей), перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
отсутствие в поручении лицу, которому оператором поручается обработка персональных данных, обязанности соблюдения конфиденциальности персональных данных и обеспечения их безопасности, требований к защите обрабатываемых персональных данных;
непринятие оператором мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
Время публикации: 09.06.2020 15:04
Последнее изменение: 11.04.2022 17:54
