Цвет:
  • B
  • B
  • B
Шрифт:
  • A
  • A
  • A
  • Arial
  • Times
  • Open Sans
  • Абв
  • Абв
Полная версия

Информация в сфере персональных данных для операторов, осуществляющих обработку персональных данных

 Порядок организации и осуществления федерального государственного контроля (надзора) за обработкой персональных данных устанавливается Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных, утверждённым постановлением Правительства Российской Федерации от 29.06.2021 № 1046.

ОРГАНИЗАЦИЯ И ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ ПО КОНТРОЛЮ

БЕЗ ВЗАИМОДЕЙСТВИЯ С КОНТРОЛИРУЕМЫМ ЛИЦОМ

 Мероприятия по контролю без взаимодействия с контролируемым лицом проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований.

Мероприятия по контролю без взаимодействия с контролируемым лицом проводятся должностными лицами Управления Роскомнадзора по Кемеровской области-Кузбассу на основании заданий на проведение таких мероприятий, утверждаемых руководителем (уполномоченным заместителем руководителя) Управления Роскомнадзора по Кемеровской области-Кузбассу (далее по тексту - контролирующий орган (территориальный орган).

К мероприятиям по контролю без взаимодействия с контролируемым лицом относятся: а) наблюдение за соблюдением требований при размещении информации в сети «Интернет»; б) наблюдение за соблюдением требований посредством анализа информации о деятельности контролируемого лица, которая представляется контролируемым лицом (в том числе посредством использования федеральных государственных информационных систем) в контролирующий орган (территориальный орган) в соответствии с федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации или может быть получена (в том числе в рамках межведомственного информационного взаимодействия).

Задание на проведение мероприятия по контролю без взаимодействия с контролируемым лицом выдается в случае: а) наличия поручения Президента Российской Федерации, поручения Правительства Российской Федерации, а также руководителя контролирующего органа; б) обращения государственного органа, муниципального органа, юридического лица, индивидуального предпринимателя, физического лица, публикации в средствах массовой информации и размещения в сети «Интернет» информации о нарушении прав и законных интересов субъекта (субъектов) персональных данных и (или) нарушении требований.

При выявлении по итогам проведения мероприятия по контролю без взаимодействия с контролируемым лицом нарушения (признаков нарушения) требований оператору персональных данных направляется требование об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных в течение 10 рабочих дней с информированием контролирующего органа (территориального органа) об исполнении указанного требования либо с представлением мотивированных пояснений по существу выявленных признаков нарушения требований.

Выявленные по итогам проведения мероприятия по контролю без взаимодействия с контролируемым лицом сведения о причинении вреда (ущерба) или об угрозе причинения вреда (ущерба) охраняемым законом ценностям направляются уполномоченному должностному лицу контролирующим органом (территориального органа) для принятия решений в соответствии со статьей 60 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

ПРОФИЛАКТИЧЕСКИЙ ВИЗИТ

 В соответствии с п. 13, п. 30 - п. 36 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утверждённого постановлением Правительства Российской Федерации от 29.06.2021 № 1046, при осуществлении государственного контроля (надзора) за обработкой персональных данных могут проводиться профилактические мероприятия - профилактические визиты.

Контролируемое лицо в соответствии с частью 6 статьи 52 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» имеет право отказаться от проведения обязательного профилактического визита, при этом оно должно уведомить об отказе контролирующий орган (территориальный орган) не позднее чем за 3 рабочих дня до даты его проведения.

Обязательные профилактические визиты проводятся контролирующим органом (территориальным органом) в соответствии со статьей 52 Федерального закона «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» в отношении объектов контроля, отнесенных к категориям высокого и значительного риска, а также в отношении контролируемых лиц, приступающих к осуществлению деятельности в сфере обработки персональных данных.

О проведении обязательного профилактического визита контролируемое лицо должно быть уведомлено не позднее чем за 5 рабочих дней до даты его проведения.

Срок проведения обязательного профилактического визита не может превышать 5 рабочих дней.

Обязательный профилактический визит при его проведении по месту осуществления деятельности контролируемого лица начинается с предъявления должностными лицами контролирующего органа (территориального органа) служебного удостоверения, вручения руководителю контролируемого лица или иному уполномоченному представителю контролируемого лица письменного запроса о представлении документов и информации, необходимых для проведения обязательного профилактического визита. В случае проведения обязательного профилактического визита в режиме видео-конференц-связи должностное лицо контролирующего органа (территориального органа) осуществляет необходимые действия посредством использования электронных каналов связи.

Срок проведения профилактического визита не может превышать 5 рабочих дней.

По итогам проведения обязательного профилактического визита составляются разъяснения рекомендательного характера по организации контролируемым лицом деятельности по обработке персональных данных.

В случае если при проведении обязательного профилактического визита установлено, что объекты контроля представляют явную непосредственную угрозу причинения вреда (ущерба) охраняемым законом ценностям или такой вред (ущерб) причинен, должностное лицо (лица) незамедлительно направляет информацию об этом уполномоченному должностному лицу контролирующего органа (территориального органа) для принятия решения о проведении контрольных (надзорных) мероприятий.

 

КРИТЕРИИ ОТНЕСЕНИЯ ОБЪЕКТОВ КОНТРОЛЯ

К ОПРЕДЕЛЕННОЙ КАТЕГОРИИ РИСКА

 

Приложение

к Положению о федеральном

государственном контроле (надзоре)

за обработкой персональных данных, утвержденному

постановлением Правительства РФ от 29.06.2021 № 1046

«О федеральном государственном контроле (надзоре)

за обработкой персональных данных»

 

 

КРИТЕРИИ ОТНЕСЕНИЯ ОБЪЕКТОВ КОНТРОЛЯ

К ОПРЕДЕЛЕННОЙ КАТЕГОРИИ РИСКА

 

1. С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований деятельность контролируемого лица, подлежащая федеральному государственному контролю (надзору), разделяется на группы тяжести «А», «Б», «В» и «Г» (далее - группы тяжести).

2. К группе тяжести «А» относятся следующие виды деятельности:

а) обработка специальной категории персональных данных и (или) биометрических персональных данных;

б) сбор персональных данных, в том числе в информационно-телекоммуникационной сети «Интернет» (далее - сеть «Интернет»), осуществляемый с использованием баз данных, находящихся за пределами Российской Федерации;

в) трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с частью 2 статьи 12 Федерального закона «О персональных данных»;

г) передача третьим лицам персональных данных, полученных в результате обезличивания с использованием методов обезличивания, утвержденных в соответствии с законодательством Российской Федерации в области персональных данных.

3. К группе тяжести «Б» относятся следующие виды деятельности:

а) обработка персональных данных в целях, отличных от заявленных целей обработки персональных данных на этапе их сбора;

б) обработка персональных данных несовершеннолетних лиц в случаях, не предусмотренных федеральными законами;

в) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные более чем 20000 субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

г) сбор персональных данных, в том числе в сети «Интернет», осуществляемый с использованием иностранных программ и сервисов.

4. К группе тяжести «В» относятся следующие виды деятельности:

а) обработка персональных данных близких родственников субъекта персональных данных;

б) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные от 1000 до 20000 субъектов персональных данных;

в) трансграничная передача персональных данных на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в соответствии с частью 2 статьи 12 Федерального закона «О персональных данных»;

г) обезличивание персональных данных, обработка персональных данных, полученных в результате обезличивания, с использованием методов обезличивания, утвержденных в соответствии с законодательством Российской Федерации в области персональных данных, без передачи третьим лицам.

5. К группе тяжести «Г» относятся следующие виды деятельности:

а) обработка персональных данных в информационных системах персональных данных, содержащих персональные данные менее чем 1000 субъектов персональных данных;

б) обработка персональных данных без предоставления в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций информации уведомительного характера, предоставление которой предусмотрено Федеральным законом «О персональных данных»;

в) обработка персональных данных, полученных из общедоступных источников персональных данных;

г) трансграничная передача персональных данных на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

6. При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам тяжести, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.

7. С учетом оценки вероятности несоблюдения контролируемыми лицами обязательных требований деятельность, подлежащая государственному контролю (надзору), разделяется на группы вероятности «1», «2», «3», «4» (далее - группы вероятности).

8. К группе вероятности «1» относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1.1, 2.1, 5.1, 9 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;

в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.

9. К группе вероятности «2» относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1, 2, 5, 6, 8 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;

в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.

10. К группе вероятности «3» относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 4, 7 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;

в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.

11. К группе вероятности «4» относится деятельность контролируемых лиц при отсутствии обстоятельств, указанных в пунктах 8 - 10 настоящего приложения.

12. При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам вероятности, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.

13. Отнесение деятельности контролируемого лица к определенной категории риска основывается на соотнесении группы тяжести и группы вероятности согласно таблице:

 

Категория риска

Группа тяжести

Группа вероятности

Высокий риск

А

1

 

Б

1

Значительный риск

А

2

 

А

3

 

Б

2

 

В

1

 

В

2

Средний риск

А

4

 

Б

3

 

В

3

 

Г

1

 

Г

2

Умеренный риск

Б

4

 

В

4

 

Г

3

Низкий риск

Г

4

 

В соответствии с ч. 1 ст. 23 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», п. 1, п. 5.2.4 Положения о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденного постановление Правительства Российской Федерации от 16 марта 2009 г. № 228, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) является уполномоченным органом по защите прав субъектов персональных данных. На территории Кемеровской области-Кузбасса уполномоченным органом является Управление Роскомнадзора по Кемеровской области-Кузбассу.

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» регулируются отношения, связанные с обработкой персональных данных.

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Субъект персональных данных имеет право на получение сведений об обработке его персональных данных.

Консультации по вопросам в сфере персональных данных осуществляются по телефонам (3842) 78-00-65, (3842) 78-00-67 (добавочный номер 406).

Время публикации: 14.09.2020 09:24
Последнее изменение: 11.04.2022 17:58