13.07.2021
Вместе с Постановлением Правительства РФ от 29.06.2021 N 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных" данный закон устанавливает правила проведения проверок Роскомнадзора.Основным новшеством стало то, что теперь Роскомнадзор при проведении проверок будет использовать риск-ориентированный подход. Все поднадзорные объекты будут занесены в единую информационную систему, и каждый из них будет отнесен к одной из категорий риска причинения вреда (ущерба). Категорий риска будет пять
• высокий;
• значительный;
• средний;
• умеренный;
• низкий.
Для отнесения объекта к одной из категорий риска будет применяться два критерия. Во-первых, тяжесть потенциальных негативных последствий несоблюдения контролируемым лицом обязательных требований. Всего групп тяжести будет четыре, «А», «Б», «В» и «Г», где «А» самая высокая.
К группе тяжести «А» относятся следующие виды деятельности:
• обработка специальной категории ПДн и (или) биометрических ПДн;
• сбор ПДн в базах данных за пределами РФ;
• трансграничная передача ПДн в страны, не обеспечивающие адекватную защиту прав субъектов ПДн;
• передача третьим лицам ПДн, полученных в результате обезличивания с использованием методов обезличивания, утвержденных в соответствии с законодательством РФ в области ПДн.
Группа тяжести «Б»:
• обработка ПДн в целях, отличных от заявленных на этапе сбора;
• обработка ПДн несовершеннолетних лиц в случаях, не предусмотренных федеральными законами;
• обработка ПДн в ИСПДн, содержащих ПДн более чем 20000 субъектов ПДн;
• сбор ПДн, в том числе через интернет, с использованием иностранных программ и сервисов.
Группа тяжести «В»:
• обработка ПДн близких родственников субъекта ПДн;
• обработка ПДн в ИСПДн, содержащих ПДн от 1000 до 20000 субъектов ПДн;
• трансграничная передача ПДн в страны, включенные в перечень Роскомнадзора, как обеспечивающие адекватную защиту прав субъектов ПДн;
• обезличивание ПДн, обработка ПДн, полученных в результате обезличивания с использованием методов обезличивания, утвержденных в соответствии с законодательством РФ в области ПДн.
Группа тяжести «Г»:
• обработка ПДн в ИСПДн, содержащих ПДн менее чем 1000 субъектов ПДн;
• обработка ПДн без уведомления Роскомнадзора;
• обработка ПДн, полученных из общедоступных источников ПДн;
• трансграничная передача ПДн на территорию стран, являющихся сторонами Конвенции Совета Европы.
С учетом оценки вероятности несоблюдения контролируемыми лицами обязательных требований деятельность, подлежащая государственному контролю, будет разделена на группы вероятности от 1 до 4, где 1 самая высокая.
Группа вероятности 1:
• деятельность контролируемых лиц, осуществляемая с нарушениями, за которые предусмотрена ответственность в соответствии с частями 1.1, 2.1, 5.1, 9 статьи 13.11 КоАП РФ (повторные нарушения) по фактам которых в течение последних двух лет Роскомнадзор выдавал контролируемому лицу предписания, требования или предупреждения;
• в течение 3 календарных лет вступили в силу законные решения о назначении административного наказания.
Группа вероятности 2:
• деятельность контролируемых лиц, осуществляемая с нарушениями, за которые предусмотрена ответственность в соответствии с частями 1, 2, 5, 6, 8 статьи 13.11 КоАП РФ (первичные нарушения) по фактам которых в течение последних двух лет Роскомнадзор выдавал контролируемому лицу предписания, требования или предупреждения;
• в течение 3 календарных лет вступили в силу законные решения о назначении В дальнейшем, на основании комбинаций группы тяжести и группы вероятности контролируемые лица будет отнесены к одной из категорий риска.
Группа вероятности 3:
• деятельность контролируемых лиц, осуществляемая с нарушениями, за которые предусмотрена ответственность в соответствии с частями 4, 7 статьи 13.11 КоАП РФ (первичные нарушения) по фактам которых в течение последних двух лет Роскомнадзор выдавал контролируемому лицу предписания, требования или предупреждения;
• в течение 3 календарных лет вступили в силу законные решения о назначении В дальнейшем, на основании комбинаций группы тяжести и группы вероятности контролируемые лица будет отнесены к одной из категорий риска.
Группа вероятности 4:
• деятельность контролируемых лиц при отсутствии обстоятельств, указанных для остальных трех групп.
В зависимости от комбинации группы тяжести и группы вероятности контролируемое лицо относится к одной из категорий риска:
Группа
вероятности
Группа
вероятности
|
Группа вероятности
Группа тяжести |
1 |
2 |
3 |
4 |
|
А |
высокий |
значительный |
значительный |
средний |
|
Б |
высокий |
значительный |
средний |
умеренный |
|
В |
значительный |
значительный |
средний |
умеренный |
|
Г |
средний |
средний |
умеренный |
низкий |
Плановые проверки относительно объектов контроля, отнесенных к категории высокого риска, будут проводиться с периодичностью один раз в 2 года, значительного риска – один раз в 3 года, среднего риска – один раз в 4 года, умеренного риска – один раз в 6 лет. В отношении контролируемых лиц, деятельность которых в связи с обработкой персональных данных отнесена к категории низкого риска, плановые мероприятия не проводятся.
При профилактике рисков причинения вреда охраняемым законом ценностям Роскомнадзор будет применять следующие профилактические мероприятия:
• информирование,
• обобщение правоприменительной практики,
• объявление предостережения,
• консультирование,
• профилактический визит.
В рамках федерального государственного контроля (надзора) остаются плановые и внеплановые контрольные (надзорные) мероприятия. К ним относятся инспекционный визит, документарная проверка и выездная проверка.
Для фиксации должностным лицом регулятора доказательств нарушений требований законодательства может использоваться фотосъемка, аудио- и видеозапись, применяться персональные компьютеры, ноутбуки, съемные электронные носители информации, копировальные аппараты, сканеры, телефоны (в том числе сотовой связи), механические, программные и электронные средства измерения и фиксации, в том числе принадлежащие контролируемому лицу.
По окончании проведения контрольного (надзорного) мероприятия составляется акт мероприятия. Оформление акта производится на месте проведения контрольного (надзорного) мероприятия в день окончания такого мероприятия. При большом количестве документов, значительном количестве видов деятельности, разветвленности организационно-хозяйственной структуры оператора, оформление и вручение акта производится не позднее 5 рабочих дней со дня окончания контрольного (надзорного) мероприятия.
Также за Роскомнадзором сохраняется обязанность проводить мероприятия по контролю без взаимодействия с контролируемым лицом.
Теги: изменения регуляторы