Главная / Новости / Утверждено положение о федеральном госконтроле за обработкой персональных данных

Утверждено положение о федеральном госконтроле за обработкой персональных данных

02 июля 2021
Утверждено положение о федеральном госконтроле за обработкой персональных данных

Постановление правительства от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» подписано и опубликовано на официальном портале правовой информации в среду.

Документ вступил в силу с 1 июля 2021 года.

D-Russia.ru напоминает: документ устанавливает, что «предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных Федеральным законом "О персональных данных" и принимаемыми ‎в соответствии с ним иными нормативными правовыми актами Российской Федерации».

Госконтроль осуществляет Роскомнадзор и его территориальные органы.

Объектами контроля являются:

  • деятельность и результаты деятельности операторов и третьих лиц, действующих по поручению оператора (объекты контроля), по обработке ПД, осуществляемой с использованием и (или) без использования средств автоматизации;
  • результаты деятельности по разработке документов и локальных актов контролируемых лиц по обработке персональных данных, указанных в части статьи 18.1 Федерального закона «О персональных данных», и принятых оператором мер, указанных в части статьи 18 Федерального закона «О персональных данных».

Контролирующим органом учет объектов контроля обеспечивается посредством ведения единой информационной системы контролирующего органа, предусматривающей соответствующий функционал, говорится в документе.

Для госконтроля за обработкой ПД применяется система оценки и управления рисками. В документе перечислены критерии отнесения объектов контроля к разным категориям рисков. В зависимости от категории должны проводиться определенные мероприятия (инспекционный визит; выездная проверка; документарная проверка) с установленной периодичностью. Также описаны действия Роскомнадзора, которые можно применять для профилактики правонарушений (информирование, консультирование, профилактический визит и пр.)

В документе устанавливается, что является результатом контрольного мероприятия, и описывается порядок обжалования решений Роскомнадзора и действий (бездействия) его должностных лиц.

Отдельная глава посвящена организации и проведению мероприятий по контролю без взаимодействия с операторами – они проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований.

К мероприятиям по контролю без взаимодействия с операторами персональных данных относятся:

  • наблюдение за соблюдением требований при размещении информации в Интернете и средствах массовой информации;
  • наблюдение за соблюдением требований посредством анализа информации о деятельности оператора ПД (эта информация или представляется в Роскомнадзор оператором ПД, в том числе посредством использования федеральных государственных информационных систем, или может быть получена в рамках межведомственного информационного взаимодействия).

Критерии отнесения объектов контроля к определенной категории риска

С учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований, деятельность контролируемого лица, подлежащая федеральному контролю, разделяется на группы тяжести «А», «Б», «В» ‎и «Г».

К группе тяжести «А» относятся следующие виды деятельности:

  • обработка специальной категории ПД и(или) биометрических ПД;
  • сбор ПД, в том числе в Интернете, осуществляемый с использованием баз данных, находящихся за пределами РФ;
  • трансграничная передача ПД на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включённых в утверждаемый Роскомнадзором перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и обеспечивающих адекватную защиту прав субъектов ПД;
  • передача третьим лицам ПД, полученных ‎в результате обезличивания с использованием методов обезличивания, утверждённых правительством РФ.

К группе тяжести «Б» относятся следующие виды деятельности:

  • обработка ПД в целях, отличных от заявленных целей обработки ПД на этапе их сбора;
  • обработка ПД несовершеннолетних лиц ‎в случаях, не предусмотренных федеральными законами;
  • обработка ПД в информационных системах ПД, содержащих ПД более чем 20 тысяч субъектов ПД в пределах региона РФ или РФ в целом;
  • сбор ПД, в том числе в Интернете, осуществляемый с использованием иностранных программ и сервисов.

К группе тяжести «В» относятся следующие виды деятельности:

  • обработка ПД близких родственников субъекта ПД;
  • обработка ПД в информационных системах ПД, содержащих ПД от одной тысячи до 20 тысяч субъектов ПД;
  • трансграничная передача ПД на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и включенных в утверждаемый Роскомнадзором перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД ‎и обеспечивающих адекватную защиту прав субъектов ПД;
  • обезличивание ПД, обработка ПД, полученных в результате обезличивания, с использованием методов обезличивания, утвержденных правительством РФ, без передачи третьим лицам.

К группе тяжести «Г» относятся следующие виды деятельности:

  • обработка ПД с нарушениями, выявленными Роскомнадзором в течение последних двух лет ‎по результатам мероприятий по контролю без взаимодействия ‎с операторами;
  • обработка ПД в информационных системах ПД, содержащих ПД менее чем одной тысячи субъектов ПД;
  • обработка ПД без предоставления ‎в Роскомнадзор информации уведомительного характера, предоставление которой предусмотрено федеральным законом «О персональных данных»;
  • обработка ПД, полученных из общедоступных источников ПД;
  • трансграничная передача ПД на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД.

При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам тяжести, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.

Источник: Экспертный центр Электронного государства

Читайте также: