Опубликован доработанный проект постановления правительства РФ о госнадзоре за обработкой ПД

263

Минцифры опубликовало доработанный по итогам общественного обсуждения проект постановления правительства «Об утверждении положения о федеральном государственном контроле (надзоре) за обработкой персональных данных» (ПД).

В результате принятия части предложений документ был переработан и теперь содержит следующее положение: «Предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных Федеральным законом «О персональных данных» и принимаемыми ‎в соответствии с ним иными нормативными правовыми актами Российской Федерации».

Госконтроль осуществляет Роскомнадзор и его территориальные органы.

В проекте постановления перечисляются должностные лица, уполномоченные проводить контрольные мероприятия. Контролируется:

  • деятельность операторов и третьих лиц, действующих по поручению оператора, по обработке ПД;
  • результаты деятельности контролируемых лиц по обработке ПД – в том числе в информационных системах ПД;
  • результаты деятельности по разработке документов и локальных актов контролируемых лиц по обработке ПД ‎и принятых оператором оговорённых законодательством мер.

Для госконтроля за обработкой ПД применяется система оценки и управления рисками. В документе перечислены критерии отнесения объектов контроля к разным категориям рисков. В зависимости от категории должны проводиться определённые мероприятия (инспекционный визит; выездная проверка; документарная проверка) с установленной периодичностью. Также описаны действия Роскомнадзора, которые можно применять для профилактики правонарушений (информирование, консультирование, профилактический визит и пр.)

В документе устанавливается, что является результатом контрольного мероприятия, и описывается порядок обжалования решений Роскомнадзора и действий (бездействия) его должностных лиц.

Отдельная глава посвящена организации и проведению мероприятий по контролю без взаимодействия с операторами – они проводятся в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований.

К мероприятиям по контролю без взаимодействия с операторами персональных данных относятся:

  • наблюдение за соблюдением требований при размещении информации в Интернете и средствах массовой информации;
  • наблюдение за соблюдением требований посредством анализа информации о деятельности оператора ПД (эта информация или представляется в Роскомнадзор оператором ПД, в том числе посредством использования федеральных государственных информационных систем, или может быть получена в рамках межведомственного информационного взаимодействия).
Критерии отнесения объектов контроля к определённой категории риска

С учётом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований, деятельность контролируемого лица, подлежащая федеральному контролю, разделяется на группы тяжести «А», «Б», «В» ‎и «Г».

К группе тяжести «А» относятся следующие виды деятельности:

  • обработка специальной категории ПД и(или) биометрических ПД;
  • сбор ПД, в том числе в Интернете, осуществляемый с использованием баз данных, находящихся за пределами РФ;
  • трансграничная передача ПД на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включённых в утверждаемый Роскомнадзором перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и обеспечивающих адекватную защиту прав субъектов ПД;
  • передача третьим лицам ПД, полученных ‎в результате обезличивания с использованием методов обезличивания, утверждённых правительством РФ.

К группе тяжести «Б» относятся следующие виды деятельности:

  • обработка ПД в целях, отличных от заявленных целей обработки ПД на этапе их сбора;
  • обработка ПД несовершеннолетних лиц ‎в случаях, не предусмотренных федеральными законами;
  • обработка ПД в информационных системах ПД, содержащих ПД более чем 20 тысяч субъектов ПД в пределах региона РФ или РФ в целом;
  • сбор ПД, в том числе в Интернете, осуществляемый с использованием иностранных программ и сервисов.

К группе тяжести «В» относятся следующие виды деятельности:

  • обработка ПД близких родственников субъекта ПД;
  • обработка ПД в информационных системах ПД, содержащих ПД от одной тысячи до 20 тысяч субъектов ПД;
  • трансграничная передача ПД на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД и включенных в утверждаемый Роскомнадзором перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД ‎и обеспечивающих адекватную защиту прав субъектов ПД;
  • обезличивание ПД, обработка ПД, полученных в результате обезличивания, с использованием методов обезличивания, утвержденных правительством РФ, без передачи третьим лицам.

К группе тяжести «Г» относятся следующие виды деятельности:

  • обработка ПД с нарушениями, выявленными Роскомнадзором в течение последних двух лет ‎по результатам мероприятий по контролю без взаимодействия ‎с операторами;
  • обработка ПД в информационных системах ПД, содержащих ПД менее чем одной тысячи субъектов ПД;
  • обработка ПД без предоставления ‎в Роскомнадзор информации уведомительного характера, предоставление которой предусмотрено федеральным законом «О персональных данных»;
  • обработка ПД, полученных из общедоступных источников ПД;
  • трансграничная передача ПД на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПД.

При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам тяжести, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.

Постановление в случае его утверждения должно вступить в силу с 1 июля 2021 года.

Проектом постановления предусматривается признание утратившим силу постановление правительства от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных». Напомним, о том, что прежний регламент госнадзора за обработкой ПД утратит силу, Минцифры сообщало в июне прошлого года.

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: