О федеральном государственном контроле (надзоре) за обработкой персональных данных

О государственном контроле (надзоре) за обработкой персональных данных в линии консультаций «правовое обеспечение» написано уже достаточно. К сожалению, практика образовательных организаций и то количество предостережений (предписаний), которые выдаются Роскомнадзором, заставляют снова и снова возвращаться к обсуждению данных вопросов. Надо отметить, что и законодательство по данному вопросу достаточно часто обновляется. Рассмотрим основные изменения.

1 июля 2021 года в силу вступило Постановление Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» (далее — Постановление). Поскольку в рамках «регуляторной гильотины» пересмотрены многие документы по вопросам контроля (надзора), то и вопросы контроля за персональными данными не остались в стороне. Постановление Правительства РФ от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» утратило силу. Что нового появилось в Постановлении?

изображениеРиск-ориентированный подход теперь применяется и в данном виде контроля (надзора). Управление рисками — это проведение профилактических и контрольных (надзорных) мероприятий с целью обеспечить допустимый уровень риска в определенной сфере деятельности. Управление рисками происходит на основе оценки рисков. При такой оценке контрольный (надзорный) орган определяет вероятность риска и масштаб вреда (ущерба) для охраняемых законом ценностей. Что понимается под охраняемыми законом ценностями в сфере управления рисками? Охраняемые законом ценности — это жизнь и здоровье людей, нравственность, права и законные интересы граждан и организаций, сохранность животных, растений, окружающей среды и объектов культурного наследия, оборона страны и безопасность государства, а также иные охраняемые законом ценности. Для защиты этих ценностей устанавливаются обязательные требования. Предупреждением, выявлением и пресечением их нарушений занимаются контрольные (надзорные) органы в рамках государственного контроля (надзора), муниципального контроля.

?

Контрольный (надзорный) орган для целей управления рисками относит объекты контроля к одной из категорий риска: от низкой до чрезвычайно высокой. Это напрямую влияет на периодичность проведения плановых контрольных (надзорных) мероприятий организации или ИП. Объекты с более высокой категорией риска проверяют чаще, с более низкой — реже.

В Постановлении указаны параметры, по которым юридические лица или ИП будут отнесены к той или иной категории риска. В приложении к Постановлению всё подробно указано. Коротко: с учетом тяжести потенциальных негативных последствий возможного несоблюдения контролируемым лицом обязательных требований деятельность контролируемого лица, подлежащая федеральному государственному контролю (надзору), разделяется на группы тяжести «А», «Б», «В» и «Г» («А» — самый высокий уровень, «Г» — самый низкий). Кроме разделения по группам тяжести, Постановлением введено понятие «Группа вероятностей», т. е. изначально надзорный орган (Роскомнадзор) потенциально оценит вероятность несоблюдения обязательных требований. И вот здесь очень важным моментом является получение предписаний, предостережений, которые были выданы Роскомнадзором в последнее время.

Какие группы вероятности введены? Их четыре.
К группе вероятности «1» относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1.1, 2.1, 5.1, 9 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

  • по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;
  • в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.

К группе вероятности «2» относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 1, 2, 5, 6, 8 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

  • по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;
  • в отношении которых вступили в законную силу в течение 3 календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.

К группе вероятности «3» относится деятельность контролируемых лиц, осуществляемая с нарушениями требований законодательства Российской Федерации в области персональных данных, ответственность за которые предусмотрена частями 4, 7 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях:

  • по фактам которых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в течение последних 2 лет были выданы контролируемому лицу предписание об устранении выявленных нарушений, требование об устранении нарушений, предупреждение о недопущении нарушений;
  • в отношении которых вступили в законную силу в течение 3х календарных лет, предшествующих дате принятия решения об отнесении деятельности контролируемого лица к категории риска, о назначении административного наказания.

К группе вероятности «4» относится деятельность контролируемых лиц при отсутствии обстоятельств, указанных для групп «1», «2», «3».

Важно! При наличии критериев, позволяющих отнести деятельность контролируемого лица к различным группам вероятности, подлежит применению критерий, позволяющий отнести деятельность контролируемого лица к более высокой категории риска.

Отнесение деятельности контролируемого лица к определенной категории риска основывается на соотнесении группы тяжести и группы вероятности согласно таблице:

Категория   Группа вероятности Группа риска
Высокий риск   А 1
    В 1
Значительный риск   А 2
    А 3
    Б 2
    В 1
    В 2
Средний риск    А 4
    Б 3
    В 3
    Г 1
    Г 2
Умеренный риск    Б 4
    В 4
    Г 3
Низкий риск   Г 4

 

Для любого подконтрольного лица лучший вариант — 4 «Г»!

В соответствии с требованиями Федерального закона от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации» каждой образовательной организации в сети «Интернет» ведётся официальный сайт. Именно официальный сайт является «источником» всевозможных нарушений в области персональных данных, т. к. посредством сайта персональные данные распространяются в сети «Интернет». Поскольку в Постановлении сохранён такой вид контроля как организация и проведение мероприятий по контролю без взаимодействия с контролируемым лицом, то сайт образовательной организации всегда будет под пристальным вниманием Роскомнадзора. Подробно об этом было написано в публикации от 01.07.2020.

Основные принципы и подходы к мероприятиям по контролю без взаимодействия с оператором сохранены.
Ранее Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации подготовило для общеобразовательных организаций методические рекомендации по обеспечению комплексной безопасности, с которыми можно ознакомиться в письме Минкомсвязи России от 10 апреля 2020 г. № ЛБ-С-088-8929 «О направлении методических рекомендаций». Минцифры и Роскомназор, неоднократно указывали на то, что образовательная организация и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные учащихся, законных представителей без их согласия, если иное не предусмотрено федеральным законом.

изображениеСледует обратить внимание, что размещение персональных данных несовершеннолетних (ФИО, фото-/видеоизображение, дата и место рождения, паспортные данные и др.) на официальном сайте образовательной организации не допускается, за исключением случаев, предусмотренных федеральным законом или иными нормативными правовыми актами, принятыми во исполнение федеральных законов. Необходимо отметить, что целью сбора персональных данных несовершеннолетних (о результатах олимпиад, конкурсов, о зачислении в образовательные учреждения) является информирование участников образовательных отношений (обучающихся, родителей, законных представителей учителей и иных лиц, ответственные за образование).

Учитывая, что цели сбора персональных данных предусматривают возможность получения личной информации и ее использование ограниченным кругом лиц (участниками образовательных отношений), образовательной организацией персональных данных должна быть обеспечена возможность доступа к собранным данным только рассматриваемой группе лиц. Так, доступ к обезличенным сведениям о результатах олимпиад, конкурсов, а также о зачислении в образовательные учреждения может быть предоставлен неограниченному кругу лиц.
Что имеет на практике? На официальных сайтах образовательных организаций каких только персональных данных не встретишь: списки первоклассников, приказы о зачислении на образовательные программы, особенно приказы о зачислении в 1-е классы, всевозможные списки участников различных олимпиад и конкурсов и т. д. В рамках контрольных мероприятий без взаимодействия с оператором Роскомнадзор как раз эту информацию и берёт за основу предостережений, запросов-требований, предписаний и т. д. Настоятельно рекомендуем удалить все незаконно размещённые персональные данные несовершеннолетних, а также работников (в случае, если объём размещённых персональных данных превышает законом установленный объём). Пример такого предостережения подробно рассматривался в выпуске от 01.07.2020

Возвращаясь к вопросу риск-ориентированного подхода в контрольных мероприятий, отметим, что именно надзорный орган (по каждому виду контроля) устанавливает уровень рисков и определяет категорию для юридических лиц. Как узнать информацию о категории риска? С перечнем критериев и индикаторов риска, порядком отнесения объектов контроля к категориям риска, а также с перечнем объектов контроля (кроме объектов, отнесенных к категории низкого риска) с указанием категории риска вы можете ознакомиться в том числе:

  • на официальном сайте контрольного (надзорного) органа;
  • в СМИ;
  • в личном кабинете в госинформационной системе (при его наличии).

Отметим, что сведения о категориях риска содержатся в едином реестре контрольных (надзорных) мероприятий. Правила его формирования и ведения утверждены Постановлением Правительства РФ от 16.04.2021 № 604.

В заключении скажем о плановых мероприятиях по контролю в сфере персональных данных. Плановые контрольные (надзорные) мероприятия в отношении объектов контроля в зависимости от присвоенной категории риска проводятся со следующей периодичностью:
в отношении объектов контроля, отнесенных к категории высокого риска, — инспекционный визит или выездная проверка с периодичностью один раз в 2 года;
в отношении объектов контроля, отнесенных к категории значительного риска, — инспекционный визит или выездная проверка с периодичностью один раз в 3 года;
в отношении объектов контроля, отнесенных к категории среднего риска, — инспекционный визит или документарная проверка или выездная проверка с периодичностью один раз в 4 года;
в отношении объектов контроля, отнесенных к категории умеренного риска, — документарная проверка или выездная проверка с периодичностью один раз в 6 лет.

?

В отношении контролируемых лиц, деятельность которых в связи с обработкой персональных данных отнесена к категории низкого риска, плановые контрольные (надзорные) мероприятия не проводятся.

Написать комментарий

Прикрепить файл
Вы можете прикрепить к сообщению не более пяти файлов (текст, видео, аудио), объемом не больше 5Мб каждый.

Информация персонального характера о пользователях официального сайта образовательной организации хранится и обрабатывается с соблюдением требований российского законодательства о персональных данных.

Политика оператора по обработке персональных данных

КомментарииКомментариев: 0