Анализ нового регламента контрольно-надзорной деятельности в сфере персональных данных

Целью настоящей статьи является анализ ключевых новаций и механизмов, внедренных новым Положением.

1. Уполномоченный орган и предмет контроля

В соответствии с пунктом 2 Постановления и разделом I Положения, федеральный государственный контроль (надзор) осуществляется Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и ее территориальными органами.

Предметом контроля является соблюдение операторами обязательных требований, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Под оператором понимается лицо, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, включая определение целей и состава обрабатываемых данных.

2. Риск-ориентированный подход

Наиболее значимым изменением, введенным Положением, является полноценное внедрение риск-ориентированной модели контроля (Раздел II). Данный подход предусмотрен Федеральным законом от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации».

Все объекты контроля (операторы) распределяются по одной из пяти категорий риска причинения вреда (ущерба) охраняемым законом ценностям:

• Высокий риск

• Значительный риск

• Средний риск

• Умеренный риск

• Низкий риск

Отнесение к категории риска происходит на основе двух критериев, подробно изложенных в Приложении к Положению:

1. Группа тяжести потенциальных негативных последствий (А, Б, В, Г): Определяется видами осуществляемой деятельности. Например, к высшей группе тяжести «А» относится обработка специальных или биометрических категорий данных, обработка данных более 100 000 субъектов, трансграничная передача в государства, не обеспечивающие адекватную защиту, и др.

2. Группа вероятности нарушения (1, 2, 3, 4): Определяется историей соблюдения оператором законодательства. Наивысшая группа вероятности «1» присваивается при наличии вступивших в силу постановлений о привлечении к административной ответственности по наиболее серьезным составам нарушений (например, по ч. 1.1, 2.1, 5.1 ст. 13.11 КоАП РФ) в течение предшествующих 3 лет.

Итоговая категория риска определяется путем соотнесения группы тяжести и группы вероятности по специальной таблице (п. 13 Приложения).

Практическое значение категории риска:

• Высокий риск: Проводится одно плановое контрольное мероприятие в 2 года или один обязательный профилактический визит в год.

• Значительный, средний, умеренный риск: Проводятся только обязательные профилактические визиты с установленной периодичностью.

• Низкий риск: Плановый контроль и обязательные профилактические визиты не проводятся.

Это означает, что основное внимание Роскомнадзора будет сконцентрировано на операторах, чья деятельность связана с наибольшими рисками для прав субъектов персональных данных.

Как определить категорию риска оператора персональных данных по 1046 постановлению

Для определения категории риска необходимо:

1. Найти группу тяжести своей деятельности в левой части таблицы.
2. Найти группу вероятности в верхней части таблицы.
3. Найти итоговую категорию риска на пересечении выбранных строки и столбца.

* Обязательные профилактические визиты для категорий значительного, среднего и умеренного риска проводятся с периодичностью, установленной Правительством Российской Федерации в соответствии с законодательством.
При наличии критериев для отнесения к разным группам тяжести или вероятности применяется критерий, относящий деятельность к наивысшей возможной категории риска.
На операторов с категорией «Низкий риск» плановый контроль не распространяется.

3. Акцент на профилактике

Раздел III Положения детально регламентирует проведение профилактических мероприятий, что соответствует общей тенденции развития контрольно-надзорной деятельности в России. К таким мероприятиям относятся:

• Информирование (через официальный сайт, СМИ, личные кабинеты).

• Обобщение правоприменительной практики (ежегодный доклад).

• Объявление предостережений о недопустимости нарушения обязательных требований.

• Консультирование по вопросам соблюдения законодательства.

• Профилактические визиты (как по инициативе органа, так и по заявлению оператора).

Профилактический визит может проводиться очно, посредством видео-конференц-связи или с использованием мобильного приложения «Инспектор». Его срок не может превышать 10 рабочих дней.

4. Виды и порядок контрольных мероприятий

Раздел IV Положения устанавливает исчерпывающий перечень контрольных (надзорных) мероприятий:

1. Инспекционный визит: Проводится по месту нахождения оператора или дистанционно. Срок — не более 1 рабочего дня. В рамках визита возможны осмотр, опрос, истребование документов.

2. Документарная проверка: Проводится по месту нахождения контролирующего органа. Срок — не более 10 рабочих дней. Основные действия — истребование и анализ документов.

3. Выездная проверка: Наиболее полная форма контроля, проводимая по месту нахождения оператора. Срок — не более 10 рабочих дней. Помимо действий, характерных для инспекционного визита, может включать инструментальное обследование и экспертизу.

Важным нововведением является возможность проведения всех видов мероприятий с использованием средств дистанционного взаимодействия (видеоконференц-связь, мобильное приложение «Инспектор»), что повышает эффективность надзора.

5. Контроль без взаимодействия

Раздел VII Положения легализует и регламентирует проведение контрольных мероприятий без непосредственного взаимодействия с оператором. К ним относится:

• Наблюдение за соблюдением требований при размещении информации в сети «Интернет».

• Анализ информации о деятельности оператора, представленной в госорганы или полученной в рамках межведомственного взаимодействия.

При выявлении нарушений в ходе такого контроля Роскомнадзор может направить оператору требование об устранении нарушений, уточнении данных или объявить предостережение.

6. Прозрачность и обжалование

Раздел VI детально прописывает процедуру обжалования решений и действий Роскомнадзора. Контролируемые лица имеют право подать жалобу в вышестоящий орган в установленные сроки (30 календарных дней для общих решений, 10 рабочих дней для предписаний). Жалоба должна быть рассмотрена в течение 15 рабочих дней.

Заключение

Постановление Правительства РФ № 1046 и утвержденное им Положение представляют собой современный, структурированный и детализированный регламент контрольно-надзорной деятельности в крайне важной сфере — защите персональных данных.

Ключевые выводы:

1. Контроль становится системным и избирательным, фокусируясь на операторах с наиболее рискованной деятельностью, что соответствует лучшим практикам организации надзора.

2. Значительно усилен профилактический компонент, что позволяет предотвращать нарушения на ранней стадии.

3. Внедрены современные дистанционные форматы взаимодействия (видеоконференц-связь, мобильное приложение), повышающие оперативность и эффективность надзора.

4. Процедуры контроля и обжалования детально регламентированы, что способствует большей прозрачности и предсказуемости для бизнеса.

Операторам персональных данных необходимо провести внутренний аудит своей деятельности, чтобы самостоятельно определить свою потенциальную категорию риска в соответствии с установленными критериями, и быть готовыми к новым форматам взаимодействия с Роскомнадзором в рамках профилактических и контрольных мероприятий.