18 ноября 2023 года вступил в силу Приказ Минцифры России от 17.08.2023 № 720, дополняющий перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных.
Приказом Минцифры России от 15.11.2021 № 1187 утвержден перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных (далее — индикатор риска). Выявление Роскомнадзором у оператора хотя бы одного индикатора риска является основанием для проведения внепланового контрольного (надзорного) мероприятия (далее – внеплановой проверки).
Приказом Минцифры от 17.08.2023 № 720 к данному перечню добавлен новый индикатор риска, а именно:
- Установление Роскомнадзором трех и более фактов несоответствия информации, указанной оператором в уведомлениях (о намерении осуществлять обработку персональных данных; об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных; о намерении осуществлять трансграничную передачу персональных данных; о прекращении обработки персональных данных) сведениям, размещенным на принадлежащем контролируемому лицу сайте в информационно-телекоммуникационной сети «Интернет» в соответствии с ч. 2 ст. 18.1 Федерального закона «О персональных данных».
Предлагаем:
В соответствии с ч. 2 ст. 18.1 Федерального закона «О персональных данных» оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Политика в отношении обработки персональных данных должна определять для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
Роскомнадзором активно проводятся мероприятия по контролю без взаимодействия с контролируемым лицом, которые включают в себя:
a) наблюдение за соблюдением требований при размещении информации в сети «Интернет»;
b) наблюдение за соблюдением требований посредством анализа информации о деятельности контролируемого лица, которая представляется оператором (например, в уведомлении о намерении осуществлять обработку персональных данных) в Роскомнадзор или может быть получена Роскомнадзором (в том числе в рамках межведомственного информационного взаимодействия).
То есть Роскомнадзор вправе самостоятельно анализировать сайт оператора (без взаимодействия с ним). Полагаем, что в случае сравнения Роскомнадзором информации, указанной в реестре операторов персональных данных, и в политике в отношении обработки персональных данных, размещенной на сайте оператора, и выявления несоответствий в указанных сведениях, в отношении оператора может быть проведено внеплановое контрольное (надзорное) мероприятие.
Указанный выше индикатор риска действует с 18 ноября 2023 г.
Помимо приведенного выше, основанием для проведения Роскомнадзором внеплановой проверки может также стать выявление одного из следующих индикаторов риска:
- Установление Роскомнадзором в течение календарного года 10 и более фактов несоответствия сведений, предоставляемых оператором по запросу Роскомнадзора, и информации, поступившей в Роскомнадзор от граждан, в части, касающейся наличия в деятельности оператора признаков неправомерной обработки их персональных данных.
Предлагаем:
В соответствии с п. 1 ч. 3 ст. 23 Федерального закона «О персональных данных» Роскомнадзор имеет право запрашивать у физических или юридических лиц (операторов) информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию. Оператор обязан сообщить в Роскомнадзор необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.
В то же время согласно ч. 1 ст. 17 Федерального закона «О персональных данных», если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в Роскомнадзор или в судебном порядке.
Если в течение календарного года Роскомнадзором будет установлено 10 и более фактов несоответствия сведений, предоставляемых оператором, и информации, поступившей от субъектов персональных данных, в отношении оператора может быть проведено внеплановое контрольное (надзорное) мероприятие.
Установление Роскомнадзором в течение календарного года 10 и более фактов предоставления неограниченному кругу лиц доступа к базам персональных данных и (или) распространения баз персональных данных в информационно-телекоммуникационной сети «Интернет», имеющих признаки принадлежности оператору.
Предлагаем:
Видимо, в данном случае речь идет об «утечках» персональных данных в тех случаях, когда невозможно достоверно определить, кому именно принадлежит база данных, подверженная «утечке», однако по отдельным признакам можно говорить о принадлежности базы данных определенному оператору.
Необходимо знать, что предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных ФЗ «О персональных данных» и принимаемыми в соответствии с ним иными нормативными правовыми актами.
В соответствии с п. 37 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, такой контроль (надзор) осуществляется посредством проведения плановых и внеплановых контрольных (надзорных) мероприятий (далее – проверок).
Исходя из положений п. 11(3) Постановления Правительства РФ от 10.03.2022 № 336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля» до 2030 года в планы проведения плановых проверок включаются проверки только в отношении операторов, отнесенных к категории высокого риска.
Что касается внеплановых проверок, то в 2023 году они проводятся исключительно по основаниям, перечисленным в пункте 3 Постановления Правительства № 336, в том числе:
- при выявлении индикаторов риска нарушения обязательных требований;
- по решению руководителя, заместителя руководителя Роскомнадзора, в случае если установлен факт распространения (предоставления) в сети «Интернет» баз данных (или их части), содержащих персональные данные.
В соответствии с положениями ч. 2 ст. 90 Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» в случае выявления несоответствий требованиям законодательства результатом проведенной внеплановой проверки может стать:
- предписание об устранении выявленных нарушений;
- административная ответственность;
- уголовная ответственность.
Также напомним, что административная ответственность за нарушение законодательства РФ в области персональных данных установлена ст. 13.11 Кодекса РФ об административных правонарушениях. Например, в случае отсутствия у оператора согласий на обработку персональных данных (если их получение обязательно), на него может быть наложен административный штраф в размере от 60 тысяч до 100 тыс. руб.
А в случае использования оператором баз данных, находящихся за пределами территории РФ, при сборе персональных данных, в том числе посредством сети «Интернет», штраф может составить от 1 млн руб. до 6 млн руб.
Предлагаем следующее:
Проведение Роскомнадзором внеплановой проверки (даже в условиях действующих ограничений) в отношении оператора возможно в следующих случаях:
- если в течение календарного года Роскомнадзором будет установлено 10 и более фактов несоответствия сведений, предоставляемых оператором, и информации, поступившей от субъектов персональных данных (недовольных клиентов/бывших работников/конкурентов);
- если в течение календарного года Роскомнадзором будет установлено 10 и более фактов утечек баз персональных данных, имеющих признаки принадлежности оператору;
- если в результате сравнения Роскомнадзором информации, указанной в реестре операторов персональных данных, и в политике в отношении обработки персональных данных, размещенной на сайте оператора, будет выявлено 3 и более фактов несоответствия.
Таким образом, у каждого оператора персональных данных есть риск проведения Роскомнадзором внеплановой проверки, что может привести к привлечению оператора к административной и/или уголовной ответственности.
Для минимизации рисков привлечения к ответственности за нарушения в области законодательства о персональных данных рекомендуем:
- провести аудит соответствия требованиям законодательства о персональных данных самостоятельно или с привлечением консультантов, устранить выявленные нарушения;
- вести внутренний реестр процессов обработки персональных данных, содержащий информацию о целях обработки персональных данных, категориях и перечне обрабатываемых персональных данных, категориях субъектов, персональные данные которых обрабатываются, способах, сроках их обработки и хранения, порядке уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
- отслеживать изменения в процессах обработки персональных данных, своевременно обновлять информацию в локальных нормативных актах (например, в политике в отношении обработки персональных данных);
- на регулярной основе проводить обучение сотрудников компании требованиям к обработке персональных данных, а также контролировать уровень осведомленности сотрудников (путем проведения тестирований).
Особое внимание рекомендуем уделить содержанию и функционала сайта компании. Необходимо:
- проанализировать, какие персональные данные обрабатываются с помощью сайта (например, посредством форм сбора данных, cookie-файлов, сервисов сбора технических данных),
- обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (то есть обеспечить хостинг сайта в Российской Федерации, отказаться от использования иностранных сервисов сбора персональных данных (например, Google Analytics, Google Forms), использовать российские CMS),
- опубликовать на всех страницах сайта, с использованием которых осуществляется сбор персональных данных, политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных,
- обеспечить соответствие информации, указанной в реестре операторов персональных данных (в уведомлении о намерении осуществлять обработку персональных данных), информации, размещенной на сайте (в том числе, в политике в отношении обработки персональных данных).
В случае, если компания не подавала уведомление о намерении осуществлять обработку персональных данных и не внесена в реестр операторов персональных данных, необходимо дополнительно оценивать риски, связанные с возможным выявлением несоответствий в предоставленной информации.