С 1 июля вступило в силу постановление правительства РФ от 29 июня 2021 года №1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» [1]. Новое постановление полностью отменяет действующее до этого времени постановления от 13 февраля 2019 года №146, где были утверждены правила контроля и надзора за обработкой персональных данных. Вступившее в силу постановление также определяет собственное «Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных».
Законодательная новелла
Положение основано на риск-ориентированном подходе в проведении контроля и надзора за соблюдением требований безопасности при обработке персональных данных. В соответствии с ним все операторы персональных данных относятся к одной из пяти категорий риска причинения вреда: высокий, значительный, средний, умеренный и низкий. Чем выше риск, тем чаще должны проводиться проверки предприятия. Так для предприятий высокого риска проверки проводятся раз в 2 года (ранее это требование было для всех), а для умеренного — раз в 6 лет. Проверки предприятий низкого риска вообще не проводятся.
Риск определяется по методике, которая содержится в приложении к Положению. Она требует, чтобы для предприятия была установлена группа тяжести обрабатываемых персональных данных, которая обозначается литерами от А до Г. Причем Г — это обезличенные данные, а А — специальные их категории или биометрия. Кроме того, для предприятия определены четыре группы вероятности нарушения законодательства по персональным данным. Это своеобразная репутация компании, которая зависит от того какие именно требования законодательства о персональных данных уже были компанией нарушены, то есть не выписывали ли ей предостережения по устранению нарушений. Сочетание группы тяжести и вероятности нарушения и даёт категорию риска — для этого есть специальная таблица в самом конце приложения.
В Положении определены также пять типов профилактических мероприятий: информирование, обобщение правоприменительной практики, объявление предостережения, консультирование и профилактический визит. Первые два — общие, делаются через сайт, а операторам достаточно с ними ознакомиться. Однако если у контролирующего ведомства возникают сомнения в соблюдении оператором требований закона, то он может сначала объявить предостережение, а затем вызвать на консультирование или даже провести профилактический визит.
Дифференциация операторов
Следует отметить, что в предыдущем варианте постановления были предусмотрены только два типа проверок — плановые и внеплановые. Плановые проводились раз в два года, а сейчас этот срок варьируется в зависимости от категории риска предприятия. Причем 2 года установлены для самых рискованных предприятий. Внеплановые проверки же предусматривалось после получение жалобы.
Сейчас вместо проверок выписываются предостережения, а уже по результатам реакции на них проводятся другие профилактические мероприятия. Причем, в результате у компании может измениться категория риска, и к ней будут относиться более подозрительно. Таким образом, можно отметить, что новое постановление оптимизирует работу контрольных служб, выделяя с помощью категории риска наиболее злостных нарушителей. Если же компания старается соблюдать все требования закона и не допускает жалоб на свою деятельность, то и проверок у нее будет сильно меньше.
[1] http://publication.pravo.gov.ru/Document/View/0001202106300055