Программа профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям в области персональных данных на 2022 год

Программа профилактики нарушений обязательных требований на 2022 год (далее - Программа), разработана во исполнение:

Федерального закона от 31.07.2020 N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" (далее - Закон N 248-ФЗ);

Постановления Правительства РФ от 29.06.2021 N 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных" (далее - Положение N 1046);

Постановления Правительства РФ от 25.06.2021 N 990 "Об утверждении Правил разработки и утверждения контрольными (надзорными) органами программы профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям".

I. Анализ текущего состояния осуществления вида контроля, описание текущего развития профилактической деятельности контрольного (надзорного) органа, характеристика проблем, на решение которых направлена программа профилактики:

Анализ текущего состояния осуществления вида контроля

Предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных Федеральным законом "О персональных данных" и принимаемыми в соответствии с ним иными нормативными правовыми актами Российской Федерации.

Под оператором понимается контролируемое лицо, самостоятельно или совместно с другими контролируемыми лицами организующее и (или) осуществляющее обработку персональных данных, в том числе на основании поручения, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Под контролирующим органом по тексту Программы понимается Роскомнадзор (далее - ЦА).

Под территориальным органом контролирующего органа по тексту Программы понимается территориальное управление Роскомнадзора (далее - ТУ РКН).

Статистические показатели состояния осуществляемого вида контроля по состоянию на июль 2021.

По состоянию на 01.07.2021 в Реестр операторов, осуществляющих обработку персональных данных, включены сведения в количестве 426 504, из них:

государственные органы - 6 958;

муниципальные органы - 33 919;

юридические лица - 356 518;

физические лица (в т.ч. ИП) - 29 109.

В 1 полугодии 2021 года территориальными органами Роскомнадзора проведено:

581 плановых проверок;

14 внеплановых проверок;

1708 мероприятий систематического наблюдения.

Описание текущего развития профилактической деятельности контрольного (надзорного) органа

ЦА и ТУ РКН до 2016 года проводились адресные профилактические мероприятия для контролируемых лиц посредством проведения, в том числе:

Проведение и участие в семинарах, конференциях с контролируемыми лицами по вопросам законодательства РФ в области персональных данных;

Межведомственные совещания, проводимые органами государственной власти, в которых принимали участие сотрудники территориальных органов Роскомнадзора.

С момента утверждения Стратегии институционального развития и информационно-публичной деятельности в области защиты прав субъектов персональных данных на период до 2020 года профилактические мероприятия начали носить комплексный характер, в том числе мероприятия стали распределяться на следующие категории:

Профилактические мероприятия для определенного круга лиц;

Профилактические мероприятия для неопределенного круга лиц;

Адресные профилактические мероприятия.

1). Профилактические мероприятия для определенного круга лиц осуществлялись путем:

Проведения и участия в семинарах, конференциях с контролируемыми лицами по вопросам законодательства РФ в области персональных данных;

Участия в межведомственных совещаниях, проводимых органами государственной власти, в которых принимали участие сотрудники территориальных органов Роскомнадзора,

Организации "Дней открытых дверей" в целях консультирования контролируемых лиц по вопросам законодательства в области персональных данных.

2). Профилактические мероприятия для неопределенного круга лиц осуществлялись путем:

Размещения и трансляции социальных роликов,

Размещения и актуализации информации для контролируемых лиц на интернет-страницах территориальных органов и официального сайта Роскомнадзора,

Выступления, интервью в эфире телевизионных программ,

Размещения информации для контролируемых лиц по вопросам соблюдения законодательства Российской Федерации в области персональных данных на сайтах государственных органов и муниципальных органов, без учета баннеров и ссылок на сайты Роскомнадзора.

3). Адресные профилактические мероприятия осуществлялись посредством направления писем о представлении информации об обработке персональных данных в рамках деятельности ТУ РКН по активизации работы с операторами, осуществляющими обработку персональных данных.

Цели и задачи реализации программы профилактики

Основными целями программы профилактики являются:

Предупреждение нарушения контролируемыми лицами обязательных требований в области персональных данных посредством их правового информирования,

Повышение уровня правовой грамотности контролируемых лиц в вопросах соблюдения требований законодательства Российской Федерации в области персональных данных,

Внедрение и дальнейшее совершение риск-ориентированного подхода.

Приоритетными задачами программы профилактики являются:

Формирование единообразного понимания обязательных требований законодательства Российской Федерации в области персональных данных,

Выявление причин, факторов и условий, влекущих за собой нарушение требований законодательства Российской Федерации в области персональных данных, определение способов их устранения и снижения рисков их возникновения.

Характеристика проблем, на решение которых направлена программа профилактики

Основными проблемами, на решение которых направлена программа профилактики, являются:

Низкий уровень правовой грамотности контролируемых лиц в вопросах соблюдения требований законодательства Российской Федерации в области персональных данных,

Низкая степень информированности контролируемых лиц в вопросах соблюдения требований законодательства Российской Федерации в области персональных данных,

Несоблюдение операторами отдельных положений законодательства Российской Федерации в области персональных данных,

Распространение моделей деятельности по обработке персональных данных контролируемых лиц, отличных от правоприменительной и судебной практики уполномоченного органа по защите прав субъектов персональных данных.

II. Перечень профилактических мероприятий, сроки (периодичность) их проведения.

При осуществлении государственного контроля (надзора) за обработкой персональных данных подлежат проведению следующие виды профилактических мероприятий:

1) информирование посредством размещения на постоянной основе информации по вопросам соблюдения обязательных требований в области персональных данных.

2) обобщение правоприменительной практики организации и проведения государственного контроля (надзора) за обработкой персональных данных.

3) объявление предостережения о недопустимости нарушения обязательных требований в области персональных данных при наличии сведений о готовящихся нарушениях обязательных требований или о признаках нарушений обязательных требований и (или) в случае отсутствия подтвержденных данных о том, что нарушение обязательных требований причинило вред (ущерб) охраняемым законом ценностям либо создало угрозу причинения вреда (ущерба) охраняемым законом ценностям;

4) консультирование по вопросам соблюдения обязательных требований в области персональных данных по обращениям контролируемых лиц и их представителей по телефону, посредством видео-конференц-связи, на личном приеме, осуществляемое на постоянной основе;

5) обязательный профилактический визит в отношении объектов контроля, отнесенных к категориям высокого и значительного риска, а также в отношении контролируемых лиц, приступающих к осуществлению деятельности в сфере обработки персональных данных, подлежащий проведению каждый месяц.

Порядок осуществления информирования

Информирование контролируемых лиц по вопросам соблюдения обязательных требований осуществляется посредством размещения на постоянной основе на официальном сайте в сети "Интернет", в личных кабинетах уполномоченных должностных лиц ТУ РКН в Единой информационной системе Роскомнадзора следующих сведений:

тексты нормативных правовых актов, регулирующих осуществление государственного контроля (надзора) в области персональных данных;

сведения об изменениях, внесенных в нормативные правовые акты, регулирующие осуществление государственного контроля (надзора) в области персональных данных, о сроках и порядке их вступления в силу;

перечень нормативных правовых актов с указанием структурных единиц этих актов, содержащих обязательные требования, оценка соблюдения которых является предметом контроля, а также информацию о мерах ответственности, применяемых при нарушении обязательных требований, с текстами в действующей редакции;

утвержденные проверочные листы;

руководства по соблюдению обязательных требований, разработанные и утвержденные в соответствии с Федеральным законом "Об обязательных требованиях в Российской Федерации";

перечень индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) за обработкой персональных данных, порядок отнесения объектов контроля к категориям риска;

перечень объектов контроля, учитываемых в рамках формирования ежегодного плана контрольных (надзорных) мероприятий, с указанием категории риска;

программу профилактики нарушений обязательных требований в области персональных данных;

сведения о способах получения консультаций по вопросам соблюдения обязательных требований в области персональных данных;

сведения о применении контрольным (надзорным) органом мер стимулирования добросовестности контролируемых лиц;

сведения о порядке досудебного обжалования решений контрольного (надзорного) органа, действий (бездействия) его должностных лиц;

доклады, содержащие результаты обобщения правоприменительной практики контрольного (надзорного) органа;

доклады о государственном контроле (надзоре) за обработкой персональных данных.

Информирование контролируемых лиц по вопросам соблюдения обязательных требований осуществляется ЦА и ТУ РКН.

Порядок обобщения правоприменительной практики

Обобщение правоприменительной практики организации и проведения государственного надзора осуществляется один раз в год. По итогам обобщения правоприменительной практики готовится доклад о правоприменительной практике.

Доклад о правоприменительной практике утверждается приказом руководителя ЦА не позднее 31 марта года, следующего за отчетным, и размещается на официальном сайте в сети "Интернет" не позднее 3 рабочих дней со дня его утверждения.

Обобщение правоприменительной практики организации и проведения государственного надзора осуществляется ЦА.

Порядок объявления предостережения

В случае наличия у ЦА и (или) ТУ РКН сведений о готовящихся нарушениях обязательных требований или о признаках нарушений обязательных требований и (или) в случае отсутствия подтвержденных данных о том, что нарушение обязательных требований причинило вред (ущерб) охраняемым законом ценностям либо создало угрозу причинения вреда (ущерба) охраняемым законом ценностям, в соответствии со статьей 49 Закона N 248 - ФЗ объявляет контролируемому лицу предостережение о недопустимости нарушения обязательных требований, предлагает ему принять меры по обеспечению соблюдения обязательных требований.

Предостережение о недопустимости нарушения обязательных требований формируется в соответствии с типовой формой, размещенной в Единой информационной системе Роскомнадзора.

Контролируемое лицо вправе в течение 10 рабочих дней со дня получения предостережения подать в ТУ РКН возражение в отношении указанного предостережения, подлежащее рассмотрению в течение 20 рабочих дней со дня регистрации возражения.

По результатам рассмотрения возражения ТУ РКН принимается одно из следующих решений:

удовлетворить возражение в форме отмены объявленного предостережения;

отказать в удовлетворении возражения.

Не позднее дня, следующего за днем принятия решения, контролируемому лицу, подавшему возражение, в письменной форме и по его желанию в электронной форме направляется мотивированный ответ о результатах рассмотрения возражения.

Повторное направление возражения по тем же основаниям не допускается. Поступившее в ТУ РКН возражение по тем же основаниям подлежит оставлению без рассмотрения, о чем контролируемое лицо уведомляется посредством направления соответствующего уведомления на адрес электронной почты или иным доступным способом.

Объявление контролируемому лицу предостережения о недопустимости нарушения обязательных требований осуществляется ЦА и ТУ РКН.

Порядок проведения консультирования, а также перечень вопросов, по которым осуществляется консультирование

Консультирование может осуществляться по обращениям контролируемых лиц и их представителей по телефону, посредством видео-конференц-связи, на личном приеме, путем направления соответствующих писем в адрес контролируемых лиц, а также путем участия и проведения соответствующих семинаров, совещаний и т.п. с контролируемыми лицами.

Консультирование осуществляется по следующим вопросам:

наличие и (или) содержание обязательных требований в сфере обработки персональных данных;

периодичность и порядок проведения контрольных (надзорных) мероприятий;

сведения о форме проведения контрольного (надзорного) мероприятия;

сведения о месте проведения контрольного (надзорного) мероприятия;

сведения о дате начала и периоде проведения контрольного (надзорного) мероприятия, возможности переноса даты проведения контрольного (надзорного) мероприятия.

порядок выполнения обязательных требований в сфере обработки персональных данных.

выполнение предписания, выданного по итогам контрольного мероприятия.

сроки исполнения предписания, сроки информирования должностного лица ТУ РКН об исполнении предписания;

форма взаимодействия проверяемого лица с должностным лицом ТУ РКН об исполнении предписания;

порядок и сроки обжалования предписания, действий (бездействия) должностных лиц контролирующего органа (территориального органа).

Консультирование может осуществляться должностными лицами ЦА и ТУ РКН.

Порядок проведения обязательного профилактического визита

Обязательные профилактические визиты проводятся ТУ РКН в соответствии со статьей 52 Закона N 248-ФЗ в отношении объектов контроля, отнесенных к категориям высокого и значительного риска, а также в отношении контролируемых лиц, приступающих к осуществлению деятельности в сфере обработки персональных данных.

О проведении обязательного профилактического визита контролируемое лицо должно быть уведомлено не позднее чем за 5 рабочих дней до даты его проведения.

Срок проведения обязательного профилактического визита не может превышать 5 рабочих дней.

Обязательный профилактический визит при его проведении по месту осуществления деятельности контролируемого лица начинается с предъявления должностными лицами ТУ РКН служебного удостоверения, вручения руководителю контролируемого лица или иному уполномоченному представителю контролируемого лица письменного запроса о представлении документов и информации, необходимых для проведения обязательного профилактического визита.

В случае проведения обязательного профилактического визита в режиме видео-конференц-связи ТУ РКН осуществляет вышеуказанные действия посредством использования электронных каналов связи.

Контролируемое лицо в соответствии с частью 6 статьи 52 Закона N 248-ФЗ имеет право отказаться от проведения обязательного профилактического визита, при этом оно должно уведомить об отказе ТУ РКН не позднее чем за 3 рабочих дня до даты его проведения.

ТУ РКН обязано предложить проведение обязательного профилактического визита контролируемому лицу, приступающему к обработке персональных данных, не позднее чем в течение одного года с момента начала такой деятельности.

По итогам проведения обязательного профилактического визита составляются разъяснения рекомендательного характера по организации контролируемым лицом деятельности по обработке персональных данных.

Акт профилактического визита формируется в соответствии с типовой формой, размещенной в Единой информационной системе Роскомнадзора.

В случае если при проведении обязательного профилактического визита установлено, что объекты контроля представляют явную непосредственную угрозу причинения вреда (ущерба) охраняемым законом ценностям или такой вред (ущерб) причинен, должностное лицо (лица) незамедлительно направляет информацию об этом уполномоченному должностному лицу ТУ РКН для принятия решения о проведении контрольных (надзорных) мероприятий.

Обязательные профилактические визиты осуществляются только должностными лицами ТУ РКН.

III. Показатели результативности и эффективности программы профилактики

Каждое ТУ РКН осуществляет учет проведенных профилактических мероприятий, при проведении которого учитываются следующие количественные показатели:

количество профилактических мероприятий для определенного круга лиц;

количество адресных профилактических мероприятий;

количество профилактических мероприятий для неопределенного круга лиц.

На основании количественных данных формируются следующие качественные показатели:

доля контролируемых лиц, охваченных профилактическими мероприятиями для определенного круга лиц, от общего количества контролируемых лиц;

доля контролируемых лиц, охваченных профилактическими адресными мероприятиями, от общего количества контролируемых лиц;

динамика снижения количества выявленных нарушений в ходе плановых проверок и мероприятий систематического наблюдения за отчетный период по отношению к аналогичному периоду предыдущего года.

Показатель общего количества контролируемых лиц рассчитывается от общего количества операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных, по состоянию на конец отчетного периода.

Управления Роскомнадзора по федеральным округам формируют средние показатели за федеральный округ на основе представленных территориальными органами отчетов.

ЦА формирует средний показатель на основе представленных территориальными органами по федеральным округам отчетов.

Сформированные сводные показатели должны быть не меньше следующих установленных минимальных значений сводных показателей*.

	Количество профилактических мероприятий для определенного круга лиц			Количество адресных профилактических мероприятий			Количество профилактических мероприятий для неопределенного круга лиц
	Минимальное	Среднее	Максимальное	Минимальное	Среднее	Максимальное	Минимальное	Среднее	Максимальное
Дальневосточный федеральный округ	32	64	192	1600	2400	3200	16	32	96
Приволжский федеральный округ	44	88	264	4600	6900	9200	22	44	132
Северо-Западный федеральный округ	28	56	168	2800	4200	5600	14	28	84
Северо-Кавказский федеральный округ	20	40	120	1400	2100	2800	10	20	60
Сибирский федеральный округ	28	56	168	2200	3300	4400	14	28	84
Уральский федеральный округ	16	32	96	2000	3000	4000	8	16	48
Центральный федеральный округ	68	136	408	3000	4500	6000	34	68	204
Южный федеральный округ	20	40	120	5000	7500	10000	10	20	60

Для качественных показателей установлены следующие сводные минимальные значения:

доля контролируемых лиц, охваченных профилактическими мероприятиями для определенного круга лиц, от общего количества контролируемых лиц - 7%;

доля контролируемых лиц, охваченных профилактическими адресными мероприятиями, от общего количества контролируемых лиц - 5%.

IV. Подразделения и (или) должностные лица контрольного (надзорного) органа, ответственные за реализацию программы профилактики

В ЦА ответственным подразделением за реализацию профилактических мероприятий является Управление по защите прав субъектов персональных данных.

В ТУ РКН ответственным за реализацию профилактических мероприятий, назначаются курирующие заместители руководителя ТУ РКН.

______________________________

* Данный показатель рассчитан с учетом итогов профилактической деятельности территориальных управлений Роскомнадзора в период с 2019 по 1 полугодие 2021 гг.