Приложение N 2. Программа профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям на 2023 год по виду контроля "федеральный государственный контроль (надзор) за обработкой персональных данных". Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 23.12.2022 N 207 "Об утверждении Программ профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям на 2023 год"

Приложение N 2
к приказу Федеральной службы
по надзору в сфере связи,
информационных технологий
и массовых коммуникаций
от 23.12.2022 г. N 207

Программа
профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям на 2023 год по виду контроля "федеральный государственный контроль (надзор) за обработкой персональных данных"

Программа профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям на 2023 год (далее - Программа) разработана во исполнение:

Федерального закона от 31 июля 2020 г. N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" (далее - Федеральный закон от 31 июля 2020 г. N 248-ФЗ);

постановления Правительства Российской Федерации от 25 июня 2021 г. N 990 "Об утверждении Правил разработки и утверждения контрольными (надзорными) органами программы профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям";

постановления Правительства Российской Федерации от 29 июня 2021 г. N 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных".

В Роскомнадзоре ответственным подразделением за реализацию профилактических мероприятий является Управление по защите прав субъектов персональных данных.

В территориальных органах Роскомнадзора подразделения и (или) должностные лица, ответственные за реализацию профилактических мероприятий, назначаются соответствующим приказом территориального органа Роскомнадзора.

Роскомнадзор и его территориальные органы осуществляют учет проведенных профилактических мероприятий.

Анализ текущего состояния осуществления вида контроля, описание текущего уровня развития профилактической деятельности контрольного (надзорного) органа, характеристика проблем, на решение которых направлена программа профилактики рисков причинения вреда

Вид контроля: федеральный государственный контроль (надзор) за обработкой персональных данных.

Предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и принимаемыми в соответствии с ним иными нормативными правовыми актами Российской Федерации.

Под оператором понимается контролируемое лицо, самостоятельно или совместно с другими контролируемыми лицами организующее и (или) осуществляющее обработку персональных данных, в том числе на основании поручения, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Под контролирующим органом по тексту Программы понимается Роскомнадзор. Под территориальным органом контролирующего органа по тексту Программы понимается территориальный орган Роскомнадзора (далее - ТО РКН).

Статистические показатели состояния осуществляемого вида контроля по состоянию на 31 октября 2022 г.

В Реестр операторов, осуществляющих обработку персональных данных, включены сведения в количестве 769 991, из них:

государственные органы - 7425;

муниципальные органы - 33 452;

юридические лица - 613 261;

физические лица (в том числе индивидуальные предприниматели) - 115 853.

Территориальными органами Роскомнадзора проведено:

113 плановых проверок;

49 внеплановых проверок;

2160 мероприятий систематического наблюдения.

Роскомнадзором и его территориальными органами в 2022 году проведены следующие профилактические мероприятия для контролируемых лиц:

Обязательный профилактический визит

Территориальными органами Роскомнадзора сформированы планы-графики проведения обязательных профилактических визитов на 2022 год. При формировании планов-графиков учитывались операторы, зарегистрированные в Реестре операторов, осуществляющих обработку персональных данных с 01.01.2021 по 31.12.2021, в уведомлении об обработке персональных данных которых указана дата начала обработки персональных данных в период с 01.01.2021 по 31.12.2021 года.

Планы проведения обязательных профилактических визитов размещены всеми территориальными органами Роскомнадзора на официальных интернет-сайтах.

За 10 месяцев 2022 года территориальными органами проведено 1706 обязательных профилактических визитов, по итогам которых должностными лицами территориальных органов Роскомнадзора разъяснения рекомендательного характера по организации деятельности по обработке персональных данных направлены 1706 операторам.

В 858 случаях операторы в соответствии с п. 31 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного постановлением Правительства Российской Федерации от 29.06.2021 N 1046, отказались от проведения профилактического визита, что составляет 26,3% от общего количества запланированных за 10 месяцев 2022 г. профилактических визитов.

Количество профилактических мероприятий, проведенных территориальными управлениями Роскомнадзора для определенного круга лиц, - 2451;

Количество адресных профилактических мероприятий, проведенных территориальными управлениями Роскомнадзора, - 47186;

Количество профилактических мероприятий, проведенных территориальными управлениями Роскомнадзора для неопределенного круга лиц, - 15906.

Анализ итогов профилактической деятельности территориальных управлений Роскомнадзора представлен в таблице:

	ДФО				ПФО
	1 кв.	2 кв.	3 кв.	4 кв.	1 кв.	2 кв.	3 кв.	4 кв.
Количество профилактических мероприятий для определенного круга лиц	35	76	118		52	119	161
Количество адресных профилактических мероприятий	1314	3084	4618		3663	8347	12532
Количество профилактических мероприятий для неопределенного круга лиц	64	106	160		357	810	1042

	СЗФО				СКФО
	1 кв.	2 кв.	3 кв.	4 кв.	1 кв.	2 кв.	3 кв.	4 кв.
Количество профилактических мероприятий для определенного круга лиц	55	102	131		38	132	200
Количество адресных профилактических мероприятий	2051	2590	3414		98	382	695
Количество профилактических мероприятий для неопределенного круга лиц	79	80	171		29	659	6344

	СФО				УФО
	1 кв.	2 кв.	3 кв.	4 кв.	1 кв.	2 кв.	3 кв.	4 кв.
Количество профилактических мероприятий для определенного круга лиц	334	703	1224		19	91	206
Количество адресных профилактических мероприятий	1814	3902	4830		1751	4303	6918
Количество профилактических мероприятий для неопределенного круга лиц	1051	2080	3080		803	2230	3623

	ЦФО				ЮФО
	1 кв.	2 кв.	3 кв.	4 кв.	1 кв.	2 кв.	3 кв.	4 кв.
Количество профилактических мероприятий для определенного круга лиц	248	0	0		141	303	411
Количество адресных профилактических мероприятий	2222	0	0		2404	1576	14179
Количество профилактических мероприятий для неопределенного круга лиц	132	0	0		466	873	1486

Основными проблемами, на решение которых направлена программа профилактики, являются:

низкий уровень правовой грамотности контролируемых лиц в вопросах соблюдения требований законодательства Российской Федерации в области персональных данных;

низкая степень информированности контролируемых лиц в вопросах соблюдения требований законодательства Российской Федерации в области персональных данных;

несоблюдение операторами отдельных положений законодательства Российской Федерации в области персональных данных;

распространение моделей деятельности по обработке персональных данных контролируемых лиц, отличных от правоприменительной и судебной практики уполномоченного органа по защите прав субъектов персональных данных.

Цели и задачи реализации программы профилактики рисков причинения вреда

Основными целями программы профилактики при осуществлении государственного контроля (надзора) являются:

предупреждение нарушения контролируемыми лицами обязательных требований в области персональных данных посредством их правового информирования;

повышение уровня правовой грамотности контролируемых лиц в вопросах соблюдения требований законодательства Российской Федерации в области персональных данных;

внедрение и дальнейшее совершение риск-ориентированного подхода.

Приоритетными задачами программы профилактики являются:

формирование единообразного понимания обязательных требований законодательства Российской Федерации в области персональных данных;

выявление причин, факторов и условий, влекущих за собой нарушение требований законодательства Российской Федерации в области персональных данных, определение способов их устранения и снижения рисков их возникновения.

Перечень профилактических мероприятий, сроки (периодичность) их проведения

Расшифровка сокращенных наименований управлений центрального аппарата и территориальных органов Роскомнадзора:

УЗПСПД - Управление по защите прав субъектов персональных данных;

УПОМОВ - Управление правового обеспечения, международного и общего взаимодействия;

ТО РКН - территориальные органы Роскомнадзора.

N п/п	Наименование (вид) профилактического мероприятия	Содержание (форма) мероприятия Показатель выполнения мероприятия	Периодичность проведения	Ответственный исполнитель
1	Информирование контролируемых лиц по вопросам соблюдения обязательных требований	Размещение и поддержка в актуальном состоянии на официальном сайте в сети "Интернет" сведений, предусмотренных ч. 3 ст. 46 Федерального закона от 31 июля 2020 г. N 248-ФЗ	Постоянно в течение года	УЗПСПД УПОМОВ ТО РКН
2	Обобщение правоприменительной практики	Подготовка и утверждение приказом Роскомнадзора доклада о правоприменительной практике	Не позднее 31 марта года, следующего за отчетным	УПОМОВ соисполнители: УЗПСПД ТО РКН
3	Объявление предостережения	Объявление контролируемому лицу предостережения о недопустимости нарушения обязательных требований, предложение принять меры по обеспечению соблюдения обязательных требований	При наличии сведений о готовящихся нарушениях обязательных требований или о признаках нарушений обязательных требований и (или) в случае отсутствия подтвержденных данных о том, что нарушение обязательных требований причинило вред (ущерб) охраняемым законом ценностям либо создало угрозу причинения вреда (ущерба) охраняемым законом ценностям	ТО РКН УЗПСПД
4	Консультирование по вопросам наличия и (или) содержания обязательных требований в сфере обработки персональных данных; периодичности и порядка проведения контрольных (надзорных) мероприятий; порядка выполнения обязательных требований в сфере обработки персональных данных; выполнения предписания, выданного по итогам контрольного мероприятия	Консультирование по обращениям контролируемых лиц и их представителей по телефону, посредством видео-конференц-связи, на личном приеме	Постоянно в течение года	ТО РКН УЗПСПД
5	Обязательный профилактический визит в отношении объектов контроля, отнесенных к категориям высокого и значительного риска, а также в отношении контролируемых лиц, приступающих к осуществлению деятельности в сфере обработки персональных данных	Проведение профилактического визита по месту осуществления деятельности контролируемого лица либо путем использования видео-конференц-связи	ежемесячно	ТО РКН

Порядок осуществления информирования

Информирование контролируемых лиц по вопросам соблюдения обязательных требований осуществляется посредством размещения на постоянной основе на официальном сайте в сети "Интернет", следующих сведений:

тексты нормативных правовых актов, регулирующих осуществление государственного контроля (надзора) в области персональных данных;

сведения об изменениях, внесенных в нормативные правовые акты, регулирующие осуществление государственного контроля (надзора) в области персональных данных, о сроках и порядке их вступления в силу;

перечень нормативных правовых актов с указанием структурных единиц этих актов, содержащих обязательные требования, оценка соблюдения которых является предметом контроля, а также информацию о мерах ответственности, применяемых при нарушении обязательных требований, с текстами в действующей редакции;

утвержденные проверочные листы;

руководства по соблюдению обязательных требований, разработанные и утвержденные в соответствии с Федеральным законом "Об обязательных требованиях в Российской Федерации";

перечень индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) за обработкой персональных данных, порядок отнесения объектов контроля к категориям риска;

перечень объектов контроля, учитываемых в рамках формирования ежегодного плана контрольных (надзорных) мероприятий, с указанием категории риска;

программу профилактики нарушений обязательных требований в области персональных данных;

сведения о способах получения консультаций по вопросам соблюдения обязательных требований в области персональных данных;

сведения о применении контрольным (надзорным) органом мер стимулирования добросовестности контролируемых лиц;

сведения о порядке досудебного обжалования решений контрольного (надзорного) органа, действий (бездействия) его должностных лиц;

доклады, содержащие результаты обобщения правоприменительной практики контрольного (надзорного) органа;

доклады о государственном контроле (надзоре) за обработкой персональных данных.

Информирование контролируемых лиц по вопросам соблюдения обязательных требований осуществляется Роскомнадзором и ТО РКН.

Порядок обобщения правоприменительной практики

Обобщение правоприменительной практики организации и проведения государственного надзора осуществляется один раз в год. По итогам обобщения правоприменительной практики готовится доклад о правоприменительной практике.

Доклад о правоприменительной практике утверждается приказом руководителя Роскомнадзора не позднее 31 марта года, следующего за отчетным, и размещается на официальном сайте в сети "Интернет" не позднее 3 рабочих дней со дня его утверждения.

Обобщение правоприменительной практики организации и проведения государственного надзора осуществляется Роскомнадзором.

Порядок объявления предостережения

В случае наличия у Роскомнадзора и (или) ТО РКН сведений о готовящихся нарушениях обязательных требований или о признаках нарушений обязательных требований и (или) в случае отсутствия подтвержденных данных о том, что нарушение обязательных требований причинило вред (ущерб) охраняемым законом ценностям либо создало угрозу причинения вреда (ущерба) охраняемым законом ценностям, в соответствии со статьей 49 Федерального закона от 31 июля 2020 г. N 248-ФЗ объявляет контролируемому лицу предостережение о недопустимости нарушения обязательных требований, предлагает ему принять меры по обеспечению соблюдения обязательных требований.

Предостережение о недопустимости нарушения обязательных требований формируется в соответствии с типовой формой, размещенной в Единой информационной системе Роскомнадзора.

Контролируемое лицо вправе в течение 10 рабочих дней со дня получения предостережения подать в ТО РКН возражение в отношении указанного предостережения, подлежащее рассмотрению в течение 20 рабочих дней со дня регистрации возражения.

По результатам рассмотрения возражения ТО РКН принимается одно из следующих решений:

удовлетворить возражение в форме отмены объявленного предостережения;

отказать в удовлетворении возражения.

Не позднее дня, следующего за днем принятия решения, контролируемому лицу, подавшему возражение, в письменной форме и по его желанию в электронной форме направляется мотивированный ответ о результатах рассмотрения возражения.

Повторное направление возражения по тем же основаниям не допускается. Поступившее в ТО РКН возражение по тем же основаниям подлежит оставлению без рассмотрения, о чем контролируемое лицо уведомляется посредством направления соответствующего уведомления на адрес электронной почты или иным доступным способом.

Объявление контролируемому лицу предостережения о недопустимости нарушения обязательных требований осуществляется Роскомнадзором и ТО РКН.

Порядок проведения консультирования, а также перечень вопросов, по которым осуществляется консультирование

Консультирование может осуществляться по обращениям контролируемых лиц и их представителей по телефону, посредством видео-конференц-связ