Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 23 декабря 2022 г. N 207 "Об утверждении Программ профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям на 2023 год"
- Приложение N 2. Программа профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям на 2023 год по виду контроля "федеральный государственный контроль (надзор) за обработкой персональных данных"
Приложение N 2. Программа профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям на 2023 год по виду контроля "федеральный государственный контроль (надзор) за обработкой персональных данных"
Приложение N 2
к приказу Федеральной службы
по надзору в сфере связи,
информационных технологий
и массовых коммуникаций
от 23.12.2022 г. N 207
Программа
профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям на 2023 год по виду контроля "федеральный государственный контроль (надзор) за обработкой персональных данных"
Программа профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям на 2023 год (далее - Программа) разработана во исполнение:
Федерального закона от 31 июля 2020 г. N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" (далее - Федеральный закон от 31 июля 2020 г. N 248-ФЗ);
постановления Правительства Российской Федерации от 25 июня 2021 г. N 990 "Об утверждении Правил разработки и утверждения контрольными (надзорными) органами программы профилактики рисков причинения вреда (ущерба) охраняемым законом ценностям";
постановления Правительства Российской Федерации от 29 июня 2021 г. N 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных".
В Роскомнадзоре ответственным подразделением за реализацию профилактических мероприятий является Управление по защите прав субъектов персональных данных.
В территориальных органах Роскомнадзора подразделения и (или) должностные лица, ответственные за реализацию профилактических мероприятий, назначаются соответствующим приказом территориального органа Роскомнадзора.
Роскомнадзор и его территориальные органы осуществляют учет проведенных профилактических мероприятий.
Анализ текущего состояния осуществления вида контроля, описание текущего уровня развития профилактической деятельности контрольного (надзорного) органа, характеристика проблем, на решение которых направлена программа профилактики рисков причинения вреда
Вид контроля: федеральный государственный контроль (надзор) за обработкой персональных данных.
Предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и принимаемыми в соответствии с ним иными нормативными правовыми актами Российской Федерации.
Под оператором понимается контролируемое лицо, самостоятельно или совместно с другими контролируемыми лицами организующее и (или) осуществляющее обработку персональных данных, в том числе на основании поручения, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Под контролирующим органом по тексту Программы понимается Роскомнадзор. Под территориальным органом контролирующего органа по тексту Программы понимается территориальный орган Роскомнадзора (далее - ТО РКН).
Статистические показатели состояния осуществляемого вида контроля по состоянию на 31 октября 2022 г.
В Реестр операторов, осуществляющих обработку персональных данных, включены сведения в количестве 769 991, из них:
государственные органы - 7425;
муниципальные органы - 33 452;
юридические лица - 613 261;
физические лица (в том числе индивидуальные предприниматели) - 115 853.
Территориальными органами Роскомнадзора проведено:
113 плановых проверок;
49 внеплановых проверок;
2160 мероприятий систематического наблюдения.
Роскомнадзором и его территориальными органами в 2022 году проведены следующие профилактические мероприятия для контролируемых лиц:
Обязательный профилактический визит
Территориальными органами Роскомнадзора сформированы планы-графики проведения обязательных профилактических визитов на 2022 год. При формировании планов-графиков учитывались операторы, зарегистрированные в Реестре операторов, осуществляющих обработку персональных данных с 01.01.2021 по 31.12.2021, в уведомлении об обработке персональных данных которых указана дата начала обработки персональных данных в период с 01.01.2021 по 31.12.2021 года.
Планы проведения обязательных профилактических визитов размещены всеми территориальными органами Роскомнадзора на официальных интернет-сайтах.
За 10 месяцев 2022 года территориальными органами проведено 1706 обязательных профилактических визитов, по итогам которых должностными лицами территориальных органов Роскомнадзора разъяснения рекомендательного характера по организации деятельности по обработке персональных данных направлены 1706 операторам.
В 858 случаях операторы в соответствии с п. 31 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного постановлением Правительства Российской Федерации от 29.06.2021 N 1046, отказались от проведения профилактического визита, что составляет 26,3% от общего количества запланированных за 10 месяцев 2022 г. профилактических визитов.
Количество профилактических мероприятий, проведенных территориальными управлениями Роскомнадзора для определенного круга лиц, - 2451;
Количество адресных профилактических мероприятий, проведенных территориальными управлениями Роскомнадзора, - 47186;
Количество профилактических мероприятий, проведенных территориальными управлениями Роскомнадзора для неопределенного круга лиц, - 15906.
Анализ итогов профилактической деятельности территориальных управлений Роскомнадзора представлен в таблице:
|
|
ДФО |
ПФО |
||||||
|
|
1 кв. |
2 кв. |
3 кв. |
4 кв. |
1 кв. |
2 кв. |
3 кв. |
4 кв. |
|
Количество профилактических мероприятий для определенного круга лиц |
35 |
76 |
118 |
|
52 |
119 |
161 |
|
|
Количество адресных профилактических мероприятий |
1314 |
3084 |
4618 |
|
3663 |
8347 |
12532 |
|
|
Количество профилактических мероприятий для неопределенного круга лиц |
64 |
106 |
160 |
|
357 |
810 |
1042 |
|
|
|
СЗФО |
СКФО |
||||||
|
|
1 кв. |
2 кв. |
3 кв. |
4 кв. |
1 кв. |
2 кв. |
3 кв. |
4 кв. |
|
Количество профилактических мероприятий для определенного круга лиц |
55 |
102 |
131 |
|
38 |
132 |
200 |
|
|
Количество адресных профилактических мероприятий |
2051 |
2590 |
3414 |
|
98 |
382 |
695 |
|
|
Количество профилактических мероприятий для неопределенного круга лиц |
79 |
80 |
171 |
|
29 |
659 |
6344 |
|
|
|
СФО |
УФО |
||||||
|
|
1 кв. |
2 кв. |
3 кв. |
4 кв. |
1 кв. |
2 кв. |
3 кв. |
4 кв. |
|
Количество профилактических мероприятий для определенного круга лиц |
334 |
703 |
1224 |
|
19 |
91 |
206 |
|
|
Количество адресных профилактических мероприятий |
1814 |
3902 |
4830 |
|
1751 |
4303 |
6918 |
|
|
Количество профилактических мероприятий для неопределенного круга лиц |
1051 |
2080 |
3080 |
|
803 |
2230 |
3623 |
|
|
|
ЦФО |
ЮФО |
||||||
|
|
1 кв. |
2 кв. |
3 кв. |
4 кв. |
1 кв. |
2 кв. |
3 кв. |
4 кв. |
|
Количество профилактических мероприятий для определенного круга лиц |
248 |
0 |
0 |
|
141 |
303 |
411 |
|
|
Количество адресных профилактических мероприятий |
2222 |
0 |
0 |
|
2404 |
1576 |
14179 |
|
|
Количество профилактических мероприятий для неопределенного круга лиц |
132 |
0 |
0 |
|
466 |
873 |
1486 |
|
Основными проблемами, на решение которых направлена программа профилактики, являются:
низкий уровень правовой грамотности контролируемых лиц в вопросах соблюдения требований законодательства Российской Федерации в области персональных данных;
низкая степень информированности контролируемых лиц в вопросах соблюдения требований законодательства Российской Федерации в области персональных данных;
несоблюдение операторами отдельных положений законодательства Российской Федерации в области персональных данных;
распространение моделей деятельности по обработке персональных данных контролируемых лиц, отличных от правоприменительной и судебной практики уполномоченного органа по защите прав субъектов персональных данных.
Цели и задачи реализации программы профилактики рисков причинения вреда
Основными целями программы профилактики при осуществлении государственного контроля (надзора) являются:
предупреждение нарушения контролируемыми лицами обязательных требований в области персональных данных посредством их правового информирования;
повышение уровня правовой грамотности контролируемых лиц в вопросах соблюдения требований законодательства Российской Федерации в области персональных данных;
внедрение и дальнейшее совершение риск-ориентированного подхода.
Приоритетными задачами программы профилактики являются:
формирование единообразного понимания обязательных требований законодательства Российской Федерации в области персональных данных;
выявление причин, факторов и условий, влекущих за собой нарушение требований законодательства Российской Федерации в области персональных данных, определение способов их устранения и снижения рисков их возникновения.
Перечень профилактических мероприятий, сроки (периодичность) их проведения
Расшифровка сокращенных наименований управлений центрального аппарата и территориальных органов Роскомнадзора:
УЗПСПД - Управление по защите прав субъектов персональных данных;
УПОМОВ - Управление правового обеспечения, международного и общего взаимодействия;
ТО РКН - территориальные органы Роскомнадзора.
|
N |
Наименование (вид) профилактического мероприятия |
Содержание (форма) мероприятия Показатель выполнения мероприятия |
Периодичность проведения |
Ответственный исполнитель |
|
1 |
Информирование контролируемых лиц по вопросам соблюдения обязательных требований |
Размещение и поддержка в актуальном состоянии на официальном сайте в сети "Интернет" сведений, предусмотренных ч. 3 ст. 46 Федерального закона от 31 июля 2020 г. N 248-ФЗ |
Постоянно в течение года |
УЗПСПД УПОМОВ ТО РКН |
|
2 |
Обобщение правоприменительной практики |
Подготовка и утверждение приказом Роскомнадзора доклада о правоприменительной практике |
Не позднее 31 марта года, следующего за отчетным |
УПОМОВ соисполнители: УЗПСПД ТО РКН |
|
3 |
Объявление предостережения |
Объявление контролируемому лицу предостережения о недопустимости нарушения обязательных требований, предложение принять меры по обеспечению соблюдения обязательных требований |
При наличии сведений о готовящихся нарушениях обязательных требований или о признаках нарушений обязательных требований и (или) в случае отсутствия подтвержденных данных о том, что нарушение обязательных требований причинило вред (ущерб) охраняемым законом ценностям либо создало угрозу причинения вреда (ущерба) охраняемым законом ценностям |
ТО РКН УЗПСПД |
|
4 |
Консультирование по вопросам наличия и (или) содержания обязательных требований в сфере обработки персональных данных; периодичности и порядка проведения контрольных (надзорных) мероприятий; порядка выполнения обязательных требований в сфере обработки персональных данных; выполнения предписания, выданного по итогам контрольного мероприятия |
Консультирование по обращениям контролируемых лиц и их представителей по телефону, посредством видео-конференц-связи, на личном приеме |
Постоянно в течение года |
ТО РКН УЗПСПД |
|
5 |
Обязательный профилактический визит в отношении объектов контроля, отнесенных к категориям высокого и значительного риска, а также в отношении контролируемых лиц, приступающих к осуществлению деятельности в сфере обработки персональных данных |
Проведение профилактического визита по месту осуществления деятельности контролируемого лица либо путем использования видео-конференц-связи |
ежемесячно |
ТО РКН |
Порядок осуществления информирования
Информирование контролируемых лиц по вопросам соблюдения обязательных требований осуществляется посредством размещения на постоянной основе на официальном сайте в сети "Интернет", следующих сведений:
тексты нормативных правовых актов, регулирующих осуществление государственного контроля (надзора) в области персональных данных;
сведения об изменениях, внесенных в нормативные правовые акты, регулирующие осуществление государственного контроля (надзора) в области персональных данных, о сроках и порядке их вступления в силу;
перечень нормативных правовых актов с указанием структурных единиц этих актов, содержащих обязательные требования, оценка соблюдения которых является предметом контроля, а также информацию о мерах ответственности, применяемых при нарушении обязательных требований, с текстами в действующей редакции;
утвержденные проверочные листы;
руководства по соблюдению обязательных требований, разработанные и утвержденные в соответствии с Федеральным законом "Об обязательных требованиях в Российской Федерации";
перечень индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) за обработкой персональных данных, порядок отнесения объектов контроля к категориям риска;
перечень объектов контроля, учитываемых в рамках формирования ежегодного плана контрольных (надзорных) мероприятий, с указанием категории риска;
программу профилактики нарушений обязательных требований в области персональных данных;
сведения о способах получения консультаций по вопросам соблюдения обязательных требований в области персональных данных;
сведения о применении контрольным (надзорным) органом мер стимулирования добросовестности контролируемых лиц;
сведения о порядке досудебного обжалования решений контрольного (надзорного) органа, действий (бездействия) его должностных лиц;
доклады, содержащие результаты обобщения правоприменительной практики контрольного (надзорного) органа;
доклады о государственном контроле (надзоре) за обработкой персональных данных.
Информирование контролируемых лиц по вопросам соблюдения обязательных требований осуществляется Роскомнадзором и ТО РКН.
Порядок обобщения правоприменительной практики
Обобщение правоприменительной практики организации и проведения государственного надзора осуществляется один раз в год. По итогам обобщения правоприменительной практики готовится доклад о правоприменительной практике.
Доклад о правоприменительной практике утверждается приказом руководителя Роскомнадзора не позднее 31 марта года, следующего за отчетным, и размещается на официальном сайте в сети "Интернет" не позднее 3 рабочих дней со дня его утверждения.
Обобщение правоприменительной практики организации и проведения государственного надзора осуществляется Роскомнадзором.
Порядок объявления предостережения
В случае наличия у Роскомнадзора и (или) ТО РКН сведений о готовящихся нарушениях обязательных требований или о признаках нарушений обязательных требований и (или) в случае отсутствия подтвержденных данных о том, что нарушение обязательных требований причинило вред (ущерб) охраняемым законом ценностям либо создало угрозу причинения вреда (ущерба) охраняемым законом ценностям, в соответствии со статьей 49 Федерального закона от 31 июля 2020 г. N 248-ФЗ объявляет контролируемому лицу предостережение о недопустимости нарушения обязательных требований, предлагает ему принять меры по обеспечению соблюдения обязательных требований.
Предостережение о недопустимости нарушения обязательных требований формируется в соответствии с типовой формой, размещенной в Единой информационной системе Роскомнадзора.
Контролируемое лицо вправе в течение 10 рабочих дней со дня получения предостережения подать в ТО РКН возражение в отношении указанного предостережения, подлежащее рассмотрению в течение 20 рабочих дней со дня регистрации возражения.
По результатам рассмотрения возражения ТО РКН принимается одно из следующих решений:
удовлетворить возражение в форме отмены объявленного предостережения;
отказать в удовлетворении возражения.
Не позднее дня, следующего за днем принятия решения, контролируемому лицу, подавшему возражение, в письменной форме и по его желанию в электронной форме направляется мотивированный ответ о результатах рассмотрения возражения.
Повторное направление возражения по тем же основаниям не допускается. Поступившее в ТО РКН возражение по тем же основаниям подлежит оставлению без рассмотрения, о чем контролируемое лицо уведомляется посредством направления соответствующего уведомления на адрес электронной почты или иным доступным способом.
Объявление контролируемому лицу предостережения о недопустимости нарушения обязательных требований осуществляется Роскомнадзором и ТО РКН.
Порядок проведения консультирования, а также перечень вопросов, по которым осуществляется консультирование
Консультирование может осуществляться по обращениям контролируемых лиц и их представителей по телефону, посредством видео-конференц-связи, на личном приеме, путем направления соответствующих писем в адрес контролируемых лиц, а также путем участия и проведения соответствующих семинаров, совещаний и т.п. с контролируемыми лицами.
Консультирование осуществляется по следующим вопросам:
наличие и (или) содержание обязательных требований в сфере обработки персональных данных;
периодичность и порядок проведения контрольных (надзорных) мероприятий;
сведения о форме проведения контрольного (надзорного) мероприятия;
сведения о месте проведения контрольного (надзорного) мероприятия;
сведения о дате начала и периоде проведения контрольного (надзорного) мероприятия, возможности переноса даты проведения контрольного (надзорного) мероприятия;
порядок выполнения обязательных требований в сфере обработки персональных данных;
выполнение предписания, выданного по итогам контрольного мероприятия;
сроки исполнения предписания, сроки информирования должностного лица ТУ РКН об исполнении предписания;
форма взаимодействия проверяемого лица с должностным лицом ТО РКН об исполнении предписания;
порядок и сроки обжалования предписания, действий (бездействия) должностных лиц контролирующего органа (территориального органа).
Консультирование может осуществляться должностными лицами Роскомнадзора и ТО РКН.
Порядок проведения обязательного профилактического визита
Обязательные профилактические визиты проводятся ТУ РКН в соответствии со статьей 52 Федерального закона от 31 июля 2020 г. N 248-ФЗ в отношении объектов контроля, отнесенных к категориям высокого и значительного риска, а также в отношении контролируемых лиц, приступающих к осуществлению деятельности в сфере обработки персональных данных.
О проведении обязательного профилактического визита контролируемое лицо должно быть уведомлено не позднее чем за 5 рабочих дней до даты его проведения.
Срок проведения обязательного профилактического визита не может превышать 5 рабочих дней.
Обязательный профилактический визит при его проведении по месту осуществления деятельности контролируемого лица начинается с предъявления должностными лицами ТО РКН служебного удостоверения, вручения руководителю контролируемого лица или иному уполномоченному представителю контролируемого лица письменного запроса о представлении документов и информации, необходимых для проведения обязательного профилактического визита.
В случае проведения обязательного профилактического визита в режиме видео-конференц-связи ТО РКН осуществляет вышеуказанные действия посредством использования электронных каналов связи.
Контролируемое лицо в соответствии с частью 6 статьи 52 Федерального закона от 31 июля 2020 г. N 248-ФЗ имеет право отказаться от проведения обязательного профилактического визита, при этом оно должно уведомить об отказе ТО РКН не позднее чем за 3 рабочих дня до даты его проведения.
ТО РКН обязано предложить проведение обязательного профилактического визита контролируемому лицу, приступающему к обработке персональных данных, не позднее чем в течение одного года с момента начала такой деятельности.
По итогам проведения обязательного профилактического визита составляются разъяснения рекомендательного характера по организации контролируемым лицом деятельности по обработке персональных данных.
Акт профилактического визита формируется в соответствии с типовой формой, размещенной в Единой информационной системе Роскомнадзора.
В случае если при проведении обязательного профилактического визита установлено, что объекты контроля представляют явную непосредственную угрозу причинения вреда (ущерба) охраняемым законом ценностям или такой вред (ущерб) причинен, должностное лицо (лица) незамедлительно направляет информацию об этом уполномоченному должностному лицу ТО РКН для принятия решения о проведении контрольных (надзорных) мероприятий.
Обязательные профилактические визиты осуществляются только должностными лицами ТО РКН.
Показатели результативности и эффективности программы профилактики рисков причинения вреда
Каждое ТО РКН осуществляет учет проведенных профилактических мероприятий, при проведении которого учитываются следующие количественные показатели:
количество профилактических мероприятий для определенного круга лиц;
количество адресных профилактических мероприятий;
количество профилактических мероприятий для неопределенного круга лиц.
На основании количественных данных формируются следующие качественные показатели:
доля контролируемых лиц, охваченных профилактическими мероприятиями для определенного круга лиц, от общего количества контролируемых лиц;
доля контролируемых лиц, охваченных профилактическими адресными мероприятиями, от общего количества контролируемых лиц;
динамика снижения количества выявленных нарушений в ходе плановых проверок и мероприятий систематического наблюдения за отчетный период по отношению к аналогичному периоду предыдущего года.
Показатель общего количества контролируемых лиц рассчитывается от общего количества операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных, по состоянию на конец отчетного периода.
Управления Роскомнадзора по федеральным округам формируют средние показатели за федеральный округ на основе представленных территориальными органами отчетов.
Роскомнадзор формирует средний показатель на основе представленных территориальными органами по федеральным округам отчетов.
Сформированные сводные показатели должны быть не меньше следующих установленных минимальных значений сводных показателей*.
|
|
Количество профилактических мероприятий для определенного круга лиц |
Количество адресных профилактических мероприятий |
Количество профилактических мероприятий для неопределенного круга лиц |
||||||
|
Минимальное |
Среднее |
Максимальное |
Минимальное |
Среднее |
Максимальное |
Минимальное |
Среднее |
Максимальное |
|
|
Дальневосточный федеральный округ |
32 |
64 |
192 |
1600 |
2400 |
3200 |
16 |
32 |
96 |
|
Приволжский федеральный округ |
44 |
88 |
264 |
4600 |
6900 |
9200 |
22 |
44 |
132 |
|
Северо-Западный федеральный округ |
28 |
56 |
168 |
2800 |
4200 |
5600 |
14 |
28 |
84 |
|
Северо-Кавказский федеральный округ |
20 |
40 |
120 |
1400 |
2100 |
2800 |
10 |
20 |
60 |
|
Сибирский федеральный округ |
28 |
56 |
168 |
2200 |
3300 |
4400 |
14 |
28 |
84 |
|
Уральский федеральный округ |
16 |
32 |
96 |
2000 |
3000 |
4000 |
8 |
16 |
48 |
|
Центральный федеральный округ |
68 |
136 |
408 |
3000 |
4500 |
6000 |
34 |
68 |
204 |
|
Южный федеральный округ |
20 |
40 |
120 |
5000 |
7500 |
10000 |
10 |
20 |
60 |
Для качественных показателей установлены следующие сводные минимальные значения:
доля контролируемых лиц, охваченных профилактическими мероприятиями для определенного круга лиц, от общего количества контролируемых лиц - 7%;
доля контролируемых лиц, охваченных профилактическими адресными мероприятиями, от общего количества контролируемых лиц - 5%.
______________________________
* Данный показатель рассчитан с учетом итогов профилактической деятельности территориальных органов Роскомнадзора за 9 месяцев 2022 г.