Новые основания внеплановых проверок работы с персданными

Минцифры расширило перечень индикаторов риска, которые выявляются при работе с персональными данными. Приказ Минцифры от 17.08.2023 № 720, который установил новые основания для внеплановых проверок, проводимых Роскомнадзором, действует с 18 ноября 2023 года.

Индикатором риска нарушения обязательных требований является соответствие или отклонение от параметров объекта контроля, которые сами по себе не являются нарушениями обязательных требований, но с высокой степенью вероятности свидетельствуют о наличии таких нарушений и риска причинения вреда (ущерба) охраняемым законом ценностям.

Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее - Закон N 152-ФЗ) обязывает операторов персданных уведомлять РКН о начале обработки персональных данных, а также подавать иные уведомления о работе с ПД.  

В частности, оператор обязан уведомить РКН:

• о своем намерении осуществлять обработку персональных данных –  до начала обработки персональных данных (п. 1 ст. 22 Закона № 152-ФЗ);
• о своем намерении осуществлять трансграничную передачу персональных данных – до начала осуществления деятельности по трансграничной передаче персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 Закона № 152-ФЗ (ч. 3 ст. 12 Закона № 152-ФЗ).

В соответствии с частью 1 статьи 18.1 Закона № 152-ФЗ оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.

К таким мерам, в частности, относится осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.

В связи с этим установили новый индикатор риска при осуществлении Роскомнадзором федерального государственного контроля (надзора) в области персональных данных, направленный на проведение операторами процедур внутреннего контроля (аудита), поддержания документов по персональным данным, которые размещаются в открытом доступе, в актуальном виде.

Теперь внеплановую проверку проведут в случае установления РКН 3-х и более фактов несоответствия информации, указанной контролируемым лицом в уведомлениях, подлежащих направлению в контролирующий орган о намерении осуществлять обработку персональных данных, а также о намерении осуществлять трансграничную передачу персональных данных.