В связи с внесением изменений в постановление Правительства РФ № 1046Постановление Правительства РФ от 29 июня 2021 г. № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных». были пересмотрены отдельные положения, касающиеся отнесения подконтрольных лиц к определенной категории риска.
При определении такой категории учитываются два показателя:
- предполагаемая тяжесть возможного вреда; и
- вероятность его наступления.
В зависимости от присвоенной категории риска (высокий, значительный, средний, умеренный и низкий риск) устанавливаются периодичность обязательных профилактических визитов и периодичность плановых контрольных (надзорных) мероприятий. Для удобства определения периодичности таких мероприятий для вашей компании можно также пользоваться таблицей, доступной по ссылке.
Вы можете самостоятельно оценить такую вероятность на основании указанных таблиц и при необходимости подготовиться к визитам Роскомнадзора.
Ниже мы прокомментировали основные изменения и ужесточившийся подход регулятора.
Особого внимания заслуживает анализ соразмерности факторов, которые приводят к отнесению ситуации к наиболее высокой зоне по уровню возможных негативных последствий.
1. К группе тяжести «А» (самой тяжелой) по-прежнему относится обработка специальных и биометрических категорий персональных данных. Кроме того, к данной группе теперь относится обработка персональных данных в информационных системах персональных данных («ИСПДн»), содержащих данные более чем 100 тыс. субъектов персональных данных.
Такие изменения свидетельствуют о попытках регулятора следовать последовательному риск-ориентированному подходу к определению уровня вреда и соответствующей ему защите персональных данных, поскольку указанные показатели используются при установлении уровня защищенности ИСПДн, от которого напрямую зависит перечень требований, предъявляемых к операторам персональных данных. Напомним, что в зависимости от типа актуальных угроз, а также количества (более или менее 100 тыс.) и категорий субъектов персональных данных обработка специальных и биометрических данных могла приводить к установлению первого, второго или третьего уровня защищенностиПостановление Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». («УЗ»).
2. К зоне высокого риска также была отнесена обработка персональных данных, осуществляемая на основании согласия субъекта персональных данных («согласие»), за исключением случаев, когда получение такого согласия прямо предусмотрено законодательством Российской Федерации.
Указанный подход представляет собой один из инструментов регулятора, направленных на ограничение избыточного использования согласий (о тренде минимизации согласий мы писали ранее), поскольку отнесение обработки к классу «А» может служить для оператора стимулом к выбору иных правовых оснований обработки персональных данных, например, договор с субъектом персональных данных либо использование законного интереса.
3. Кроме того, законодатель относит использование иностранных информационных систем и программного обеспечения при сборе персональных данных к высокому уровню риска, который теперь перемещен из группы «Б» в группу «А» (самая тяжелая). Несмотря на то, что регулятор прямо не запрещает и не ограничивает применение зарубежных сервисов, если оператор соблюдает требования о локализации баз данных, содержащих персональные данные граждан РФ на территории России, и (или) обеспечивает их последующую правомерную трансграничную передачу, как в случае использования Telegram-ботов, такое использование помещается в «красную» зону, что может привести к отказу операторов от иностранного программного обеспечения и переходу на отечественные аналоги.
4. В группе «А» по-прежнему остаются трансграничная передача персональных данных в страны, не обеспечивающие адекватный уровень их защиты, а также передача третьим лицам обезличенных персональных данных.
5. Как и в прежней редакции Постановления Правительства РФ № 1046, к группе тяжести «Б» (вторая по степени тяжести) относится обработка персональных данных несовершеннолетних. При этом законодатель снижает порог количества субъектов, начиная с которого применяется данная категория, с 20 тыс. до 10 тыс. субъектов персональных данных.
6. Кроме того, к группе «Б» относится сбор персональных данных с использованием баз данных, находящихся за пределами Российской Федерации, на таких основаниях, как исполнение требований закона Российской Федерации, участие субъекта персональных данных в судопроизводстве, предоставление государственных и муниципальных услуг, осуществление профессиональной деятельности журналиста и (или) законной деятельности СМИ, а также научной, литературной или иной творческой деятельности.
В данную категорию была включена трансграничная передача персональных данных, осуществляемая без уведомления Роскомнадзора о намерении трансгранично передавать данные, а также операции по обезличиванию персональных данных, которые переместились из группы «В» выше по категории.
7. К группе «В» было добавлено распространение персональных данных на основании специального согласия субъекта персональных данных. Как было замечено ранее, такое добавление консистентно присвоению третьего УЗ.
8. Из группы «Г» было исключено неуведомление Роскомнадзора о намерении и (или) осуществлении обработки персональных данных и трансграничная передача персональных данных в страны, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
Изменения существенно не повлияли на оценку вероятности несоблюдения операторами обязательных требований, установленных законодательством Российской Федерации о персональных данных.
В перечень правонарушений для первой группы были включены новые составы административной ответственности, вступившие в силу 30 мая 2025 года, за исключением нарушений требований о неуведомлении Роскомнадзора о намерении осуществлять обработку персональных данных и о неуведомлении об утечке персональных данных, которые были отнесены ко второй группе вероятности. Кроме того, к первой группе добавлены части 8 и 9 статьи 13.11 КоАП РФ, регулирующие ответственность за нарушение требований о локализации персональных данных, а также статья 13.11.3 КоАП РФ, устанавливающая ответственность за нарушение требований по обработке биометрических персональных данных в ГИС или иных информационных системах, обеспечивающих аутентификацию на основе биометрических данных.
Во вторую группу вероятности также включен состав административного правонарушения, связанный с незаконным использованием принадлежащих иностранным лицам информационных систем и (или) программного обеспечения (статья 13.11.2 КоАП РФ).
