По новым правилам присваивают категорию риска. От нее зависит, как часто и в каком формате Роскомнадзор будет проводить проверки. Разбираем, какие факторы влияют на категорию и что сделать, чтобы минимизировать внимание регулятора.
Роскомнадзор обновил подход к риск-ориентированному контролю за обработкой персональных данных. Теперь каждой компании присваивают категорию риска, которая складывается из двух параметров:
Группа тяжести — зависит от того, какие данные и в каком объеме обрабатывает бизнес.
Группа вероятности — ее определяют по нарушениям за последние два-три года.
Чем выше итоговая категория, тем чаще приходят проверяющие.
Как определяют группу тяжести
Группа А, высокая тяжесть. Компания попадает в нее, если:
обрабатывает биометрию или специальные категории данных: здоровье, национальность, политические взгляды;
ведет базы объемом более 100 тыс. человек;
собирает персональные данные через иностранные системы;
передает данные в страны вне «безопасного» списка РКН.
Группа Б, повышенная тяжесть. Присваивают при:
работе с данными несовершеннолетних;
базах от 10 тыс. до 100 тыс. человек;
трансграничной передаче без уведомления РКН.
Группа В, средняя тяжесть. Актуальна для:
баз от 1 тыс. до 10 тыс. человек;
распространения данных с согласия субъекта;
передачи в «безопасные» страны.
Группа Г, низкая тяжесть. Получают компании с базами менее 1 тыс. человек или работающие только с общедоступными данными, например, из соцсетей.
Как формируют группа вероятности
Группа 1 (критическая). Присваивается, если за последние два-три года были:
штрафы за хранение данных россиян на зарубежных серверах;
утечки от 1 тыс. записей и более;
повторные нарушения любого масштаба;
отказ удалить данные после отзыва согласия.
Группа 2 (значительная). Фиксируется при:
обработке данных без законного основания;
отсутствии письменного согласия, когда оно нужно;
невыполнении обязанности уведомить РКН об инциденте.
Группа 3 (умеренная). Возникает при:
отказе предоставить человеку информацию о его данных;
нарушениях госорганами правил обезличивания.
Группа 4 (благонадежная). Автоматически присваивается, если за два-три года не было ни одного зафиксированного нарушения, предписания или предупреждения.
Какие проверки и профилактические меры возможны
Итоговая категория риска определяет, будет ли у компании плановая проверка. Для низкого риска плановые проверки не проводятся. Остальных могут ждать:
плановые выездные или документарные проверки (до 10 рабочих дней, уведомление за 24 часа);
инспекционные визиты (один день, без предупреждения);
внеплановые проверки (при неисполнении предписания, жалобах граждан, поручениях правительства).
Также Роскомнадзор проводит профилактические мероприятия: консультирование, предостережения, профилактические визиты. Последние помогают выявить риски до того, как они перерастут в нарушение.
Если компания не согласна с выводами проверяющих, она вправе обжаловать акты и предписания в установленном порядке.
