Валентина Митрофанова
С какой регулярностью ваша компания может подпадать под проверки Роскомнадзора? Как трансграничная передача (в конкретную страну) будет влиять на проверки?

С 1 марта прошлого года вступил в действие новый регламент по проверкам Роскомнадзора (РКН) – Постановление Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

Как и другие контролирующие органы, Роскомнадзор применяет риск-ориентированный подход, устанавливая организации одну из 5 категорий риска:
  • высокий риск,
  • значительный риск,
  • средний риск,
  • умеренный риск,
  • низкий риск.

Периодичность ПЛАНОВЫХ проверок зависит от установленной категории.

На установление категории организации влияет 2 фактора:
  • группа тяжести по ПД (что обрабатывается, как собираются ПД, есть ли трансграничная передача и в какие страны);
  • группа вероятности наличия нарушений (на это влияет, были ли ранее инспекционные проверки РКН и какие выявляли нарушения).
  • Если ранее проверок не было, то может быть установлена только категория: или средняя, или умеренная, или низкая.

Что даст среднюю категорию?

Чаще всего на это будут влиять такие факторы как:
  • трансграничная передача ПД в страны, которые не оказывают адекватную защиту ПД (например, в США);
  • обработка биометрических данных (фото и т. д.).

Средняя категория означает регулярность включения организации в план и проведение плановых проверок 1 раз в 4 года.

Но важно, что сами проверки могут быть инициированы по результатам мониторинга безопасности. Например, если на странице сайта, где компания собирает данные кандидатов на трудоустройство, нет Политики по обработке таких ПД, или:
  • не подано уведомление в РКН об обработке ПД;
  • распространяются ПД, но в единой системе РКН нет согласий на распространение таких субъектов и т. д.

И тогда при тех же самых трансграничных передачах и т. д. категория риска будет установлена уже другая и даже регулярность плановых проверок может дойти до 1 раза в 2 года. Не говоря уж о внеплановых и профилактических мероприятиях.

Поэтому, еще раз:

ВАЖНО: исключить риски выявления нарушений компаний в системе мониторинга безопасности, произведя сейчас все необходимые действия:

уведомление в РКН;
  • политики на соответствующих страницах сайта компании;
  • полученные согласия на распространение ПД (если есть) в системе РКН;
  • уведомления о трансграничной передаче.

Кстати, в какую именно страну передаются трансгранично данные, влияет на параметр «группа тяжести по ПД», что само по себе будет влиять на внимание к компании. А в какие страны компания данные передает, необходимо уведомить РКН!
Назад
Обучение
Бизнес проекты
Услуги
Как нас найти
г. Москва, Калошин переулок 4
Подписаться на новостные рассылки
© 2020 Валентина Митрофанова